Aktivieren von User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel
Im vorherigen Bereitstellungsschritt haben Sie die Microsoft Sentinel-Sicherheitsinhalte aktiviert, die Sie zum Schutz Ihrer Systeme benötigen. In diesem Artikel erfahren Sie, wie Sie das Feature „User and Entity Behavior Analytics“ (UEBA) aktivieren und verwenden, um den Analyseprozess zu optimieren. Dieser Artikel ist Teil des Bereitstellungshandbuchs für Microsoft Sentinel.
Microsoft Sentinel sammelt zeit- und peergruppenübergreifend Protokolle und Warnungen von allen verbundenen Datenquellen, analysiert sie und erstellt Baselineprofile für das Verhalten von Entitäten (Benutzer, Hosts, IP-Adressen und Anwendungen) einer Organisation. Mit verschiedenen Techniken und Machine Learning-Funktionen kann Microsoft Sentinel anomale Aktivitäten erkennen und Sie dabei unterstützen, festzustellen, ob eine Ressource kompromittiert wurde. Erfahren Sie mehr über UEBA.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
Wichtig
Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Voraussetzungen
So aktivieren oder deaktivieren Sie dieses Feature (diese Voraussetzungen müssen nicht erfüllt sein, um das Feature zu verwenden)
Ihrem Benutzer muss die Microsoft Entra ID-Rolle Sicherheitsadministrator in Ihrem Mandanten oder eine entsprechende Berechtigung zugewiesen sein.
Ihrem Benutzer muss mindestens eine der folgenden Azure-Rollen zugewiesen sein (Weitere Informationen zu Azure RBAC):
- Microsoft Sentinel-Mitwirkender auf Arbeitsbereichs -oder Ressourcengruppenebene.
- Log Analytics-Mitwirkender auf Ressourcengruppen- oder Abonnementebene.
In Ihrem Arbeitsbereich dürfen keine Azure-Ressourcensperren aktiviert sein. Erfahren Sie mehr über Azure-Ressourcensperren.
Hinweis
- Zum Hinzufügen von UEBA-Funktionalität zu Microsoft Sentinel ist keine spezielle Lizenz erforderlich, und es fallen keine zusätzliche Gebühren für die Verwendung an.
- Da UEBA jedoch neue Daten generiert und in neuen Tabellen speichert, die UEBA in Ihrem Log Analytics-Arbeitsbereich erstellt, fallen zusätzliche Gebühren für die Datenspeicherung an.
Aktivieren von User and Entity Behavior Analytics
- Benutzer von Microsoft Sentinel im Azure-Portal befolgen die Anweisungen auf der Registerkarte Azure-Portal.
- Benutzer von Microsoft Sentinel befolgen im Rahmen des Microsoft Defender-Portals die Anweisungen auf der Registerkarte Defender-Portal.
Wechseln Sie zur Seite Konfiguration des Entitätsverhaltens.
Verwenden Sie eine der folgenden drei Methoden, um zur Seite Konfiguration des Entitätsverhaltens zu gelangen:
Wählen Sie das Entitätsverhalten im Microsoft Sentinel-Navigationsmenü aus, und wählen Sie dann Einstellungen für Entitätsverhalten aus der Menüleiste oben aus.
Wählen Sie Einstellungen im Microsoft Sentinel-Navigationsmenü aus, wählen Sie die Registerkarte Einstellungen aus, und wählen Sie dann unter der Erweiterung Entitätsverhaltensanalyse die Option UEBA festlegen aus.
Wählen Sie auf der Seite des Microsoft Defender XDR-Datenconnectors den Link Zur UEBA-Konfigurationsseite wechseln aus.
Legen Sie auf der Seite Entitätsverhaltenseinstellungen die Option auf Ein fest.
Aktivieren Sie die Kontrollkästchen neben den Active Directory-Quelltypen, deren Benutzerentitäten Sie mit Microsoft Sentinel synchronisieren möchten.
- Active Directory lokal (Vorschau)
- Microsoft Entra ID
Um Benutzerentitäten aus dem lokalen Active Directory zu synchronisieren, muss Ihr Azure-Mandant in Microsoft Defender for Identity (entweder eigenständig oder als Teil von Microsoft Defender XDR) integriert sein, und Sie müssen den MDI-Sensor auf Ihrem Active Directory-Domänencontroller installiert haben. Weitere Informationen finden Sie unter Microsoft Defender for Identity-Voraussetzungen.
Aktivieren Sie die Kontrollkästchen neben den Datenquellen, für die Sie UEBA aktivieren möchten.
Hinweis
Unterhalb der Liste der vorhandenen Datenquellen finden Sie eine Liste der von UEBA unterstützten Datenquellen, mit denen Sie noch keine Verbindung hergestellt haben.
Nachdem Sie UEBA aktiviert haben, können Sie beim Herstellen einer Verbindung mit neuen Datenquellen diese im Bereich des Datenconnectors direkt für UEBA aktivieren (sofern sie UEBA-fähig sind).
Wählen Sie Übernehmen. Wenn Sie über die Seite Entitätsverhalten auf diese Seite zugegriffen haben, werden Sie dorthin zurückgeleitet.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel aktivieren und konfigurieren. Weitere Informationen zu UEBA: