Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Analýza chování uživatelů a entit (UEBA) v Microsoft Sentinel analyzuje protokoly a výstrahy z připojených zdrojů dat a vytváří základní profily chování entit vaší organizace, jako jsou uživatelé, hostitelé, IP adresy a aplikace. Pomocí strojového učení identifikuje rozhraní UEBA neobvyklou aktivitu, která může indikovat ohrožený prostředek.
UEBA můžete povolit a nakonfigurovat zdroje dat přímo na kartě UEBA. Viz Access UEBA na kartě UEBA.
Tento článek vysvětluje, jak povolit UEBA a nakonfigurovat zdroje dat z nastavení Microsoft Sentinel pracovního prostoru a z podporovaných datových konektorů.
Další informace o rozhraní UEBA najdete v tématu Identifikace hrozeb pomocí analýzy chování entit.
Poznámka
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v tématu Dostupnost cloudových funkcí pro zákazníky státní správy USA.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
Požadavky
Povolení nebo zakázání analýzy chování uživatelů a entit (UEBA) (pro použití UEBA se nevyžadují tyto požadavky):
Váš uživatel musí mít ve vašem tenantovi přiřazenou roli Microsoft Entra ID Security Administrator nebo ekvivalentní oprávnění.
Uživatel musí mít přiřazenou alespoň jednu z následujících rolí Azure (Azure RBAC):
- Vlastník na úrovni skupiny prostředků nebo na vyšší úrovni.
- Přispěvatel na úrovni skupiny prostředků nebo na vyšší úrovni.
- (Nejnižší úroveň oprávnění) Microsoft Sentinel Contributor na úrovni pracovního prostoru nebo vyšší a Log Analytics Contributor na úrovni skupiny prostředků nebo vyšší.
Váš pracovní prostor nesmí mít na sobě použité žádné zámky prostředků Azure. Další informace najdete v tématu uzamčení prostředků Azure.
Poznámka
- K přidání funkcí UEBA do Microsoft Sentinel se nevyžaduje žádná speciální licence a za její používání se nenákladí žádné další náklady.
- Vzhledem k tomu, že rozhraní UEBA generuje nová data a ukládá je do nových tabulek, které UEBA vytvoří ve vašem pracovním prostoru služby Log Analytics, účtují se další poplatky za úložiště dat .
Přístup k UEBA z karty UEBA
Pokud se chcete dostat na stránku konfigurace chování entit :
- V navigační nabídce Microsoft Defender portálu vyberteNastavení>systému>Microsoft Sentinel.
- Vyberte kartu UEBA .
Konfigurace UEBA
Pokud chcete nakonfigurovat UEBA na stránce konfigurace chování entity , proveďte následující kroky:
Na stránce Konfigurace chování entit zapněte možnost Zapnout funkci UEBA.
Vyberte adresářové služby, ze kterých chcete synchronizovat entity uživatelů s Microsoft Sentinel.
- služba Active Directory místně
- Microsoft Entra ID
Pokud chcete synchronizovat entity uživatelů z místní služby služba Active Directory, musíte připojit svého tenanta Azure k Microsoft Defender for Identity (buď samostatně, nebo jako součást Microsoft Defender XDR) a na řadiči domény služby služba Active Directory musíte mít nainstalovaný senzor MDI. Další informace najdete v tématu požadavky Microsoft Defender for Identity.
Vyberte Připojit všechny zdroje dat a připojte všechny oprávněné zdroje dat nebo vyberte konkrétní zdroje dat ze seznamu.
Tyto zdroje dat můžete povolit jenom z portálů Defender a Azure:
- Protokoly přihlášení
- Protokoly auditu
- Aktivita Azure
- Události zabezpečení
Tyto zdroje dat můžete povolit jenom na portálu Defender:
- Protokoly přihlášení spravované identity AAD (Microsoft Entra ID)
- Protokoly přihlášení instančních objektů služby AAD (Microsoft Entra ID)
- AWS CloudTrail
- Události přihlášení k zařízení
- Okta CL
- Protokoly auditu GCP
Další informace o zdrojích dat a anomáliích UEBA najdete v tématech Microsoft Sentinel Referenční informace k UEBA a Anomálie UEBA.
Poznámka
Po povolení UEBA můžete povolit podporované zdroje dat pro UEBA přímo z podokna datového konektoru nebo na stránce Nastavení portálu Defender.
Vyberte Připojit.
Povolení detekce anomálií v pracovním prostoru Microsoft Sentinel:
- V navigační nabídce Microsoft Defender portálu vyberte Nastavení>Microsoft Sentinel>SIEM pracovní prostory.
- Vyberte pracovní prostor, který chcete nakonfigurovat.
- Na stránce konfigurace pracovního prostoru vyberte Anomálie a zapněte možnost Zjistit anomálie.
Instalace řešení UEBA Essentials (volitelné)
Řešení UEBA Essentials je kolekce desítek předem připravených proaktivních dotazů kurátorovaných a spravovaných odborníky na zabezpečení Microsoftu. Řešení zahrnuje dotazy na detekci multicloudových anomálií napříč Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) a Okta.
Nainstalujte řešení, abyste mohli rychle začít s proaktivního vyhledáváním hrozeb a vyšetřováním s využitím dat UEBA, místo abyste tyto možnosti detekce vytvářeli úplně od začátku.
Další informace najdete v tématu Instalace nebo aktualizace řešení Microsoft Sentinel.
Povolení vrstvy chování UEBA
Vrstva chování UEBA generuje rozšířené souhrny aktivit pozorovaných ve více zdrojích dat. Na rozdíl od výstrah nebo anomálií chování nemusí nutně značit riziko – vytváří abstrakční vrstvu, která optimalizuje data pro účely šetření, proaktivního vyhledávání a detekce tím, že zlepšuje srozumitelnost, kontext a korelaci.
Další informace o vrstvě chování UEBA a jejím povolení najdete v tématu Povolení vrstvy chování UEBA v Microsoft Sentinel.
Další kroky
Naučte se zkoumat anomálie UEBA a používat data UEBA při vyšetřování: