Förstå beteendeanalys

  • 8 minuter

Att identifiera hot i din organisation och deras potentiella inverkan – oavsett om det är en komprometterad entitet eller en skadlig insider – har alltid varit en tidskrävande och arbetsintensiv process. När du söker igenom aviseringar, ansluter punkterna och aktivt jagar, leder det till enorma mängder tid och arbete som spenderas med minimal avkastning. Och möjligheten till sofistikerade hot som undviker upptäckt. Svårfångade hot som nolldagar, riktade och avancerade beständiga hot kan vara de farligaste för din organisation, vilket gör identifieringen ännu mer kritisk.

Entitetsbeteendefunktionen i Microsoft Sentinel eliminerar drudgery från dina analytikers arbetsbelastningar och osäkerheten från deras ansträngningar. Entitetsbeteendefunktionen ger hög återgivning och åtgärdsbar intelligens, så att de kan fokusera på undersökning och reparation.

Eftersom Microsoft Sentinel samlar in loggar och aviseringar från alla anslutna datakällor analyserar och skapar den baslinjebeteendeprofiler för organisationens entiteter (användare, värdar, IP-adresser, program osv.). Analysen sker över tids- och peergruppshorisonten. Microsoft Sentinel använder olika tekniker och maskininlärningsfunktioner och kan sedan identifiera avvikande aktivitet och hjälpa dig att avgöra om en tillgång har komprometterats. Inte bara det, utan det kan också ta reda på den relativa känsligheten för vissa tillgångar, identifiera peer-grupper av tillgångar och utvärdera den potentiella effekten av en viss komprometterad tillgång (dess "sprängradie"). Beväpnad med den här informationen kan du effektivt prioritera din utrednings- och incidenthantering.

Arkitekturöversikt

Diagram of the E U B A architecture overview.

Säkerhetsdriven analys

Microsoft har antagit Gartners paradigm för UEBA-lösningar och Microsoft Sentinel tillhandahåller en "outside-in"-metod baserat på tre referensramar:

Användningsfall: Microsoft Sentinel prioriterar relevanta attackvektorer och scenarier baserat på säkerhetsforskning i linje med MITRE ATT&CK-ramverket för taktik, tekniker och underteknik. Prioriteringen identifierar olika entiteter som offer, förövare eller pivotpunkter i dödskedjan. Microsoft Sentinel fokuserar specifikt på de mest värdefulla loggar som varje datakälla kan tillhandahålla.

Datakällor: Microsoft Sentinel har först och främst stöd för Azure-datakällor, men väljer eftertänksamt datakällor från tredje part för att tillhandahålla data som matchar våra hotscenarier.

Analys: Microsoft Sentinel använder algoritmer för maskininlärning (ML) och identifierar avvikande aktiviteter som tydligt och koncist presenterar bevis i form av kontextbaserade berikanden. Se exemplen nedan.

Image of Security Driven Analytics enrichment.

Microsoft Sentinel presenterar artefakter som hjälper dina säkerhetsanalytiker att få en tydlig förståelse för avvikande aktiviteter i kontexten och i jämförelse med användarens baslinjeprofil. Åtgärder som utförs av en användare (eller en värd eller en adress) utvärderas kontextuellt, där ett "sant" resultat indikerar en identifierad avvikelse:

  • Över geografiska platser, enheter och miljöer.

  • Över tids- och frekvenshorisonter (jämfört med användarens egen historik).

  • Jämfört med peer-datorers beteende.

  • Jämfört med organisationens beteende.

image showing the E U B A Context rings.

Resultat

Varje aktivitet poängsätts med "Undersökningsprioritetspoäng". Poängen avgör sannolikheten för att en specifik användare utför en specifik aktivitet baserat på beteendeinlärning av användaren och deras peer-datorer. Aktiviteter som identifieras som de mest onormala får de högsta poängen (på en skala från 0 till 10).