Udostępnij za pośrednictwem


Włączanie analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel

W poprzednim kroku wdrażania włączono zawartość zabezpieczeń usługi Microsoft Sentinel, którą należy chronić. Z tego artykułu dowiesz się, jak włączyć funkcję UEBA i używać jej w celu usprawnienia procesu analizy. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.

Ponieważ usługa Microsoft Sentinel zbiera dzienniki i alerty ze wszystkich połączonych źródeł danych, analizuje je i tworzy podstawowe profile behawioralne jednostek organizacji (takich jak użytkownicy, hosty, adresy IP i aplikacje) w horyzoncie czasu i grupy równorzędnej. Korzystając z różnych technik i możliwości uczenia maszynowego, usługa Microsoft Sentinel może następnie identyfikować nietypowe działania i pomóc w ustaleniu, czy element zawartości został naruszony. Dowiedz się więcej na temat analizy UEBA.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Aby włączyć lub wyłączyć tę funkcję (te wymagania wstępne nie są wymagane do korzystania z funkcji):

  • Użytkownik musi być przypisany do roli administratora zabezpieczeń usługi Microsoft Entra ID w dzierżawie lub równoważnych uprawnieniach.

  • Użytkownik musi mieć przypisaną co najmniej jedną z następujących ról platformy Azure (Dowiedz się więcej o kontroli dostępu opartej na rolach platformy Azure):

    • Współautor usługi Microsoft Sentinel na poziomach obszaru roboczego lub grupy zasobów.
    • Współautor usługi Log Analytics na poziomach grupy zasobów lub subskrypcji.
  • Obszar roboczy nie może mieć zastosowanych żadnych blokad zasobów platformy Azure. Dowiedz się więcej na temat blokowania zasobów platformy Azure.

Uwaga

  • Do dodania funkcji UEBA do usługi Microsoft Sentinel nie jest wymagana żadna specjalna licencja i korzystanie z niej nie wiąże się z żadnymi dodatkowymi kosztami.
  • Ponieważ jednak ueBA generuje nowe dane i przechowuje je w nowych tabelach tworzonych przez ueBA w obszarze roboczym usługi Log Analytics, zostaną naliczone dodatkowe opłaty za magazyn danych.

Jak włączyć analizę zachowań użytkowników i jednostek

  • Użytkownicy usługi Microsoft Sentinel w witrynie Azure Portal postępuj zgodnie z instrukcjami na karcie Azure Portal .
  • Użytkownicy usługi Microsoft Sentinel w portalu usługi Microsoft Defender postępuj zgodnie z instrukcjami na karcie Portal usługi Defender.
  1. Przejdź do strony Konfiguracja zachowania jednostki.

    Użyj dowolnego z tych trzech sposobów, aby przejść do strony konfiguracji zachowania jednostki:

    • Wybierz pozycję Zachowanie jednostki z menu nawigacji usługi Microsoft Sentinel, a następnie wybierz pozycję Ustawienia zachowania jednostki na górnym pasku menu.

    • Wybierz pozycję Ustawienia z menu nawigacji usługi Microsoft Sentinel, wybierz kartę Ustawienia , a następnie w obszarze ekspander analizy zachowania jednostek wybierz pozycję Ustaw analizę UEBA.

    • Na stronie łącznika danych XDR usługi Microsoft Defender wybierz link Przejdź do strony konfiguracji UEBA.

  2. Na stronie Konfiguracja zachowania jednostki przełącz przełącznik na .

    Zrzut ekranu przedstawiający ustawienia konfiguracji ueBA.

  3. Zaznacz pola wyboru obok typów źródłowych usługi Active Directory, z których chcesz zsynchronizować jednostki użytkowników z usługą Microsoft Sentinel.

    • Lokalna usługa Active Directory (wersja zapoznawcza)
    • Tożsamość Microsoft Entra

    Aby zsynchronizować jednostki użytkowników z lokalna usługa Active Directory, dzierżawa platformy Azure musi być dołączona do usługi Microsoft Defender for Identity (autonomicznej lub w ramach usługi Microsoft Defender XDR), a na kontrolerze domeny usługi Active Directory musi być zainstalowany czujnik MDI. Aby uzyskać więcej informacji, zobacz Wymagania wstępne usługi Microsoft Defender for Identity.

  4. Zaznacz pola wyboru obok źródeł danych, dla których chcesz włączyć analizę UEBA.

    Uwaga

    Poniżej listy istniejących źródeł danych zostanie wyświetlona lista źródeł danych obsługiwanych przez ueBA, które nie zostały jeszcze połączone.

    Po włączeniu funkcji UEBA będziesz mieć możliwość łączenia nowych źródeł danych w celu włączenia ich dla analizy UEBA bezpośrednio z poziomu okienka łącznika danych, jeśli są one obsługiwane przez interfejs UEBA.

  5. Wybierz Zastosuj. Jeśli uzyskasz dostęp do tej strony za pośrednictwem strony Zachowanie jednostki, zostaniesz tam zwrócony.

Następne kroki

W tym artykule przedstawiono sposób włączania i konfigurowania analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat analizy UEBA: