Aktivera användar- och entitetsbeteendeanalys (UEBA) i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

I föregående distributionssteg aktiverade du det Microsoft Sentinel-säkerhetsinnehåll som du behöver för att skydda dina system. I den här artikeln får du lära dig hur du aktiverar och använder UEBA-funktionen för att effektivisera analysprocessen. Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.

När Microsoft Sentinel samlar in loggar och aviseringar från alla sina anslutna datakällor analyserar den dem och skapar baslinjebeteendeprofiler för organisationens entiteter (till exempel användare, värdar, IP-adresser och program) över tids- och peergruppshorisonten. Med hjälp av en mängd olika tekniker och maskininlärningsfunktioner kan Microsoft Sentinel identifiera avvikande aktivitet och hjälpa dig att avgöra om en tillgång har komprometterats. Läs mer om UEBA.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

Aktivera eller inaktivera den här funktionen (dessa krav krävs inte för att använda funktionen):

• Användaren måste tilldelas rollerna Global administratör eller säkerhetsadministratör för Microsoft Entra ID i din klientorganisation.

• Användaren måste tilldelas minst en av följande Azure-roller (Läs mer om Azure RBAC):

  • Microsoft Sentinel-deltagare på arbetsytan eller resursgruppsnivå.
  • Log Analytics-deltagare på resursgrupps- eller prenumerationsnivå.

• Arbetsytan får inte ha några Azure-resurslås tillämpade på den. Läs mer om Azure-resurslåsning.

Kommentar

• Ingen särskild licens krävs för att lägga till UEBA-funktioner i Microsoft Sentinel, och det finns ingen extra kostnad för att använda den.
• Men eftersom UEBA genererar nya data och lagrar dem i nya tabeller som UEBA skapar på Din Log Analytics-arbetsyta tillkommer ytterligare avgifter för datalagring.

Så här aktiverar du analys av användar- och entitetsbeteende

• Användare av Microsoft Sentinel i Azure-portalen följer du anvisningarna på fliken Azure-portalen .
• Användare av Microsoft Sentinel som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen följer du anvisningarna på fliken Defender-portalen .

1. Gå till konfigurationssidan för entitetsbeteende.

   Azure-portalen

   Använd något av dessa tre sätt att komma till konfigurationssidan för entitetsbeteende:

   • Välj Entitetsbeteende på Microsoft Sentinel-navigeringsmenyn och välj sedan Inställningar för entitetsbeteende på den översta menyraden.

   • Välj Inställningar från Microsoft Sentinel-navigeringsmenyn, välj fliken Inställningar. Under expanderaren För entitetsbeteendeanalys väljer du Ange UEBA.

   • På sidan Microsoft Defender XDR-dataanslutning väljer du länken Gå till UEBA-konfigurationssidan .

   Defender-portalen

   Så här kommer du till konfigurationssidan för entitetsbeteende:

   1. I navigeringsmenyn i Microsoft Defender-portalen väljer du Inställningar.
   2. På sidan Inställningar väljer du Microsoft Sentinel.
   3. På nästa meny väljer du Entitetsbeteendeanalys.
   4. Välj sedan Ange UEBA som öppnar en ny webbläsarflik med konfigurationssidan För entitetsbeteende i Azure-portalen.

2. På sidan Konfiguration av entitetsbeteende växlar du växlingsknappen till På.

   

3. Markera kryssrutorna bredvid de Active Directory-källtyper som du vill synkronisera användarentiteter från med Microsoft Sentinel.

   • Active Directory lokalt (förhandsversion)
   • Microsoft Entra ID

   Om du vill synkronisera användarentiteter från lokal Active Directory måste din Azure-klientorganisation registreras i Microsoft Defender för identitet (antingen fristående eller som en del av Microsoft Defender XDR) och du måste ha MDI-sensorn installerad på active directory-domänkontrollanten. Mer information finns i Krav för Microsoft Defender för identitet.

4. Markera kryssrutorna bredvid de datakällor där du vill aktivera UEBA.

   Kommentar

   Under listan över befintliga datakällor visas en lista över UEBA-stödda datakällor som du ännu inte har anslutit.

   När du har aktiverat UEBA kan du när du ansluter nya datakällor aktivera dem för UEBA direkt från dataanslutningsfönstret om de är UEBA-kompatibla.

5. Välj Använd. Om du har använt den här sidan via sidan Entitetsbeteende returneras du där.

Nästa steg

I den här artikeln har du lärt dig hur du aktiverar och konfigurerar användar- och entitetsbeteendeanalys (UEBA) i Microsoft Sentinel. Mer information om UEBA:

Undersöka entiteter med entitetssidor