Bagikan melalui

Mengaktifkan Analitik Perilaku Pengguna dan Entitas (UEBA) di Microsoft Azure Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Pada langkah penyebaran sebelumnya, Anda mengaktifkan konten keamanan Microsoft Azure Sentinel yang Anda butuhkan untuk melindungi sistem Anda. Dalam artikel ini, Anda mempelajari cara mengaktifkan dan menggunakan fitur UEBA untuk menyederhanakan proses analisis. Artikel ini adalah bagian dari panduan Penyebaran untuk Microsoft Azure Sentinel.

Saat Microsoft Sentinel mengumpulkan log dan pemberitahuan dari semua sumber data yang terhubung, Microsoft Sentinel menganalisisnya dan membangun profil perilaku garis besar dari entitas organisasi Anda (seperti pengguna, host, IP alamat, dan aplikasi) lintas waktu dan cakrawala grup serekan. Dengan menggunakan berbagai teknik dan kemampuan pembelajaran mesin, Microsoft Azure Sentinel dapat mengidentifikasi aktivitas anomali dan membantu Anda menentukan apakah suatu aset telah disusupi. Pelajari lebih lanjut tentang UEBA.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Penting

Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Untuk mengaktifkan atau menonaktifkan fitur ini (prasyarat ini tidak diperlukan untuk menggunakan fitur ini):

  • Pengguna Anda harus ditetapkan ke peran Administrator Keamanan ID Microsoft Entra di penyewa Anda atau izin yang setara.

  • Pengguna Anda harus diberi setidaknya salah satu peran Azure berikut ini (Pelajari selengkapnya tentang Azure RBAC):

    • Microsoft Sentinel Azure Contributor di tingkat ruang kerja atau grup sumber daya.
    • Log Analytics Contributor di grup sumber daya atau tingkat langganan.

  • Ruang kerja Anda tidak boleh memiliki kunci sumber daya Azure yang diterapkan padanya. Pelajari lebih lanjut mengenai penguncian Azure Resource Graph.

Catatan

  • Tidak diperlukan lisensi khusus untuk menambahkan fungsionalitas UEBA ke Microsoft Sentinel, dan tidak ada biaya tambahan untuk menggunakannya.
  • Namun, karena UEBA menghasilkan data baru dan menyimpannya dalam tabel baru yang dibuat UEBA di ruang kerja Analitik Log Anda, biaya penyimpanan data tambahan akan berlaku.

Bagaimana cara mengaktifkan Analitik Perilaku Pengguna dan Entitas (UEBA/User and Entity Behavior Analytics)

  • Pengguna Microsoft Azure Sentinel di portal Azure, ikuti instruksi di tab portal Azure.
  • Pengguna Microsoft Sentinel sebagai bagian dari portal Pertahanan Microsoft, ikuti instruksi di tab portal Pertahanan.

  1. Buka halaman Konfigurasi perilaku entitas.

    Gunakan salah satu dari tiga cara ini untuk masuk ke halaman Konfigurasi perilaku entitas:

    • Pilih Perilaku entitas dari menu navigasi Microsoft Azure Sentinel, lalu pilih Pengaturan perilaku entitas dari bilah menu atas.

    • Pilih Pengaturan dari menu navigasi Microsoft Azure Sentinel, pilih tab Pengaturan, lalu di bawah pemerluas Analitik perilaku entitas, pilih Atur UEBA.

    • Dari halaman konektor data Microsoft Defender XDR, pilih tautan Buka halaman konfigurasi UEBA.

  2. Pada halaman Konfigurasi perilaku entitas, alihkan sakelar ke Aktif.

    Cuplikan layar pengaturan konfigurasi UEBA.

  3. Tandai kotak centang di samping jenis sumber Active Directory tempat Anda ingin menyinkronkan entitas pengguna dengan Microsoft Sentinel.

    • Active Directory lokal (Pratinjau)
    • Microsoft Entra ID

    Untuk menyinkronkan entitas pengguna dari Active Directory lokal, penyewa Azure Anda harus di-onboarding ke Microsoft Defender untuk Identitas (baik mandiri atau sebagai bagian dari Microsoft Defender XDR) dan Anda harus menginstal sensor MDI pada pengontrol domain Direktori Aktif Anda. Lihat prasyarat Pertahanan Microsoft untuk Identitas untuk informasi selengkapnya.

  4. Tandai kotak centang di samping sumber data tempat Anda ingin mengaktifkan UEBA.

    Catatan

    Di bawah daftar sumber data yang ada, Anda akan melihat daftar sumber data yang didukung UEBA yang belum Anda sambungkan.

    Setelah Anda mengaktifkan UEBA, Anda akan memiliki opsi, saat menyambungkan sumber data baru, untuk mengaktifkannya untuk UEBA langsung dari panel konektor data jika sumber data mendukung UEBA.

  5. Pilih Terapkan. Jika Anda mengakses halaman ini melalui halaman Perilaku entitas, Anda akan dikembalikan ke sana.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara mengaktifkan dan mengonfigurasi Analitik Perilaku Pengguna dan Entitas (UEBA) di Microsoft Azure Sentinel. Untuk mengetahui informasi selengkapnya tentang UEBA:

Menyelidiki entitas dengan halaman entitas