Megosztás a következőn keresztül:

Felhasználói és entitási viselkedéselemzés (UEBA) engedélyezése a Microsoft Sentinelben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Az előző üzembe helyezési lépésben engedélyezte a Microsoft Sentinel biztonsági tartalmát, amely a rendszerek védelméhez szükséges. Ebből a cikkből megtudhatja, hogyan engedélyezheti és használhatja az UEBA funkciót az elemzési folyamat gördülékenyebbé tételéhez. Ez a cikk a Microsoft Sentinel üzembe helyezési útmutatójának része.

Mivel a Microsoft Sentinel naplókat és riasztásokat gyűjt az összes csatlakoztatott adatforrásból, elemzi őket, és alapszintű viselkedési profilokat készít a szervezet entitásairól (például felhasználókról, gazdagépekről, IP-címekről és alkalmazásokról) az idő és a társcsoport horizontja során. A Microsoft Sentinel többféle technikát és gépi tanulási képességet használva azonosíthatja a rendellenes tevékenységeket, és segíthet megállapítani, hogy sérült-e egy eszköz. További információ az UEBA-ról.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

A funkció engedélyezéséhez vagy letiltásához (ezek az előfeltételek nem szükségesek a funkció használatához):

  • A felhasználót hozzá kell rendelni a Microsoft Entra ID biztonsági rendszergazdai szerepkörhöz a bérlőben, vagy az ezzel egyenértékű engedélyeket.

  • A felhasználóhoz az alábbi Azure-szerepkörök legalább egyikét hozzá kell rendelni (további információ az Azure RBAC-ről):

    • Microsoft Sentinel-közreműködő a munkaterület vagy az erőforráscsoport szintjén.
    • Log Analytics-közreműködő az erőforráscsoport vagy az előfizetés szintjén.

  • A munkaterületre nem vonatkozhat Azure-erőforrás-zárolás. További információ az Azure-erőforrások zárolásáról.

Feljegyzés

  • Az UEBA-funkciók Microsoft Sentinelhez való hozzáadásához nincs szükség különleges licencre, és a használatuk nem jár további költségekkel.
  • Mivel azonban az UEBA új adatokat hoz létre, és azokat új táblákban tárolja, amelyeket az UEBA hoz létre a Log Analytics-munkaterületen, további adattárolási díjakat kell fizetnie.

Felhasználó- és entitás viselkedéselemzésének engedélyezése

  • A Microsoft Sentinel felhasználói az Azure Portalon az Azure Portal lapján található utasításokat követve.
  • A Microsoft Sentinel felhasználói a Microsoft Defender portál részeként kövesse a Defender portál lapján található utasításokat.

  1. Lépjen az Entitás viselkedésének konfigurációs lapjára.

    Az entitás viselkedésének konfigurációs lapjára az alábbi három módszer bármelyikével léphet:

    • Válassza az Entitás viselkedése lehetőséget a Microsoft Sentinel navigációs menüjében, majd a felső menüsávon válassza az Entitás viselkedési beállításait .

    • Válassza a Beállítások lehetőséget a Microsoft Sentinel navigációs menüjében, válassza a Beállítások lapot, majd az Entitás viselkedéselemzése kibontó alatt válassza az UEBA beállítása lehetőséget.

    • A Microsoft Defender XDR adatösszekötő lapján válassza a Go the UEBA configuration page linket.

  2. Az Entitás viselkedésének konfigurációs lapján kapcsolja be a kapcsolót.

    Képernyőkép az UEBA konfigurációs beállításairól.

  3. Jelölje be azon Active Directory-forrástípusok melletti jelölőnégyzeteket, amelyekből a felhasználói entitásokat szinkronizálni szeretné a Microsoft Sentinellel.

    • Helyszíni Active Directory (előzetes verzió)
    • Microsoft Entra ID

    A felhasználói entitások helyi Active Directory való szinkronizálásához az Azure-bérlőt a Microsoft Defender for Identity szolgáltatásba kell előkészíteni (önállóan vagy a Microsoft Defender XDR részeként), és az MDI-érzékelőnek telepítve kell lennie az Active Directory tartományvezérlőn. További információért tekintse meg a Microsoft Defender for Identity előfeltételeit .

  4. Jelölje be azon adatforrások melletti jelölőnégyzeteket, amelyeken engedélyezni szeretné az UEBA-t.

    Feljegyzés

    A meglévő adatforrások listája alatt az UEBA által támogatott, még nem csatlakoztatott adatforrások listája látható.

    Miután engedélyezte az UEBA-t, lehetősége lesz arra, hogy új adatforrások csatlakoztatásakor közvetlenül az adatösszekötő panelről engedélyezze őket az UEBA számára, ha azok UEBA-kompatibilisek.

  5. Válassza az Alkalmazás lehetőséget. Ha az Entitás viselkedési lapján keresztül fért hozzá ehhez a laphoz, a rendszer ott adja vissza.

Következő lépések

Ebből a cikkből megtudhatja, hogyan engedélyezheti és konfigurálhatja a Felhasználó és entitás viselkedéselemzését (UEBA) a Microsoft Sentinelben. További információ az UEBA-ról:

Entitások vizsgálata entitáslapokkal