在 Microsoft Sentinel 中啟用使用者與實體行為分析 (UEBA)
在上一個部署步驟中,您已啟用保護系統所需的 Microsoft Sentinel 安全性內容。 在本文中,您將瞭解如何啟用和使用 UEBA 功能來簡化分析程序。 本文是 Microsoft Sentinel 部署指南的一部分。
當 Microsoft Sentinel 從其所有連接的資料來源收集記錄和警示時,就會加以分析,並跨時間和對等群組層級建立組織實體 (例如使用者、主機、IP 位址和應用程式) 的基準行為設定檔。 使用各種技術與機器學習功能,Microsoft Sentinel 可以識別異常活動,並協助您判斷資產是否遭盜用。 深入瞭解 UEBA。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
若要啟用或停用此功能 (不需要這些必要條件,即可使用此功能):
您必須將使用者指派給租使用者中Microsoft Entra ID Security Administrator 角色或對等的許可權。
您的使用者必須至少獲指派下列其中一個 Azure 角色 (深入了解 Azure RBAC):
- 工作區或資源群組層級的 Microsoft Sentinel 參與者。
- 資源群組或訂用帳戶層級的 Log Analytics 參與者。
您的工作區不得套用任何 Azure 資源鎖定。 深入了解 Azure 資源鎖定。
注意
- 不需要特殊授權,即可將 UEBA 功能新增至 Microsoft Sentinel,而且使用時不需要額外費用。
- 不過,由於 UEBA 會產生新的資料,並將其儲存在 UEBA 在 Log Analytics 工作區中建立的新資料表中,因此將會支付額外的資料儲存費用。
如何啟用使用者與實體行為分析
- Azure 入口網站中 Microsoft Sentinel 的使用者,請遵循 [Azure 入口網站] 索引標籤標的指示。
- 在 Microsoft Defender 入口網站中整合安全性作業平台中,Microsoft Sentinel 使用者遵循 [Defender 入口網站] 索引標籤的指示。
移至 [實體行為設定] 頁面。
使用下列三種方式中的任何一種,即可前往 [實體行為設定] 頁面:
從 Microsoft Sentinel 導覽功能表中選取 [實體行為],然後從頂端功能表列選取 [實體行為設定]。
從 Microsoft Sentinel 導覽功能表中選取 [設定],選取 [設定] 索引標籤,然後在 [實體行為分析] 展開器底下,選取 [設定 UEBA]。
從 [Microsoft Defender XDR 資料連線器] 頁面中,選取 [移至 UEBA 設定頁面] 連結。
在 [實體行為設定] 頁面上,將切換開關切換為 [開啟]。
針對您想要同步處理使用者實體與 Microsoft Sentinel 的 Active Directory 來源類型,標記旁邊的核取方塊。
- Active Directory 內部部署 (預覽版)
- Microsoft Entra ID
若要從內部部署的 Active Directory 同步處理使用者實體,您的 Azure 租用戶必須上線至適用於身分識別的 Microsoft Defender (獨立或做為 Microsoft Defender XDR 的一部分),而且您必須在 Active Directory 網域控制站上安裝 MDI 感應器。 如需詳細資訊,請參閱適用於身分識別的 Microsoft Defender必要條件。
標記資料來源旁邊的核取方塊,您想要在該資料來源上啟用 UEBA。
注意
在現有資料來源清單下方,您會看到一個清單,列出尚未連線的 UEBA 支援資料來源。
一旦您啟用了 UEBA,如果新的資料來源可以使用 UEBA,您就可以在連線新的資料來源時選擇從資料連接器窗格中,直接針對 UEBA 啟用這些資料來源。
選取套用。 如果您透過 [實體行為] 頁面存取此頁面,則會在該處傳回。
下一步
在本文中,您已瞭解如何在 Microsoft Sentinel 中啟用和設定使用者與實體行為分析 (UEBA)。 如需 UEBA 的詳細資訊: