了解行为分析
识别组织内的威胁及其潜在影响(无论是被入侵的实体还是恶意内部因素)始终是一个耗时耗力的过程。 筛选警报、连接点并主动搜寻会花费大量时间和精力,而回报却很少。 并且可能会漏掉老练的威胁。 零时差漏洞、针对性威胁和高级持久威胁等难以发现的威胁对组织而言是最危险的,因此能够检测这些威胁则变得更加重要。
Microsoft Sentinel 中的实体行为功能让分析师的工作不再繁琐,让他们能确定可达到的效果。 实体行为功能提供高保真和可操作情报,使分析师能够专注于调查和修正。
Microsoft Sentinel 在从连接的所有数据源中收集日志和警报时,还会分析和生成组织实体(用户、主机、IP 地址、应用程序等)的基线行为配置文件。 该分析跨时间和对等组范围。 Microsoft Sentinel 通过使用各种技术和机器学习功能,可以识别异常活动并帮助你确定资产是否已遭入侵。 此外,Azure Sentinel 还可以确定特定资产的相对敏感度、识别对等组资产以及评估任何已遭入侵资产的潜在影响(“爆炸半径”)。 掌握这些信息后,你就可有效地设置调查和事件处理的优先级。
体系结构概述
安全驱动的分析
Microsoft 采用 Gartner 的 UEBA 解决方案范例,Microsoft Sentinel 根据 3 个参考框架提供了一种“由外而内”的方法:
用例:Microsoft Sentinel 根据与 MITRE ATT&CK 策略、技术和子技术框架一致的安全研究,确定相关攻击途径和方案的优先级。 优先级将各种实体识别为杀伤链中的受害者、肇事者或枢纽点。 Microsoft Sentinel 特别侧重于每个数据源可以提供的最有价值的日志。
数据源:尽管首要支持 Azure 数据源,但出于周全性考虑,Microsoft Sentinel 选择第三方数据源来提供与我们的威胁方案相匹配的数据。
分析:Microsoft Sentinel 使用机器学习 (ML) 算法来识别异常活动,并以上下文信息丰富的形式清晰、准确地呈现证据。 请参下面的示例。
Microsoft Sentinel 提供的项目可帮助安全分析师结合上下文并通过对比用户的基线概况来清楚地了解环境中的异常活动。 用户(或主机、地址)执行的操作在上下文中进行评估,“true”结果则表示发现异常:
跨地理位置、设备和环境。
跨时间和频率(与用户自己的历史记录相比)。
与对等方的行为进行比较。
与组织的行为进行比较。
计分
每个活动都使用“调查优先级分数”进行评分。 该分数可基于用户及其对等方的行为学习确定特定用户执行特定活动的概率。 被识别为最不正常的活动会获得最高分(分数范围为 0-10 分)。