Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Im vorherigen Bereitstellungsschritt haben Sie die Microsoft Sentinel-Sicherheitsinhalte aktiviert, die Sie zum Schutz Ihrer Systeme benötigen. In diesem Artikel erfahren Sie, wie Sie das Feature „User and Entity Behavior Analytics“ (UEBA) aktivieren und verwenden, um den Analyseprozess zu optimieren. Dieser Artikel gehört zum Bereitstellungsleitfaden für Microsoft Sentinel.
Microsoft Sentinel sammelt zeit- und peergruppenübergreifend Protokolle und Warnungen von allen verbundenen Datenquellen, analysiert sie und erstellt Baselineprofile für das Verhalten von Entitäten (Benutzer, Hosts, IP-Adressen und Anwendungen) einer Organisation. Mit verschiedenen Techniken und Fähigkeiten des maschinellen Lernens kann Microsoft Sentinel anomale Aktivitäten erkennen und Sie dabei unterstützen, festzustellen, ob eine Ressource kompromittiert wurde. Erfahren Sie mehr über UEBA.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Voraussetzungen
So aktivieren oder deaktivieren Sie dieses Feature (diese Voraussetzungen müssen nicht erfüllt sein, um das Feature zu verwenden)
Ihrem Benutzer muss die Microsoft Entra ID-Rolle Sicherheitsadministrator in Ihrem Mandanten oder eine entsprechende Berechtigung zugewiesen sein.
Ihrem Benutzer muss mindestens eine der folgenden Azure-Rollen zugewiesen sein (Weitere Informationen zu Azure RBAC):
- Microsoft Sentinel-Mitwirkender auf Arbeitsbereichs -oder Ressourcengruppenebene.
- Log Analytics-Mitwirkender auf Ressourcengruppen- oder Abonnementebene.
In Ihrem Arbeitsbereich dürfen keine Azure-Ressourcensperren aktiviert sein. Erfahren Sie mehr über Azure-Ressourcensperren.
Hinweis
- Zum Hinzufügen von UEBA-Funktionalität zu Microsoft Sentinel ist keine spezielle Lizenz erforderlich, und es fallen keine zusätzliche Gebühren für die Verwendung an.
- Da UEBA jedoch neue Daten generiert und in neuen Tabellen speichert, die UEBA in Ihrem Log Analytics-Arbeitsbereich erstellt, fallen zusätzliche Gebühren für die Datenspeicherung an.
Aktivieren von User and Entity Behavior Analytics
- Benutzer von Microsoft Sentinel im Azure-Portal befolgen die Anweisungen auf der Registerkarte Azure-Portal.
- Benutzer von Microsoft Sentinel befolgen im Rahmen des Microsoft Defender-Portals die Anweisungen auf der Registerkarte Defender-Portal.
Wechseln Sie zur Seite Konfiguration des Entitätsverhaltens.
Verwenden Sie eine der folgenden drei Methoden, um zur Seite Konfiguration des Entitätsverhaltens zu gelangen:
Wählen Sie das Entitätsverhalten im Microsoft Sentinel-Navigationsmenü aus, und wählen Sie dann Einstellungen für Entitätsverhalten aus der Menüleiste oben aus.
Wählen Sie Einstellungen im Microsoft Sentinel-Navigationsmenü aus, wählen Sie die Registerkarte Einstellungen aus, und wählen Sie dann unter der Erweiterung Entitätsverhaltensanalyse die Option UEBA festlegen aus.
Wählen Sie auf der Seite des Microsoft Defender XDR-Datenconnectors den Link Zur UEBA-Konfigurationsseite wechseln aus.
Schalten Sie auf der Seite Entity Behavior Analytics die Option UEBA-Feature aktivieren ein.
Wählen Sie die Verzeichnisdienste aus, aus denen Sie Benutzerentitäten mit Microsoft Sentinel synchronisieren möchten.
- Active Directory lokal (Vorschau)
- Microsoft Entra-ID
Um Benutzerentitäten aus dem lokalen Active Directory zu synchronisieren, müssen Sie Ihren Azure-Mandanten in Microsoft Defender for Identity (entweder eigenständig oder als Teil von Microsoft Defender XDR) integrieren, und Sie müssen den MDI-Sensor auf Ihrem Active Directory-Domänencontroller installiert haben. Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Defender for Identity.
Wählen Sie "Alle Datenquellen verbinden" aus, um alle berechtigten Datenquellen zu verbinden, oder wählen Sie bestimmte Datenquellen aus der Liste aus.
Sie können diese Datenquellen nur über die Defender- und Azure-Portale aktivieren:
- Anmeldeprotokolle
- Überwachungsprotokolle
- Azure-Aktivität
- Sicherheitsereignisse
Sie können diese Datenquellen nur über das Defender-Portal aktivieren (Vorschau):
- Anmeldeprotokolle der verwalteten AAD-Identität (Microsoft Entra ID)
- Anmeldeprotokolle des AAD-Dienstprinzipals (Microsoft Entra ID)
- AWS CloudTrail
- Geräteanmeldeereignisse
- Okta CL
- GCP-Überwachungsprotokolle
Weitere Informationen zu UEBA-Datenquellen und Anomalien finden Sie in der UEBA-Referenz von Microsoft Sentinel und unter UEBA-Anomalien.
Hinweis
Nach der Aktivierung von UEBA können Sie unterstützte Datenquellen für UEBA direkt über den Datenconnectorbereich oder über die Seite „Einstellungen“ des Defender-Portals aktivieren, wie in diesem Artikel beschrieben.
Wählen Sie Verbinden aus.
Aktivieren der Anomalieerkennung in Ihrem Sentinel-Arbeitsbereich:
- Wählen Sie im Navigationsmenü des Microsoft Defender-Portals Einstellungen>Microsoft Sentinel>SIEM-Arbeitsbereiche aus.
- Wählen Sie den Arbeitsbereich aus, den Sie konfigurieren möchten.
- Wählen Sie auf der Seite „Arbeitsbereichskonfiguration” die Option Anomalien aus, und aktivieren Sie Anomalien erkennen.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel aktivieren und konfigurieren. Weitere Informationen zu UEBA: