Поделиться через


Расширенное обнаружение угроз с помощью Аналитики поведения пользователей и сущностей (UEBA) в Microsoft Sentinel

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в доступности функций в облаках для клиентов из числа государственных организаций США.

Выявление угроз внутри организации и их потенциальное влияние ( будь то скомпрометированная сущность или вредоносный инсайдерская программа) всегда была трудоемким и трудоемким процессом. Продираться через оповещения, подключаясь к точкам и активное обнаружение составляет огромное количество времени и усилий, затрачиваемых на минимальное число результатов, а также дает возможность сложным угрозам просто исключить обнаружение. Скрытые угрозы, например угрозы нулевого дня, целевые и развитые устойчивые угрозы могут быть наиболее опасными для вашей организации, что делает их обнаружение еще более важным.

Функция анализа поведения пользователей и сущностей в Microsoft Sentinel позволяет избавить аналитиков от нужной монотонной работы и неуверенности в ее результатах, а также предоставляет точные оперативные аналитические данные, чтобы аналитики могли сосредоточиться на расследовании и устранении угроз.

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.

Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.

Все преимущества UEBA доступны на портале Microsoft Defender.

Что такое аналитика поведения пользователей и сущностей (UEBA)?

Microsoft Sentinel собирает журналы и оповещения из всех подключенных источников данных, анализирует их и создает базовые профили поведения сущностей организации (пользователей, узлов, IP-адресов, приложений и т. д.) для одноранговых групп в динамике. Используя различные приемы и возможности машинного обучения, Microsoft Sentinel позволяет определить аномальную активность и понять, скомпрометирован ли ресурс. Кроме того, решение также позволяет определять относительную чувствительность конкретных активов, выявлять одноранговые группы активов и оценивать потенциальное влияние скомпрометированного актива («радиус поражения»). Используя эти сведения, можно эффективно определять приоритеты при расследовании и обработке инцидентов.

Архитектура аналитики UEBA

Архитектура аналитики поведения сущностей

Аналитика на основе безопасности

Microsoft Sentinel, вдохновившись парадигмой решений для анализа поведения пользователей и сущностей, предложенной Gartner, разработала подход "снаружи внутрь", основанный на трех опорных кадрах.

  • Варианты использования: Приоритизация соответствующих векторов атак и сценариев на основе исследований безопасности, согласованных с платформой MITRE ATT&CK, включающей тактики, методы и суб-методы, которые определяют различные сущности в качестве жертв, преступников или ключевых точек в цепочке действий; Microsoft Sentinel уделяет особое внимание наиболее ценным журналам, которые может предоставлять каждый источник данных.

  • Источники данных: В первую очередь поддерживая источники данных Azure, Microsoft Sentinel тщательно выбирает сторонние источники данных для предоставления данных, которые соответствуют нашим сценариям угроз.

  • Аналитика: Используя различные алгоритмы машинного обучения, Microsoft Sentinel определяет аномальные действия и представляет доказательства четко и кратко в виде контекстных обогащений, некоторые примеры которых отображаются ниже.

    Внешний подход к аналитике поведения

Microsoft Sentinel представляет артефакты, которые помогают аналитикам безопасности оценить аномальную активность в контексте и в сравнении с базовым профилем пользователя. Действия, выполняемые пользователем (или узлом, или адресом), оцениваются в контексте, где результат true указывает на выявленную аномалию:

  • в различных географических местоположениях, устройствах и средах;
  • за период времени и с определенным интервалом (в сравнении с собственным журналом пользователя);
  • по сравнению с поведением одноранговых узлов;
  • по сравнению с поведением организации. Контекст сущности

Сведения об сущности пользователя, которые Microsoft Sentinel использует для создания профилей пользователей, поступают из идентификатора Microsoft Entra (или локальная служба Active Directory, теперь в предварительной версии). При включении UEBA он синхронизирует идентификатор Microsoft Entra с Microsoft Sentinel, сохраняя сведения во внутренней базе данных, видимой через таблицу IdentityInfo .

  • В Microsoft Sentinel на портале Azure выполните запрос к таблице IdentityInfo в Log Analytics на странице Логов.
  • На портале Defender вы запрашиваете эту таблицу в расширенной охоте.

Теперь в предварительной версии можно также синхронизировать сведения о сущности пользователя из локальной службы Active Directory с помощью Microsoft Defender для удостоверений.

Чтобы узнать, как включить анализ поведения пользователей и сущностей (UEBA) и синхронизировать удостоверения пользователей, см. Включение UEBA в Microsoft Sentinel.

Очки

Всем действиям присваивается "оценка приоритета в расследовании", которая определяет вероятность того, что конкретный пользователь выполняет конкретное действие, с учетом данных о поведении пользователя и его одноранговых узлов. Действия, определяемые как самые аномальные, получают наивысший рейтинг (на шкале 0–10).

Узнайте, как аналитика поведения используется в Microsoft Defender для облачных приложений , например, как это работает.

Дополнительные сведения о сущностях в Microsoft Sentinel и полный список поддерживаемых сущностей и идентификаторов.

Страницы сущностей

Сведения о страницах сущностей теперь можно найти на страницах сущностей в Microsoft Sentinel.

Запрос данных аналитики поведения

С помощью KQL можно запросить таблицу BehaviorAnalytics .

Например, если мы хотим найти все случаи, которые не смогли войти в ресурс Azure, где это была первая попытка пользователя подключиться из определенной страны или региона, а подключения из этой страны или региона являются редкими даже для одноранговых узлов пользователя, мы можем использовать следующий запрос:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
  • В Microsoft Sentinel на портале Azure вы выполняете запрос к таблице BehaviorAnalytics в Log Analytics на странице Журналов.
  • На портале Defender вы запрашиваете эту таблицу в расширенной охоте.

Метаданные одноранговых узлов пользователя — таблица и записная книжка

Метаданные одноранговых узлов предоставляют важный контекст при обнаружении угроз, в исследовании инцидента и поиске потенциальных угроз. Аналитики безопасности могут наблюдать за нормальными действиями одноранговых пользователей, чтобы определить, являются ли действия пользователя нетипичными по сравнению с его коллегами.

Microsoft Sentinel вычисляет и ранжирует аналогичных пользователей на основе членства пользователя в группе безопасности Microsoft Entra, списках рассылки и других критериях, и сохраняет ранжированный список от 1 до 20 в таблице UserPeerAnalytics. На следующем снимке экрана показана схема таблицы UserPeerAnalytics и отображаются первые 8 узлов пользователя по рангу для пользователя Кендалл Коллинз. Microsoft Sentinel использует алгоритм частотность-обратная частотность документов (TF-IDF) для нормализации взвешивания при вычислении ранга: чем меньше группа, тем выше вес.

Снимок экрана: таблица метаданных пользователей

Вы можете использовать записную книжку Jupyter, предоставленную в репозитории Microsoft Sentinel GitHub, для визуализации метаданных пользователей-равных. Подробные инструкции по использованию записной книжки см. в руководстве по анализу метаданных безопасности пользователей .

Примечание.

Таблица UserAccessAnalytics устарела.

Поиск запросов и исследование запросов

Microsoft Sentinel предоставляет набор готовых охотничьих и исследовательских запросов, а также книгу Аналитики поведения пользователей и сущностей, которая основана на таблице BehaviorAnalytics. Эти средства представляют обогащенные данные, нацеленные на конкретные варианты использования, которые указывают на аномальное поведение.

Дополнительные сведения см. в разделе:

Средства защиты устаревают, а цифровые активы организации становятся такими разобщенными, что получить полную картину рисков бывает очень трудно. Не стоит сильно полагаться на реактивные меры, такие как аналитика и правила, так как злоумышленники могут научиться их обходить. Именно здесь на помощь приходит UEBA, предоставляя методологии и алгоритмы оценки рисков.

Следующие шаги

В этом документе вы узнали о возможностях аналитики поведения сущностей Microsoft Sentinel. Практические рекомендации по реализации и использованию ценных сведений, которые вы получили, см. в следующих статьях:

Дополнительные сведения см. в справочнике по Microsoft Sentinel UEBA.