使用者與實體行為分析

  • 9 分鐘

什麼是使用者和實體行為分析 (UEBA)?

UEBA 使用機器學習以看人類行為和統計分析的模式,以識別惡意或風險行為。 這項技術可以識別貴組織中風險最高的使用者,以及對貴組織造成的潛在影響。

Microsoft Defender for Cloud Apps UEBA f功能

適用於雲端應用程式的Defender會以調查優先順序分數報告 UEBA 的結果,以匯總過去七天內來自 Azure 進階威脅防護、Microsoft Defender for Cloud Apps 和 Microsoft Entra ID Protection 的活動和警示。

Defender for Cloud Apps 使用警示評分、活動評分和使用者影響以決定調查優先順序分數。

  • 若警示顯示為更嚴重、更頻繁或對更多使用者造成影響,警示評分 會增加優先順序分數。
  • 若特定的使用者有極高的可能性在執行特定動作 (依據行為分析),活動評分 會增加優先順序分數。
  • 若使用者可能造成大量的損害,使用者影響 會增加優先順序分數。。 例如,具有高權限且可存取高價值資產的使用者,對使用者具有很大的影響。

結合這三種分數類型,調查優先順序分數不僅會查看活動的風險,也查看發生的可能性,以及可能造成的損害。

在 Defender for Cloud Apps 中偵測 UEBA 威脅

Defender for Cloud Apps 儀表板會依據其調查優先順序分數列出要進行調查的主要使用者。 您也可以選取 檢視調查的所有使用者 以檢視所有使用者。

Microsoft Defender for Cloud Apps 儀表板

若您選取使用者,則可以看到其調查優先順序分數的詳細資訊。

調查優先順序分數

在此範例中,我們可以看到使用者是一名會計、擁有 41 部裝置,且有活動紀錄,其中包括從危險 IP 位址登入和可疑收件匣轉寄。 高階存取權限、高度暴露和大量的可疑活動是造成此使用者擁有高調查優先順序分數的原因。

您可以選取儀表板中的項目以提供進一步的詳細資料。 此外,若您從儀表板選取 使用者動作,您可以執行動作以嘗試解決威脅,其中包括要求使用者再次登入、撤銷系統管理員權限或暫停使用者資格。

使用者動作

下列影片討論 UEBA,以及 UEBA 如何在 Microsoft Defender for Cloud Apps 中實作: