Расширенное обнаружение угроз с помощью Аналитики поведения пользователей и сущностей (UEBA) в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Выявление угроз внутри организации и их потенциальное влияние ( будь то скомпрометированная сущность или вредоносный инсайдерская программа) всегда была трудоемким и трудоемким процессом. Продираться через оповещения, подключаясь к точкам и активное обнаружение составляет огромное количество времени и усилий, затрачиваемых на минимальное число результатов, а также дает возможность сложным угрозам просто исключить обнаружение. Скрытые угрозы, например угрозы нулевого дня, целевые и развитые устойчивые угрозы могут быть наиболее опасными для вашей организации, что делает их обнаружение еще более важным.

Функция анализа поведения пользователей и сущностей в Microsoft Sentinel позволяет избавить аналитиков от нужной монотонной работы и неуверенности в ее результатах, а также предоставляет точные оперативные аналитические данные, чтобы аналитики могли сосредоточиться на расследовании и устранении угроз.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Все преимущества UEBA доступны на единой платформе операций безопасности на портале Microsoft Defender.

Что такое аналитика поведения пользователей и сущностей (UEBA)?

Microsoft Sentinel собирает журналы и оповещения из всех подключенных источников данных, анализирует их и создает базовые профили поведения сущностей организации (пользователей, узлов, IP-адресов, приложений и т. д.) для одноранговых групп в динамике. Используя различные приемы и возможности машинного обучения, Microsoft Sentinel позволяет определить аномальную активность и понять, скомпрометирован ли ресурс. Кроме того, решение также позволяет определять относительную чувствительность конкретных активов, выявлять одноранговые группы активов и оценивать потенциальное влияние скомпрометированного актива («радиус поражения»). Используя эти сведения, можно эффективно определять приоритеты при расследовании и обработке инцидентов.

Архитектура аналитики UEBA

Аналитика на основе безопасности

Microsoft Sentinel, вдохновившись парадигмой решений для анализа поведения пользователей и сущностей, предложенной Gartner, разработала подход "снаружи внутрь", основанный на трех опорных кадрах.

• Варианты использования: приоритеты для соответствующих векторов атак и сценариев на основе исследований безопасности, согласованных с платформой MITRE ATT&CK тактики, методов и суб-методов, которые помещают различные сущности в качестве жертв, преступников или водных точек в цепочке убийств; Microsoft Sentinel уделяет особое внимание наиболее ценным журналам, которые могут предоставлять каждый источник данных.

• Источники данных. Хотя в первую очередь поддерживаются источники данных Azure, Microsoft Sentinel тщательно выбирает сторонние источники данных, чтобы предоставлять данные, соответствующие нашим сценариям угроз.

• Аналитика. Используя различные алгоритмы машинного обучения (МО), Sentinel Azure определяет аномальную активность и предоставляет четкие доказательства в виде контекстных дополнений, примеры которых приведены ниже.

  

Microsoft Sentinel представляет артефакты, которые помогают аналитикам безопасности оценить аномальную активность в контексте и в сравнении с базовым профилем пользователя. Действия, выполняемые пользователем (или узлом, или адресом), оцениваются в контексте, где результат true указывает на выявленную аномалию:

• в различных географических местоположениях, устройствах и средах;
• за период времени и с определенным интервалом (в сравнении с собственным журналом пользователя);
• по сравнению с поведением одноранговых узлов;
• по сравнению с поведением организации.

Сведения об сущности пользователя, которые Microsoft Sentinel использует для создания профилей пользователей, поступают из идентификатора Microsoft Entra (или локальная служба Active Directory, теперь в предварительной версии). При включении UEBA он синхронизирует идентификатор Microsoft Entra с Microsoft Sentinel, сохраняя сведения во внутренней базе данных, видимой через таблицу IdentityInfo .

• В Microsoft Sentinel в портал Azure запросите таблицу IdentityInfo в Log Analytics на странице журналов.
• В единой платформе операций безопасности в Microsoft Defender вы запрашиваете эту таблицу в расширенной охоте.

Теперь в предварительной версии можно также синхронизировать сведения о сущности пользователя из локальной службы Active Directory с помощью Microsoft Defender для удостоверений.

Сведения о включении UEBA и синхронизации удостоверений пользователей см. в статье Включение аналитики поведения пользователей и сущностей в Microsoft Sentinel.

Очки

Всем действиям присваивается "оценка приоритета в расследовании", которая определяет вероятность того, что конкретный пользователь выполняет конкретное действие, с учетом данных о поведении пользователя и его одноранговых узлов. Действия, определяемые как самые аномальные, получают наивысший рейтинг (на шкале 0–10).

Пример использования аналитики поведения см. в статье Microsoft Defender для облачных приложений.

Дополнительные сведения о сущностях в Microsoft Sentinel см. в полном списке поддерживаемых сущностей и идентификаторов.

Страницы сущностей

Сведения о страницах сущностей теперь можно найти на страницах сущностей в Microsoft Sentinel.

Запрос данных аналитики поведения

С помощью KQL можно запросить таблицу BehaviorAnalytics .

Например, если мы хотим найти все случаи, которые не смогли войти в ресурс Azure, где это была первая попытка пользователя подключиться из определенной страны или региона, а подключения из этой страны или региона являются редкими даже для одноранговых узлов пользователя, мы можем использовать следующий запрос:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

• В Microsoft Sentinel в портал Azure запросите таблицу BehaviorAnalytics в Log Analytics на странице журналов.
• В единой платформе операций безопасности в Microsoft Defender вы запрашиваете эту таблицу в расширенной охоте.

Метаданные одноранговых узлов пользователя — таблица и записная книжка

Метаданные одноранговых узлов предоставляют важный контекст при обнаружении угроз, в исследовании инцидента и поиске потенциальных угроз. Аналитики безопасности могут наблюдать за нормальными действиями одноранговых пользователей, чтобы определить, являются ли действия пользователя нетипичными по сравнению с его коллегами.

Microsoft Sentinel вычисляет и ранжирует одноранговые узлы пользователя на основе членства в группе безопасности Microsoft Entra, списка рассылки и хранения одноранговых узлов, ранжированных 1–20 в таблице UserPeerAnalytics . На следующем снимке экрана показана схема таблицы UserPeerAnalytics и отображаются первые 8 узлов пользователя по рангу для пользователя Кендалл Коллинз. Для нормализации коэффициентами взвешивания для вычисления ранга Microsoft Sentinel используется алгоритм частота слова и обратная частота документа (term frequency-inverse document frequency) (TF-IDF). Чем меньше группа, тем выше плотность.

Вы можете использовать записную книжку Jupyter, предоставленную в репозитории Microsoft Sentinel GitHub, для визуализации метаданных одноранговых узлов пользователей. Подробные инструкции по использованию записной книжки см. в записной книжке Интерактивный анализ — метаданные безопасности пользователей.

Примечание.

Таблица UserAccessAnalytics устарела.

Поиск запросов и исследование запросов

Microsoft Sentinel предоставляет готовый набор поисковых и исследовательских запросов, а также книгу Аналитика поведения пользователей и объектов, основанную на таблице BehaviorAnalytics. Эти средства представляют обогащенные данные, нацеленные на конкретные варианты использования, которые указывают на аномальное поведение.

Дополнительные сведения см. в разделе:

• Охота на угрозы с помощью Microsoft Sentinel
• Визуализация и мониторинг данных

Средства защиты устаревают, а цифровые активы организации становятся такими разобщенными, что получить полную картину рисков бывает очень трудно. Не стоит сильно полагаться на реактивные меры, такие как аналитика и правила, так как злоумышленники могут научиться их обходить. Именно здесь на помощь приходит UEBA, предоставляя методологии и алгоритмы оценки рисков.

Следующие шаги

В этом документе вы узнали о возможностях аналитики поведения сущностей Microsoft Sentinel. Практические рекомендации по реализации и использованию ценных сведений, которые вы получили, см. в следующих статьях:

• Аналитика поведения пользователей и сущностей в Microsoft Sentinel.
• См. список аномалий, обнаруженных подсистемой UEBA.
• Исследование инцидентов с помощью данных UEBA.
• Поиск угроз безопасности.

Дополнительные сведения см. в справочнике по Microsoft Sentinel UEBA.