Настройка аналитики поведения пользователей и сущностей в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

На предыдущем шаге развертывания вы включили содержимое безопасности Microsoft Sentinel, необходимое для защиты систем. В этой статье вы узнаете, как включить и использовать функцию UEBA для упрощения процесса анализа. Эта статья является частью руководства по развертыванию Microsoft Sentinel.

Microsoft Sentinel собирает журналы и оповещения из всех подключенных источников данных, анализирует их и создает базовые профили поведения сущностей организации (пользователей, узлов, IP-адресов, приложений и т. д.) для одноранговых групп в динамике. Используя различные приемы и возможности машинного обучения, Microsoft Sentinel позволяет определить аномальную активность и понять, скомпрометирован ли ресурс. Дополнительные сведения о UEBA.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Чтобы включить или отключить эту функцию (эти требования не обязательны при использовании этой функции):

• Пользователю необходимо назначить роли глобального Администратор istrator или Администратор istrator Microsoft Entra ID в клиенте.

• Пользователю должна быть назначена по крайней мере одна из следующих ролей Azure (Дополнительная информация об Azure RBAC):

  • Участник Microsoft Sentinel на уровнях рабочей области или группы ресурсов.
  • Участник анализа журналов на уровне группы ресурсов или подписки.

• К рабочей области не должны быть применены блокировки ресурсов Azure. Узнайте больше о блокировках ресурсов Azure.

Примечание.

• Для добавления возможностей UEBA в Microsoft Sentinel не потребуется дополнительных лицензий и, соответственно, дополнительных расходов.
• Однако поскольку UEBA генерирует новые данные и сохраняет их в новых таблицах, которые создает в рабочей области Log Analytics, будет начисляться дополнительная плата за хранение данных.

Как включить аналитику поведения пользователей и сущностей

• Пользователи Microsoft Sentinel в портал Azure следуйте инструкциям на вкладке портал Azure.
• Пользователи Microsoft Sentinel в составе единой платформы операций безопасности на портале Microsoft Defender следуйте инструкциям на вкладке портала Defender.

1. Перейдите на страницу Конфигурация поведения сущностей.

   Портал Azure

   Используйте один из трех способов, чтобы получить доступ к странице конфигурации поведения сущности :

   • Выберите Поведение сущности в меню навигации Microsoft Sentinel, а затем выберите Параметры поведения сущности в верхней строке меню.

   • Выберите Параметры в меню навигации Microsoft Sentinel, перейдите на вкладку Параметры, а затем в раскрывающемся списке Аналитика поведения сущности выберите Настроить UEBA.

   • На странице соединителя данных XDR в Microsoft Defender выберите ссылку на страницу конфигурации UEBA.

   Портал Defender

   Чтобы добраться до страницы конфигурации поведения сущностей , выполните следующие действия.

   1. В меню навигации портала Microsoft Defender выберите Параметры.
   2. На странице Параметры выберите Microsoft Sentinel.
   3. В следующем меню выберите аналитику поведения сущностей.
   4. Затем выберите "Задать UEBA", которая откроет новую вкладку браузера со страницей конфигурации поведения сущностей в портал Azure.

2. На странице Entity behavior configuration (Настройка поведения сущности) установите переключатель в положение Вкл.

   

3. Установите флажки рядом с типами источников Active Directory, из которых требуется синхронизировать сущности пользователей с Microsoft Sentinel.

   • Active Directory в локальной среде (предварительная версия)
   • Microsoft Entra ID

   Чтобы синхронизировать сущности пользователей из локальная служба Active Directory, клиент Azure должен быть подключен к Microsoft Defender для удостоверений (автономно или как часть XDR в Microsoft Defender) и должен быть установлен датчик MDI на контроллере домена Active Directory. Дополнительные сведения см. в разделе Предварительные требования Microsoft Defender для удостоверений.

4. Установите флажки рядом со всеми источниками данных, для которых вы намерены включить функции UEBA.

   Примечание.

   Под списком существующих источников данных вы увидите список источников данных с поддержкой UEBA, которые еще не подключены.

   После включения UEBA вы сможете подключать к UEBA новые источники данных непосредственно из области подключения данных, если они поддерживают функции UEBA.

5. Выберите Применить. Если вы перешли на эту страницу через страницу Поведение сущности, вы вернетесь туда.

Следующие шаги

Из этой статьи вы узнали, как включить и настроить аналитику поведения пользователей и сущностей (UEBA) в Microsoft Sentinel. Дополнительные сведения об UEBA:

Изучение сущностей с помощью страниц сущностей