Sdílet prostřednictvím


Povolení analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinelu

V předchozím kroku nasazení jste povolili obsah zabezpečení služby Microsoft Sentinel, který potřebujete k ochraně vašich systémů. V tomto článku se dozvíte, jak povolit a používat funkci UEBA ke zjednodušení procesu analýzy. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.

Vzhledem k tomu, že Microsoft Sentinel shromažďuje protokoly a výstrahy ze všech připojených zdrojů dat, analyzuje je a vytváří základní profily chování entit vaší organizace (například uživatelů, hostitelů, IP adres a aplikací) v rámci časového a partnerského horizontu skupin. Pomocí různých technik a schopností strojového učení může Microsoft Sentinel identifikovat neobvyklou aktivitu a pomoct určit, jestli došlo k ohrožení zabezpečení prostředku. Přečtěte si další informace o UEBA.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Pokud chcete tuto funkci povolit nebo zakázat (pro použití této funkce se nevyžadují tyto požadavky):

  • Uživatel musí být přiřazen k roli správce zabezpečení Microsoft Entra ID ve vašem tenantovi nebo ekvivalentním oprávněním.

  • Uživateli musí být přiřazena alespoň jedna z následujících rolí Azure (Další informace o Azure RBAC):

    • Přispěvatel Microsoft Sentinelu na úrovni pracovního prostoru nebo skupiny prostředků
    • Přispěvatel Log Analytics na úrovni skupiny prostředků nebo předplatného
  • Váš pracovní prostor nesmí obsahovat žádné zámky prostředků Azure. Přečtěte si další informace o uzamykání prostředků Azure.

Poznámka:

  • K přidání funkcí UEBA do Služby Microsoft Sentinel není nutná žádná speciální licence a za její použití nejsou žádné další náklady.
  • Protože ale UEBA generuje nová data a ukládá je do nových tabulek, které UEBA vytvoří ve vašem pracovním prostoru služby Log Analytics, budou platit další poplatky za úložiště dat.

Povolení analýzy chování uživatelů a entit

  • Uživatelé služby Microsoft Sentinel na webu Azure Portal postupujte podle pokynů na kartě Azure Portal .
  • Uživatelé služby Microsoft Sentinel jako součást portálu Microsoft Defenderu, postupujte podle pokynů na kartě portálu Defender.
  1. Přejděte na stránku konfigurace chování entity.

    Pomocí některého z těchto tří způsobů se dostanete na stránku konfigurace chování entit:

    • V navigační nabídce Služby Microsoft Sentinel vyberte chování entit a pak v horním řádku nabídek vyberte nastavení chování entit.

    • V navigační nabídce Microsoft Sentinelu vyberte nastavení , vyberte kartu Nastavení a pak v rozbalovacím programu Analýza chování entit vyberte Nastavit UEBA.

    • Na stránce datového konektoru XDR v programu Microsoft Defender vyberte odkaz Přejít na konfigurační stránku UEBA.

  2. Na stránce Konfigurace chování entity přepněte přepínač na Zapnuto.

    Snímek obrazovky s nastavením konfigurace UEBA

  3. Zaškrtněte políčka vedle typů zdrojů služby Active Directory, ze kterých chcete synchronizovat entity uživatelů se službou Microsoft Sentinel.

    • Místní služba Active Directory (Preview)
    • Microsoft Entra ID

    Pokud chcete synchronizovat entity uživatelů z místní Active Directory, musí být váš tenant Azure onboardovaný k Microsoft Defenderu for Identity (samostatně nebo jako součást XDR v programu Microsoft Defender) a musíte mít na řadiči domény Active Directory nainstalovaný senzor MDI. Další informace najdete v požadavcích microsoft Defenderu for Identity.

  4. Zaškrtněte políčka vedle zdrojů dat, u kterých chcete povolit UEBA.

    Poznámka:

    Pod seznamem existujících zdrojů dat se zobrazí seznam zdrojů dat podporovaných jazykem UEBA, které jste ještě nepřipojili.

    Jakmile povolíte UEBA, budete mít možnost při připojování nových zdrojů dat povolit UEBA přímo z podokna datového konektoru, pokud jsou podporující UEBA.

  5. Vyberte Použít. Pokud jste na tuto stránku přistupovali prostřednictvím stránky chování entity, vrátíte se tam.

Další kroky

V tomto článku jste zjistili, jak povolit a nakonfigurovat analýzu chování uživatelů a entit (UEBA) v Microsoft Sentinelu. Další informace o UEBA: