Freigeben über

Übersetzen von Rohsicherheitsprotokollen in Verhaltenserkenntnisse mithilfe von UEBA-Verhaltensweisen in Microsoft Sentinel (Vorschau)

Die Verhaltensschicht für Benutzer- und Entitätsverhaltensanalysen (User and Entity Behavior Analytics, UEBA) in Microsoft Sentinel aggregiert und fasst große Mengen an Rohprotokollen in eindeutige und leicht verständliche Muster von Sicherheitsaktionen zusammen, die strukturiert erläutern, "wer was für wen getan hat."

Im Gegensatz zu Warnungen oder Anomalien deuten Verhaltensweisen nicht unbedingt auf Risiken hin – sie erstellen eine Abstraktionsebene, die Ihre Daten für Untersuchungen, Suche und Erkennung optimiert, indem sie Folgendes verbessern:

  • Effizienz: Reduzieren Sie die Untersuchungszeit, indem Sie verwandte Ereignisse mit zusammenhängenden Geschichten verknüpfen.
  • Klarheit: Übersetzen Sie rauschende, niederstufige Protokolle in leicht verständliche Zusammenfassungen.
  • Kontext: Fügen Sie MITRE ATT&CK-Zuordnung und Entitätsrollen hinzu, um sofortigen Sicherheitsbezug zu gewährleisten.
  • Konsistenz: Bereitstellen eines einheitlichen Schemas über verschiedene Protokollquellen hinweg.

Diese Abstraktionsebene ermöglicht eine schnellere Erkennung, Untersuchung und Reaktion in Ihren Sicherheitsoperationen, ohne dass umfassende Vertrautheit mit jeder Protokollquelle erforderlich ist.

In diesem Artikel wird erläutert, wie die UEBA-Verhaltensebene funktioniert, wie sie die Verhaltensebene aktivieren und wie Sie Verhalten verwenden, um Sicherheitsvorgänge zu verbessern.

Funktionsweise der UEBA-Verhaltensschicht

Verhaltensweisen sind Teil der Funktionen von Microsoft Sentinel für Benutzer- und Entitätsverhaltensanalysen (User and Entity Behavior Analytics, UEBA), die normalisierte, kontextbezogene Aktivitätszusammenfassungen bereitstellen, die Anomalieerkennung ergänzen und Untersuchungen erweitern. Diese Tabelle zeigt, wie sich Verhaltensweisen von Anomalien und Warnungen unterscheiden:

Fähigkeit Was es repräsentiert Purpose
Anomalies Muster, die von etablierten Basislinien abweichen Hervorheben ungewöhnlicher oder verdächtiger Aktivitäten
Benachrichtigungen Signalisieren eines potenziellen Sicherheitsproblems, das Aufmerksamkeit erfordert Auslösen von Workflows zur Reaktion auf Vorfälle
Verhaltensweisen Neutrale, strukturierte Zusammenfassungen von Aktivitäten – normal oder abnorm – basierend auf Zeitfenstern oder Triggern, mit MITRE ATT&CK-Zuordnungen und Entitätsrollen bereichert Bereitstellen von Kontext und Klarheit für Untersuchungen, Suche und Erkennung

Wenn Sie die UEBA-Verhaltensschicht aktivieren, verarbeitet Microsoft Sentinel unterstützte Sicherheitsprotokolle, die Sie in Ihrem Sentinel-Arbeitsbereich in nahezu Echtzeit sammeln, und fasst zwei Arten von Verhaltensmustern zusammen:

Verhaltenstyp Beschreibung Examples Anwendungsfall
Aggregierte Verhaltensweisen Erkennen von volumebasierten Mustern durch Sammeln verwandter Ereignisse im Zeitfenster
  • Der Benutzer hat in 1 Stunde auf 50 Ressourcen zugegriffen.
  • Anmeldeversuche von 10+ verschiedenen IP-Adressen
 Konvertieren Sie umfangreiche Protokolle in verwertbare Sicherheitseinblicke. Dieser Verhaltenstyp zeichnet sich durch die Identifizierung ungewöhnlicher Aktivitätsstufen aus.
Sequenzierte Verhaltensweisen Identifizieren sie mehrstufige Muster oder komplexe Angriffsketten, die nicht offensichtlich sind, wenn Sie einzelne Ereignisse betrachten Zugriffsschlüssel erstellt > verwendet von neuer IP > privilegierte API-Aufrufe Erkennen Sie komplexe Angriffssequenzen und mehrstufige Bedrohungen.

Die UEBA-Verhaltensebene fasst Verhaltensweisen in maßgeschneiderten Zeitintervallen zusammen, die für die Logik jedes Verhaltens spezifisch sind, und erstellt Verhaltensdatensätze sofort, wenn sie Muster identifiziert oder wenn die Zeitfenster geschlossen werden.

Jeder Verhaltensdatensatz enthält:

  • Eine einfache, kontextbezogene Beschreibung: Eine natürliche Spracherklärung, was in sicherheitsrelevanten Begriffen passiert ist – z. B. wer wasfür wen getan hat und warum es wichtig ist.
  • Einheitliches Schema und Verweise auf die zugrunde liegenden Rohprotokolle: Alle Verhaltensweisen verwenden eine konsistente Datenstruktur für verschiedene Produkte und Protokolltypen, sodass Analysten keine unterschiedlichen Protokollformate übersetzen oder Tabellen mit hohem Volumen verknüpfen müssen.
  • MITRE ATT&CK-Zuordnung: Jedes Verhalten wird mit relevanten MITRE-Taktiken und -Techniken markiert und bietet branchenüblichen Kontext auf einen Blick. Sie sehen nicht nur , was passiert ist, sondern auch , wie es in ein Angriffsframework oder eine Zeitachse passt.
  • Entitätsbeziehungszuordnung: Jedes Verhalten identifiziert die beteiligten Entitäten (Benutzer, Hosts, IP-Adressen) und ihre Rollen (Akteur, Ziel oder andere).

Die UEBA-Verhaltensschicht speichert Verhaltensdatensätze in zwei dedizierten Tabellen, die nahtlos in Ihre vorhandenen Workflows für Erkennungsregeln, Untersuchungen und Vorfallanalysen integriert werden. Es verarbeitet alle Arten von Sicherheitsaktivitäten - nicht nur verdächtige Ereignisse - und bietet umfassende Einblicke in normale und anomalieale Verhaltensmuster. Informationen zum Verwenden von Verhaltenstabellen finden Sie unter Bewährte Methoden und Tipps zur Problembehandlung für Abfragen von Verhaltensweisen.

In diesem Diagramm wird veranschaulicht, wie die UEBA-Verhaltensebene rohe Protokolle in strukturierte Verhaltensaufzeichnungen transformiert, die Sicherheitsvorgänge verbessern:

Diagramm, das zeigt, wie die UEBA-Verhaltensschicht Rohprotokolle in strukturierte Verhaltensaufzeichnungen transformiert, die Sicherheitsvorgänge verbessern.

Von Bedeutung

Generative KI unterstützt die UEBA Behaviors-Ebene, um die bereitgestellten Erkenntnisse zu erstellen und zu skalieren. Microsoft hat das Feature "Verhalten" basierend auf datenschutzbezogenen und verantwortungsvollen KI-Prinzipien entwickelt, um Transparenz und Erläuterung zu gewährleisten. Verhaltensweisen führen keine neuen Compliancerisiken oder undurchsichtige "Black Box"-Analysen in Ihre SOC ein. Ausführliche Informationen dazu, wie KI in diesem Feature angewendet wird, und den Ansatz von Microsoft für verantwortungsvolle KI finden Sie in den häufig gestellten Fragen zur Verantwortlichen KI für die Microsoft UEBA-Verhaltensschicht.

Anwendungsfälle und Beispiele

Hier erfahren Sie, wie Analysten, Jäger und Erkennungstechniker Verhaltensweisen während Untersuchungen, Jagd und Warnungserstellung verwenden können.

Untersuchung und Vorfallsanreicherung

Verhaltensanalysen geben SOC-Analysten sofortige Klarheit darüber, was in Bezug auf eine Warnung passiert ist, ohne zwischen mehreren rohen Protokolltabellen wechseln zu müssen.

  • Workflow ohne Verhalten: Analysten müssen Zeitachsen häufig manuell rekonstruieren, indem ereignisspezifische Tabellen abgefragt und Ergebnisse zusammengeführt werden.

    Beispiel: Eine Warnung wird wegen einer verdächtigen AWS-Aktivität ausgelöst. Der Analyst fragt die AWSCloudTrail Tabelle ab und pivotiert dann zu Firewalldaten, um zu verstehen, was der Benutzer oder Host getan hat. Dies erfordert Kenntnisse der einzelnen Schemas und verlangsamt die Triage.

  • Workflow mit Verhalten: Die UEBA-Verhaltensschicht aggregiert automatisch verwandte Ereignisse in Verhaltenseinträge, die an einen Vorfall angefügt oder bei Bedarf abgefragt werden können.

    Beispiel: Eine Warnung gibt mögliche Exfiltration von Anmeldeinformationen an. In der BehaviorInfo Tabelle sieht der Analyst das Verhalten Verdächtiger massenhafter Zugriff auf geheime Daten über AWS IAM durch User123, das der MITRE-Technik T1552 (ungesicherte Anmeldedaten) zugeordnet ist. Die UEBA-Verhaltensschicht hat dieses Verhalten durch Aggregieren von 20 AWS-Protokolleinträgen generiert. Der Analyst versteht sofort, dass User123 auf viele geheime Schlüssel zugegriffen hat – entscheidender Kontext, um den Vorfall zu eskalieren – ohne alle 20 Protokolleinträge manuell zu überprüfen.

Bedrohungssuche

Verhaltensweisen ermöglichen Es Jägern, nach TTPs und Aktivitätszusammenfassungen zu suchen, anstatt komplexe Verknüpfungen zu schreiben oder rohe Protokolle selbst zu normalisieren.

  • Workflow ohne Verhalten: Hunts erfordern komplexe KQL, Tabellenverknüpfungen und Vertrautheit mit jedem Datenquellenformat. Wichtige Aktivitäten können in großen Datasets mit wenig integriertem Sicherheitskontext begraben werden.

    Beispiel: Die Suche nach Anzeichen von Aufklärung könnte das separate Scannen von Ereignissen AWSCloudTrail und bestimmten Firewall-Verbindungsmustern erfordern. Der Kontext besteht hauptsächlich in Vorfällen und Warnungen, wodurch die proaktive Suche erschwert wird.

  • Workflow mit Verhalten: Verhaltensweisen werden normalisiert, bereichert und MITRE-Taktiken und -Techniken zugeordnet. Jäger können nach sinnvollen Mustern suchen, ohne von den Schemata der einzelnen Quellen abhängig zu sein.

    Ein Jäger kann die BehaviorInfo-Tabelle nach Taktik (Categories), Technik, Titel oder Entität filtern. Beispiel:

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    Jäger können auch:

    • Identifizieren Sie seltene Verhaltensweisen, indem Sie count distinct auf dem Title Feld verwenden.
    • Erkunden Sie einen interessanten Verhaltenstyp, identifizieren Sie die beteiligten Entitäten, und untersuchen Sie es weiter.
    • Führen Sie einen Drilldown zu Rohprotokollen mithilfe der BehaviorId- und AdditionalFields-Spalten durch, die häufig auf die zugrunde liegenden Rohprotokolle verweisen.

    Beispiel: Ein Jäger sucht nach Methoden, mit denen versteckter Zugriff auf Anmeldeinformationen erfolgt, indem er nach "Anmeldeinformationen aufzählen" in der Title Spalte sucht. Die Ergebnisse zeigen einige Fälle von "versuchten Anmeldeinformationsabzugs aus Vault durch Benutzer AdminJoe" (abgeleitet von CyberArk Protokollen). Obwohl Warnungen nicht ausgelöst wurden, ist dieses Verhalten für AdminJoe ungewöhnlich und fordert weitere Untersuchungen auf – etwas, das in ausführlichen Vault-Überwachungsprotokollen schwer zu erkennen ist.

    Jäger können auch mit jagen:

    • MITRE-Taktik:

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • Technik:

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • Bestimmter Benutzer:

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • Seltene Verhaltensweisen (potenzielle Anomalien):

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

Warnungen und Automatisierung

Verhaltensweisen vereinfachen die Regellogik, indem normalisierte, qualitativ hochwertige Signale mit integriertem Kontext bereitgestellt und neue Korrelationsmöglichkeiten ermöglicht werden.

  • Workflow ohne Verhalten: Quellübergreifende Korrelationsregeln sind komplex, da jedes Protokollformat unterschiedlich ist. Regeln erfordern häufig Folgendes:

    • Normalisierungslogik
    • Schemaspezifische Bedingungen
    • Mehrere separate Regeln
    • Abhängigkeit von Warnungen anstelle von unformatierten Aktivitäten

    Die Automatisierung kann auch zu häufig ausgelöst werden, wenn sie von Ereignissen auf niedriger Ebene gesteuert wird.

  • Workflow mit Verhalten: Verhaltensweisen aggregiert bereits verwandte Ereignisse und umfassen MITRE-Zuordnungen, Entitätsrollen und konsistente Schemas, sodass Erkennungstechniker einfachere, klarere Erkennungsregeln erstellen können.

    Beispiel: Um auf einen potenziellen Schlüsselkompromittierungs- und Berechtigungseskalationssequenz hinzuweisen, schreibt ein Erkennungstechniker eine Erkennungsregel mit dieser Logik: "Warnung, wenn ein Benutzer ein Verhalten "Erstellung eines neuen AWS-Zugriffsschlüssels" aufweist, gefolgt von einem Verhalten von "Rechteerweiterungen in AWS" innerhalb von 1 Stunde."

    Ohne die UEBA-Verhaltensebene wäre es erforderlich, unbearbeitete AWSCloudTrail-Ereignisse zusammenzuführen und sie in der Regellogik zu interpretieren. Mit Verhalten ist es einfach und robust, Schemaänderungen zu protokollieren, da das Schema vereinheitlicht ist.

    Verhaltensweisen dienen auch als zuverlässige Trigger für die Automatisierung. Anstatt Warnungen für nicht riskante Aktivitäten zu erstellen, verwenden Sie Verhaltensweisen, um die Automatisierung auszulösen , z. B. zum Senden einer E-Mail oder zum Initiieren der Überprüfung.

Unterstützte Datenquellen

Die Liste der unterstützten Datenquellen und Anbieter oder Dienste, die Protokolle an diese Datenquellen senden, entwickelt sich weiter. Die UEBA-Verhaltensschicht aggregiert automatisch Erkenntnisse für alle unterstützten Anbieter basierend auf den Protokollen, die Sie sammeln.

Während der öffentlichen Vorschau konzentriert sich die UEBA-Verhaltensschicht auf diese Nicht-Microsoft-Datenquellen, die traditionell keinen einfachen Verhaltenskontext in Microsoft Sentinel aufweisen:

Datenquelle Unterstützte Anbieter, Dienste und Protokolle Verbinder
CommonSecurityLog
  • Cyber Ark Vault
  • Palo Alto-Bedrohungen
AWSCloudTrail
  • EC2
  • IAM
  • S3
  • EKS
  • Geheimnisverwaltung
GCPAuditLogs
  • Administratoraktivitätsprotokolle
  • Datenzugriffsprotokolle
  • Zugriffstransparenzprotokolle
 GCP Pub/Sub-Überwachungsprotokolle

Von Bedeutung

Diese Quellen sind von anderen UEBA-Funktionen getrennt und müssen speziell aktiviert werden. Wenn Sie AWSCloudTrail für UEBA-Verhaltensanalysen und Anomalien aktiviert haben, müssen Sie es trotzdem für Verhalten aktivieren.

Voraussetzungen

Um die UEBA-Verhaltensschicht zu verwenden, benötigen Sie Folgendes:

Erforderliche Berechtigungen

Um die UEBA-Verhaltensebene zu aktivieren und zu verwenden, benötigen Sie die folgenden Berechtigungen:

Benutzeraktion Erforderliche Berechtigung
Aktivieren von Verhaltensweisen Mindestens die Rolle "Sicherheitsadministrator" in der Microsoft Entra-ID.
Abfrageverhaltenstabellen
  • Rolle Sicherheitsleser oder Sicherheitsoperator in Microsoft Entra ID zum Ausführen von Advanced Hunting-Abfragen im Defender-Portal
  • Read Zugriff auf die BehaviorInfo Und BehaviorEntities Tabellen in Ihrem Sentinel-Arbeitsbereich
  • Read Zugriff auf Quelltabellen zum Detaileinblick in rohe Ereignisse

Weitere Informationen zur einheitlichen RBAC im Defender-Portal finden Sie unter Microsoft Defender XDR Unified rollenbasierte Zugriffssteuerung (RBAC).

Aktivieren der UEBA-Verhaltensschicht

So aktivieren Sie die UEBA-Verhaltensebene in Ihrem Arbeitsbereich:

  1. Wählen Sie im Defender-Portal > aus.

  2. Wählen Sie den Sentinel-Arbeitsbereich aus, in dem Sie die UEBA-Verhaltensschicht aktivieren möchten.

  3. Wählen Sie >.

  4. Aktivieren Sie die Ebene "Verhaltens aktivieren".

  5. Wählen Sie "Alle Datenquellen verbinden" aus, oder wählen Sie die spezifischen Datenquellen aus der Liste aus.

    Wenn Sie noch keine unterstützten Datenquellen mit Ihrem Sentinel-Arbeitsbereich verbunden haben, wählen Sie "Zum Inhaltshub wechseln " aus, um die relevanten Connectors zu finden und zu verbinden.

    Screenshot der Seite

  6. Wählen Sie Verbinden aus.

Von Bedeutung

Während der öffentlichen Vorschau können Sie Verhaltensweisen nur in einem einzigen Arbeitsbereich in Ihrem Mandanten aktivieren.

Preismodell

Die Verwendung der UEBA-Verhaltensschicht führt zu den folgenden Kosten:

  • Keine zusätzlichen Lizenzkosten: Verhaltensweisen werden als Teil von Microsoft Sentinel (derzeit in der Vorschau) enthalten. Sie benötigen keine separate SKU, kein UEBA-Add-On oder eine zusätzliche Lizenzierung. Wenn Ihr Arbeitsbereich mit Sentinel verbunden und in das Defender-Portal integriert ist, können Sie Verhaltensweisen ohne zusätzliche Featurekosten verwenden.

  • Protokoll-Datenaufnahmegebühren: Verhaltensdatensätze werden in den SentinelBehaviorInfo und SentinelBehaviorEntities Tabellen in Ihrem Sentinel-Arbeitsbereich gespeichert. Jedes Verhalten trägt zur Datenaufnahmemenge Ihres Arbeitsbereichs bei und wird zu Ihrer vorhandenen Log Analytics/Sentinel-Erfassungsrate in Rechnung gestellt. Verhaltensweisen sind additiv – sie ersetzen Ihre vorhandenen Rohprotokolle nicht.

Bewährte Methoden und Tipps zum Beheben von Problemen beim Abfragen von Verhalten

Dieser Abschnitt enthält bewährte Methoden und Tipps zur Problembehandlung für Abfragen von Verhaltensweisen im Defender-Portal und in Ihrem Sentinel-Arbeitsbereich. Weitere praktische Beispiele für die Verwendung von Verhaltensweisen finden Sie unter Anwendungsfälle und Beispiele.

Weitere Informationen zur Kusto-Abfragesprache (KQL) finden Sie im Überblick über die Kusto-Abfragesprache.

  • Zugreifen auf Verhaltensdaten im Defender-Portal durch Abfragen von BehaviorInfo und BehaviorEntities

    • Die BehaviorInfo Tabelle enthält einen Datensatz für jede Verhaltensinstanz, um "was passiert" zu erklären. Weitere Informationen zu den Tabellenschemas finden Sie unter BehaviorInfo (Vorschau).For more information about the table schemas, see BehaviorInfo (Preview).

    • In der BehaviorEntities Tabelle sind die Entitäten aufgeführt, die an den einzelnen Verhaltensweisen beteiligt sind. Weitere Informationen zum Tabellenschema: BehaviorEntities (Vorschau).

    • Einheitliche Ansicht: Die BehaviorInfo und BehaviorEntities Tabellen enthalten alle UEBA-Verhaltensweisen und können auch Verhaltensweisen aus Microsoft Defender für Cloud-Apps und Microsoft Defender für Cloud enthalten, wenn Sie Verhaltensweisen aus diesen Diensten sammeln.

      Verwenden Sie die ServiceSource Spalte, um nach Verhaltensweisen auf der Microsoft Sentinel UEBA-Verhaltensebene zu filtern. Beispiel:

      BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

      Screenshot der BehaviorInfo-Tabelle, gefiltert nach der ServiceSource-Spalte, mit dem Wert Microsoft Sentinel.

  • Drilldown von Verhalten zu Rohprotokollen: Verwenden Sie die Spalte AdditionalFields, in der BehaviorInfo Verweise auf die ursprünglichen Ereignis-IDs im SupportingEvidence Feld enthalten sind.

    Screenshot der Tabelle

    Führen Sie eine Abfrage für den SupportingEvidence Feldwert aus, um die rohen Protokolle zu finden, die zu einem Verhalten beigetragen haben.

    Screenshot einer Abfrage des Feldwerts

  • Join BehaviorInfo und BehaviorEntities: Verwenden Sie das BehaviorId Feld, um BehaviorInfo mit BehaviorEntities zu verbinden.

    Beispiel:

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    Dadurch erhalten Sie jedes Verhalten und jede entität, die daran beteiligt ist. Die AccountUpn-Informationen für die Entität befinden sich in BehaviorEntities, während BehaviorInfo möglicherweise im Text auf "Benutzer" oder "Host" verweist.

  • Wo werden Verhaltensdaten in meinem Sentinel-Arbeitsbereich gespeichert?:

    • In Ihrem Sentinel-Arbeitsbereich werden Verhaltensdaten in den SentinelBehaviorInfo- und SentinelBehaviorEntities-Tabellen gespeichert. Weitere Informationen zu den Tabellenschemas finden Sie unter SentinelBehaviorInfo und SentinelBehaviorEntities.
    • Um die Datennutzung zu überwachen, suchen Sie nach den Tabellennamen SentinelBehaviorInfo und SentinelBehaviorEntities in der Usage Tabelle.

  • Erstellen von Automatisierungs-, Arbeitsmappen- und Erkennungsregeln basierend auf Verhalten:

    • Verwenden Sie die BehaviorInfo Tabelle als Datenquelle für Erkennungsregeln oder Automatisierungs-Playbooks im Defender-Portal. Erstellen Sie beispielsweise eine geplante Abfrageregel, die ausgelöst wird, wenn ein bestimmtes Verhalten angezeigt wird.
    • Stellen Sie bei Azure Monitor-Arbeitsmappen und allen Artefakten, die direkt in Ihrem Sentinel-Arbeitsbereich erstellt wurden, sicher, dass Sie die Tabellen SentinelBehaviorInfo und SentinelBehaviorEntities in Ihrem Sentinel-Arbeitsbereich abfragen.

Problembehandlung

  • Wenn Verhaltensweisen nicht generiert werden: Stellen Sie sicher, dass unterstützte Datenquellen aktiv Protokolle an die Analyseebene senden, bestätigen Sie, dass die Umschaltfläche der Datenquelle aktiviert ist, und warten Sie 15 bis 30 Minuten nach dem Aktivieren.
  • Ich sehe weniger Verhaltensweisen als erwartet: Unsere Abdeckung unterstützter Verhaltenstypen ist teilweise und wächst. Die UEBA-Verhaltensebene kann möglicherweise auch kein Verhaltenmuster erkennen, wenn nur sehr wenige Instanzen eines bestimmten Verhaltenstyps vorhanden sind.
  • Verhaltensanzahl: Ein einzelnes Verhalten kann zehn oder Hunderte von Rohereignissen darstellen – dies ist so konzipiert, dass Rauschen reduziert werden.

Einschränkungen in der öffentlichen Vorschau

Diese Einschränkungen gelten während der öffentlichen Vorschauphase der UEBA-Verhaltensschicht:

  • Sie können Verhaltensweisen für einen einzelnen Sentinel-Arbeitsbereich pro Mandant aktivieren.
  • Die UEBA-Verhaltensebene generiert Verhaltensweisen für eine begrenzte Gruppe unterstützter Datenquellen und Anbieter oder Dienste.
  • Die UEBA-Verhaltensebene erfasst derzeit nicht jede mögliche Aktion oder Angriffstechnik, auch für unterstützte Quellen. Einige Ereignisse erzeugen möglicherweise keine entsprechenden Verhaltensweisen. Gehen Sie nicht davon aus, dass das Fehlen eines Verhaltens bedeutet, dass keine Aktivität aufgetreten ist. Überprüfen Sie immer unformatierte Protokolle, wenn Sie vermuten, dass etwas fehlt.
  • Verhaltensweisen zielen darauf ab, Rauschen durch Aggregieren und Sequenzierungsereignisse zu reduzieren, aber möglicherweise werden immer noch zu viele Verhaltensdatensätze angezeigt. Wir freuen uns über Ihr Feedback zu bestimmten Verhaltenstypen, um die Abdeckung und Relevanz zu verbessern.
  • Verhaltensweisen sind keine Warnungen oder Anomalien. Sie sind neutrale Beobachtungen, die nicht als böswillig oder gutartig eingestuft werden. Das Vorhandensein eines Verhaltens bedeutet "dies passiert", nicht "dies ist eine Bedrohung". Die Anomalieerkennung bleibt in UEBA unabhängig. Verwenden Sie Urteilsurteile oder kombinieren Sie Verhaltensweisen mit UEBA-Anomaliedaten, um beachtenswerte Muster zu identifizieren.
  • Last updated on