Povolení analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinel

Analýza chování uživatelů a entit (UEBA) v Microsoft Sentinel analyzuje protokoly a výstrahy z připojených zdrojů dat a vytváří základní profily chování entit vaší organizace, jako jsou uživatelé, hostitelé, IP adresy a aplikace. Pomocí strojového učení identifikuje rozhraní UEBA neobvyklou aktivitu, která může indikovat ohrožený prostředek.

UEBA můžete povolit a nakonfigurovat zdroje dat přímo na kartě UEBA. Viz Access UEBA na kartě UEBA.

Tento článek vysvětluje, jak povolit UEBA a nakonfigurovat zdroje dat z nastavení Microsoft Sentinel pracovního prostoru a z podporovaných datových konektorů.

Další informace o rozhraní UEBA najdete v tématu Identifikace hrozeb pomocí analýzy chování entit.

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v tématu Dostupnost cloudových funkcí pro zákazníky státní správy USA.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Povolení nebo zakázání analýzy chování uživatelů a entit (UEBA) (pro použití UEBA se nevyžadují tyto požadavky):

  • Váš uživatel musí mít ve vašem tenantovi přiřazenou roli Microsoft Entra ID Security Administrator nebo ekvivalentní oprávnění.

  • Uživatel musí mít přiřazenou alespoň jednu z následujících rolí Azure (Azure RBAC):

    • Vlastník na úrovni skupiny prostředků nebo na vyšší úrovni.
    • Přispěvatel na úrovni skupiny prostředků nebo na vyšší úrovni.
    • (Nejnižší úroveň oprávnění) Microsoft Sentinel Contributor na úrovni pracovního prostoru nebo vyšší a Log Analytics Contributor na úrovni skupiny prostředků nebo vyšší.
  • Váš pracovní prostor nesmí mít na sobě použité žádné zámky prostředků Azure. Další informace najdete v tématu uzamčení prostředků Azure.

Poznámka

  • K přidání funkcí UEBA do Microsoft Sentinel se nevyžaduje žádná speciální licence a za její používání se nenákladí žádné další náklady.
  • Vzhledem k tomu, že rozhraní UEBA generuje nová data a ukládá je do nových tabulek, které UEBA vytvoří ve vašem pracovním prostoru služby Log Analytics, účtují se další poplatky za úložiště dat .

Přístup k UEBA z karty UEBA

Pokud se chcete dostat na stránku konfigurace chování entit :

  1. V navigační nabídce Microsoft Defender portálu vyberteNastavení>systému>Microsoft Sentinel.
  2. Vyberte kartu UEBA .

Snímek karty UEBA.

Konfigurace UEBA

Pokud chcete nakonfigurovat UEBA na stránce konfigurace chování entity , proveďte následující kroky:

  1. Na stránce Konfigurace chování entit zapněte možnost Zapnout funkci UEBA.

    Snímek obrazovky s nastavením konfigurace UEBA

  2. Vyberte adresářové služby, ze kterých chcete synchronizovat entity uživatelů s Microsoft Sentinel.

    • služba Active Directory místně
    • Microsoft Entra ID

    Pokud chcete synchronizovat entity uživatelů z místní služby služba Active Directory, musíte připojit svého tenanta Azure k Microsoft Defender for Identity (buď samostatně, nebo jako součást Microsoft Defender XDR) a na řadiči domény služby služba Active Directory musíte mít nainstalovaný senzor MDI. Další informace najdete v tématu požadavky Microsoft Defender for Identity.

  3. Vyberte Připojit všechny zdroje dat a připojte všechny oprávněné zdroje dat nebo vyberte konkrétní zdroje dat ze seznamu.

    Tyto zdroje dat můžete povolit jenom z portálů Defender a Azure:

    • Protokoly přihlášení
    • Protokoly auditu
    • Aktivita Azure
    • Události zabezpečení

    Tyto zdroje dat můžete povolit jenom na portálu Defender:

    • Protokoly přihlášení spravované identity AAD (Microsoft Entra ID)
    • Protokoly přihlášení instančních objektů služby AAD (Microsoft Entra ID)
    • AWS CloudTrail
    • Události přihlášení k zařízení
    • Okta CL
    • Protokoly auditu GCP

    Další informace o zdrojích dat a anomáliích UEBA najdete v tématech Microsoft Sentinel Referenční informace k UEBA a Anomálie UEBA.

    Poznámka

    Po povolení UEBA můžete povolit podporované zdroje dat pro UEBA přímo z podokna datového konektoru nebo na stránce Nastavení portálu Defender.

  4. Vyberte Připojit.

  5. Povolení detekce anomálií v pracovním prostoru Microsoft Sentinel:

    1. V navigační nabídce Microsoft Defender portálu vyberte Nastavení>Microsoft Sentinel>SIEM pracovní prostory.
    2. Vyberte pracovní prostor, který chcete nakonfigurovat.
    3. Na stránce konfigurace pracovního prostoru vyberte Anomálie a zapněte možnost Zjistit anomálie.

Instalace řešení UEBA Essentials (volitelné)

Řešení UEBA Essentials je kolekce desítek předem připravených proaktivních dotazů kurátorovaných a spravovaných odborníky na zabezpečení Microsoftu. Řešení zahrnuje dotazy na detekci multicloudových anomálií napříč Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) a Okta.

Nainstalujte řešení, abyste mohli rychle začít s proaktivního vyhledáváním hrozeb a vyšetřováním s využitím dat UEBA, místo abyste tyto možnosti detekce vytvářeli úplně od začátku.

Další informace najdete v tématu Instalace nebo aktualizace řešení Microsoft Sentinel.

Povolení vrstvy chování UEBA

Vrstva chování UEBA generuje rozšířené souhrny aktivit pozorovaných ve více zdrojích dat. Na rozdíl od výstrah nebo anomálií chování nemusí nutně značit riziko – vytváří abstrakční vrstvu, která optimalizuje data pro účely šetření, proaktivního vyhledávání a detekce tím, že zlepšuje srozumitelnost, kontext a korelaci.

Další informace o vrstvě chování UEBA a jejím povolení najdete v tématu Povolení vrstvy chování UEBA v Microsoft Sentinel.

Další kroky

Naučte se zkoumat anomálie UEBA a používat data UEBA při vyšetřování: