Pokročilá detekce hrozeb s využitím analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinelu
Poznámka:
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.
Identifikace hrozeb ve vaší organizaci a jejich potenciální dopad – ať už ohrožená entita nebo zlými úmysly – byla vždy časově náročná a náročná na práci. Probíhání výstrah, propojení bodů a aktivní proaktivní proaktivní vyhledávání se sčítají až do obrovského množství času a úsilí expedovaných s minimálními výnosy a možnost sofistikovaných hrozeb jednoduše vyhýbá zjišťování. Obzvláště nebezpečné hrozby, jako je nula-den, cílená a pokročilá trvalá hrozba, mohou být pro vaši organizaci nejbezpečnější, aby jejich detekce byla důležitější.
Funkce UEBA v Microsoft Sentinelu eliminuje družbu z úloh analytiků a nejistotu z jejich úsilí a poskytuje vysoce věrnou inteligenci s možností akcí, aby se mohli soustředit na šetření a nápravu.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Všechny výhody UEBA jsou k dispozici na portálu Microsoft Defenderu.
Co je Analýza chování uživatelů a entit (UEBA)?
Vzhledem k tomu, že Microsoft Sentinel shromažďuje protokoly a výstrahy ze všech připojených zdrojů dat, analyzuje je a vytváří základní profily chování entit vaší organizace (například uživatelů, hostitelů, IP adres a aplikací) v rámci časového a partnerského horizontu skupin. Pomocí různých technik a schopností strojového učení může Microsoft Sentinel identifikovat neobvyklou aktivitu a pomoct určit, jestli došlo k ohrožení zabezpečení prostředku. Nejen to, ale může také zjistit relativní citlivost konkrétních prostředků, identifikovat partnerské skupiny prostředků a vyhodnotit potenciální dopad jakéhokoli ohroženého prostředku (jeho "poloměr výbuchu"). S těmito informacemi můžete efektivně určit prioritu vyšetřování a zpracování incidentů.
Architektura analýz UEBA
Analýzy řízené zabezpečením
Microsoft Sentinel je inspirovaný paradigmatem Společnosti Sentinel pro řešení UEBA, který vychází ze tří referenčních rámců:
Případy použití: Stanovením priority pro relevantní vektory útoku a scénáře na základě výzkumu zabezpečení v souladu s architekturou MITRE ATT&CK taktiky, technik a dílčích technik, které umístí různé entity jako oběti, pachatele nebo kontingenční body do řetězu kill; Microsoft Sentinel se zaměřuje konkrétně na nejcennější protokoly, které každý zdroj dat může poskytnout.
Zdroje dat: Microsoft Sentinel jako první a především podporuje zdroje dat Azure, ale promyšleně vybírá zdroje dat třetích stran, aby poskytovala data, která odpovídají našim scénářům hrozeb.
Analýza: Použití různých algoritmů strojového učení (ML) identifikuje Microsoft Sentinel neobvyklé aktivity a prezentuje důkazy jasně a stručně ve formě kontextových rozšiřování, některé příklady, které se zobrazují níže.
Microsoft Sentinel představuje artefakty, které pomáhají analytikům zabezpečení porozumět neobvyklým aktivitám v kontextu a ve srovnání s profilem standardních hodnot uživatele. Akce prováděné uživatelem (nebo hostitelem nebo adresou) se vyhodnocují kontextově, kde výsledek "true" označuje identifikovanou anomálii:
- v různých geografických umístěních, zařízeních a prostředích.
- napříč časovými a frekvenčními horizonty (ve srovnání s vlastní historií uživatele).
- ve srovnání s chováním partnerských vztahů.
- ve srovnání s chováním organizace.
Informace o entitě uživatele, které Microsoft Sentinel používá k sestavení svých profilů uživatelů, pocházejí z vašeho ID Microsoft Entra (nebo vašeho místní Active Directory, nyní ve verzi Preview). Když povolíte UEBA, synchronizuje vaše ID Microsoft Entra s Microsoft Sentinelem a uloží informace do interní databáze viditelné prostřednictvím tabulky IdentityInfo .
- V Microsoft Sentinelu na webu Azure Portal se dotazujete na tabulku IdentityInfo v Log Analytics na stránce Protokoly .
- Na portálu Defender se na tuto tabulku dotazujete v rozšířeném proaktivním vyhledávání.
Teď ve verzi Preview můžete synchronizovat také informace o místní Active Directory entitu uživatele pomocí programu Microsoft Defender for Identity.
Informace o povolení UEBA (User and Entity Behavior Analytics) v Microsoft Sentinelu najdete v tématu Povolení analýzy chování uživatelů a entit v Microsoft Sentinelu , kde se dozvíte, jak povolit UEBA a synchronizovat identity uživatelů.
Vyhodnocování
Každá aktivita má skóre "Skóre priority šetření", které určuje pravděpodobnost konkrétního uživatele provádějícího konkrétní aktivitu na základě chování uživatele a jejich partnerských vztahů. Aktivity, které jsou identifikovány jako nejnormální, dostávají nejvyšší skóre (v měřítku 0–10).
Podívejte se, jak se v Programu Microsoft Defender for Cloud Apps používá analýza chování, například jak to funguje.
Přečtěte si další informace o entitách v Microsoft Sentinelu a podívejte se na úplný seznam podporovaných entit a identifikátorů.
Stránky entit
Informace o stránkách entit se teď dají najít na stránkách entit v Microsoft Sentinelu.
Dotazování na data analýzy chování
Pomocí jazyka KQL můžeme dotazovat tabulku BehaviorAnalytics.
Pokud například chceme najít všechny případy uživatele, který se nepodařilo přihlásit k prostředku Azure, kde se uživatel poprvé pokusil připojit z dané země nebo oblasti a připojení z dané země nebo oblasti jsou neobvyklé i pro partnerské vztahy uživatele, můžeme použít následující dotaz:
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
- V Microsoft Sentinelu na webu Azure Portal se dotazujete na tabulku BehaviorAnalytics v Log Analytics na stránce Protokoly .
- Na portálu Defender se na tuto tabulku dotazujete v rozšířeném proaktivním vyhledávání.
Metadata partnerských vztahů uživatelů – tabulka a poznámkový blok
Metadata partnerských vztahů uživatelů poskytují důležitý kontext při detekcích hrozeb, při vyšetřování incidentu a při proaktivním vyhledávání potenciální hrozby. Analytici zabezpečení můžou sledovat běžné aktivity partnerských vztahů uživatele a určit, jestli jsou aktivity uživatele neobvyklé ve srovnání s aktivitami jeho partnerských vztahů.
Microsoft Sentinel vypočítá a řadí partnerské vztahy uživatele na základě členství ve skupinách zabezpečení Microsoft Entra, seznamu adresátů, et cetera a ukládá partnerské vztahy seřazené 1–20 v tabulce UserPeerAnalytics . Následující snímek obrazovky ukazuje schéma tabulky UserPeerAnalytics a zobrazuje prvních osm hodnocených partnerských vztahů uživatele Kendall Collins. Microsoft Sentinel používá algoritmus četnosti inverzních dokumentů (TF-IDF) k normalizaci vážení pro výpočet pořadí: menší skupina, tím vyšší váha.
K vizualizaci metadat partnerských vztahů uživatelů můžete použít poznámkový blok Jupyter poskytnutý v úložišti GitHub microsoft Sentinelu. Podrobné pokyny k používání poznámkového bloku najdete v poznámkovém bloku Analýza s asistencí – poznámkový blok metadat zabezpečení uživatele.
Poznámka:
Tabulka UserAccessAnalytics je zastaralá.
Dotazy proaktivního vyhledávání a průzkumné dotazy
Microsoft Sentinel poskytuje sadu dotazů proaktivního vyhledávání, průzkumných dotazů a sešitu Analýza chování uživatelů a entit, který je založený na tabulce BehaviorAnalytics . Tyto nástroje představují rozšířená data zaměřená na konkrétní případy použití, které označují neobvyklé chování.
Další informace naleznete v tématu:
Vzhledem k tomu, že zastaralé nástroje ochrany starších verzí, mohou mít organizace takovou obrovskou a obrovskou digitální aktiva, že se stává nespravovatelnou k získání komplexního obrazu o riziku a stavu svého prostředí může být vystaveno. Spoléhání se silně na reaktivní úsilí, jako jsou analýzy a pravidla, umožňují špatným hercům naučit se, jak tyto snahy obejít. V tomto místě hraje UEBA tím, že poskytuje metodologie a algoritmy vyhodnocování rizik, které vám pomůžou zjistit, co se skutečně děje.
Další kroky
V tomto dokumentu jste se dozvěděli o možnostech analýzy chování entit v Microsoft Sentinelu. Praktické pokyny k implementaci a použití přehledů, které jste získali, najdete v následujících článcích:
- Povolte analýzu chování entit v Microsoft Sentinelu.
- Podívejte se na seznam anomálií zjištěných modulem UEBA.
- Vyšetřování incidentů s daty UEBA
- Proaktivní vyhledávání bezpečnostních hrozeb.
Další informace najdete také v referenčních informacích k jazyku UEBA služby Microsoft Sentinel.