Erweiterte Bedrohungserkennung mit User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel

Das Erkennen eines anomaliealen Verhaltens innerhalb Ihrer Organisation ist komplex und langsam. Microsoft Sentinel User and Entity Behavior Analytics (UEBA) optimiert anomaliebasierte Erkennung und Untersuchung mithilfe von Machine Learning-Modellen, um dynamische Basispläne und Peervergleiche für Ihren Mandanten zu erstellen. Anstatt nur Protokolle zu sammeln, lernt UEBA von Ihren Daten, umsetzbare Intelligenz anzuzeigen, die Analysten dabei hilft, Anomalien zu erkennen und zu untersuchen.

In diesem Artikel wird erläutert, wie Microsoft Sentinel UEBA funktioniert und wie Sie UEBA verwenden, um Anomalien anzuzeigen und zu untersuchen und Ihre Bedrohungserkennungsfunktionen zu verbessern.

Alle Vorteile von UEBA sind im Microsoft Defender-Portal verfügbar.

Was ist UEBA?

Während Microsoft Sentinel Protokolle und Warnmeldungen aus all Ihren verbundenen Datenquellen sammelt, nutzt UEBA künstliche Intelligenz (KI), um grundlegende Verhaltensprofile der Entitäten Ihres Unternehmens - wie Benutzer, Hosts, IP-Adressen und Anwendungen - im Laufe der Zeit und über Peer-Gruppen hinweg zu erstellen. UEBA identifiziert dann anomale Aktivitäten und hilft Ihnen zu bestimmen, ob eine Ressource kompromittiert ist.

UEBA bestimmt auch die relative Vertraulichkeit bestimmter Objekte, identifiziert Peergruppen von Ressourcen und bewertet die potenziellen Auswirkungen eines bestimmten kompromittierten Objekts – seinen „Strahlradius“. Mit diesen Informationen können Sie Ihre Untersuchung, Suche und Behandlung von Vorfällen effektiv priorisieren.

UEBA-Analysearchitektur

Sicherheitsgesteuerte Analyse

Angeregt durch das Paradigma von Gartner für UEBA-Lösungen wird bei Microsoft Sentinel auf ein „Von außen nach innen“-Konzept gesetzt, das auf den folgenden drei Bezugsrahmen basiert:

• Anwendungsfälle: Durch Priorisieren relevanter Angriffsvektoren und Szenarien basierend auf der Sicherheitsforschung, die mit dem MITRE ATT&CK-Framework von Taktiken, Techniken und Untertechniken übereinstimmt, die verschiedene Entitäten als Opfer, Täter oder Pivotpunkte in die Kill Chain versetzt; Microsoft Sentinel konzentriert sich speziell auf die wertvollsten Protokolle, die jede Datenquelle bereitstellen kann.

• Datenquellen: Während Microsoft Sentinel in erster Linie Azure-Datenquellen unterstützt, wählt Microsoft Sentinel durchdachte Datenquellen von Drittanbietern aus, um Daten bereitzustellen, die unseren Bedrohungsszenarien entsprechen.

• Analysen: Mithilfe von verschiedenen ML-Algorithmen (Machine Learning) erkennt Microsoft Sentinel anomale Aktivitäten und zeigt die Beweise klar und präzise in Form von kontextbezogenen Anreicherungen an. Einige Beispiele hierfür sind im Folgenden dargestellt.

  

Microsoft Sentinel stellt Artefakte dar, mit deren Hilfe Ihre Sicherheitsanalysten klare Vorstellungen von anomalen Aktivitäten im Kontext und im Vergleich zum Baselineprofil des jeweiligen Benutzers gewinnen. Von einem Benutzer (oder einem Host oder einer Adresse) durchgeführte Aktionen werden kontextbezogen bewertet, wobei das Ergebnis „true“ eine erkannte Anomalie angibt:

• bei verschiedenen geografischen Standorten, Geräten und Umgebungen
• in verschiedenen Zeiträumen und mit unterschiedlicher Häufigkeit (im Vergleich zum Verlauf des Benutzer)
• im Vergleich zum Verhalten von Peers
• im Vergleich zum Verhalten der Organisation

Die Informationen zu den Benutzerentitäten, die Microsoft Sentinel zur Erstellung seiner Benutzerprofile verwendet, stammen aus Ihrer Microsoft Entra ID-Instanz (und/oder Ihrem lokalen Active Directory, jetzt in der Vorschau). Wenn Sie UEBA aktivieren, synchronisiert es Ihre Microsoft Entra ID-Instanz mit Microsoft Sentinel und speichert die Informationen in einer internen Datenbank, die über die Tabelle IdentityInfo einsehbar ist.

• In Microsoft Sentinel im Azure-Portal fragen Sie die IdentityInfo-Tabelle in Log Analytics auf der Seite Protokolle ab.
• Fragen Sie im Defender-Portal diese Tabelle unter Erweiterte Bedrohungssuche ab.

Jetzt in der Vorschau können Sie auch Ihre lokalen Active Directory-Benutzerinformationen synchronisieren, indem Sie Microsoft Defender for Identity verwenden.

Weitere Informationen zur Aktivierung von UEBA und zur Synchronisierung von Benutzeridentitäten finden Sie unter Aktivieren von User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel.

Bewertung

Jede Aktivität wird basierend auf dem Verhaltenslernen der Benutzer und der Peers mit einem „Score für die Untersuchungspriorität“ bewertet, mit dem die Wahrscheinlichkeit angegeben wird, mit der ein bestimmter Benutzer eine bestimmte Aktivität durchführt. Aktivitäten mit besonders großer Anomalie werden mit dem höchsten Score (auf einer Skala von 0 bis 10) bewertet.

Ein Beispiel für die Verwendung von Verhaltensanalysen und deren Funktionsweise finden Sie im Artikel über Microsoft Defender für Cloud-Apps.

Erfahren Sie mehr über Entitäten in Microsoft Sentinel, und sehen Sie sich die vollständige Liste der unterstützten Entitäten und Bezeichner an.

Entitätsseiten

Informationen zu Entitätsseiten finden Sie jetzt unter Entitätsseiten in Microsoft Sentinel.

UEBA-Erfahrungen im Defender-Portal ermöglichen Analysten und Optimieren von Workflows

Durch das Auffinden von Anomalien in Untersuchungsdiagrammen und Benutzerseiten und der Aufforderung von Analysten, Anomaliedaten in Suchabfragen zu integrieren, erleichtert UEBA die schnellere Erkennung von Bedrohungen, eine intelligentere Priorisierung und eine effizientere Reaktion auf Vorfälle.

In diesem Abschnitt werden die wichtigsten UEBA-Analystenerfahrungen beschrieben, die im Defender-Portal verfügbar sind, wenn Sie UEBA aktivieren.

UEBA Erkenntnisse in Benutzeranalysen

Analysten können das Benutzerrisiko mithilfe des UEBA-Kontexts, der in Seitenbereichen und der Registerkarte "Übersicht" auf allen Benutzerseiten angezeigt wird, schnell bewerten. Wenn ein ungewöhnliches Verhalten erkannt wird, kategorisiert das Portal Benutzer automatisch mit UEBA-Anomalien , um Untersuchungen basierend auf der letzten Aktivität zu priorisieren. Weitere Informationen finden Sie auf der Seite "Benutzerentität" in Microsoft Defender.

Jede Benutzerseite enthält einen Abschnitt mit den wichtigsten UEBA-Anomalien , der die drei wichtigsten Anomalien aus den letzten 30 Tagen anzeigt, sowie direkte Links zu vordefinierten Anomalieabfragen und der Sentinel-Ereigniszeitachse für eine tiefere Analyse.

Integrierte Benutzer-Anomalie-Abfragen bei Vorfalluntersuchungen

Während der Vorfalluntersuchungen können Analysten integrierte Abfragen direkt aus Vorfalldiagrammen starten, um alle Benutzeranomalien im Zusammenhang mit dem Fall abzurufen.

Weitere Informationen finden Sie unter Untersuchen von Vorfällen im Microsoft Defender-Portal.

Abfragen und benutzerdefinierte Erkennungen mit UEBA-Daten im Advanced Hunting anreichern

Wenn Analysten erweiterte Suchabfragen oder benutzerdefinierte Erkennungsabfragen mit UEBA-bezogenen Tabellen schreiben, zeigt das Defender-Portal ein Banner an, das sie auffordert, der Tabelle "Anomalien " beizutreten. Dies hilft dabei, Untersuchungen mit Verhaltenserkenntnissen zu bereichern und die Gesamtanalyse zu stärken.

Weitere Informationen finden Sie unter

• Suchen Sie proaktiv nach Bedrohungen mit erweiterter Bedrohungssuche in Microsoft Defender.
• KQL-Verknüpfungsoperator.
• UEBA-Datenquellen.
• Anomalien, die vom Microsoft Sentinel Machine Learning-Modul erkannt wurden.

Abfragen von Daten der Verhaltensanalyse

Mithilfe von KQL können wir die Tabelle BehaviorAnalytics abfragen.

Wenn wir beispielsweise alle Fälle eines Benutzers ausfindig machen möchten, in denen bei der Anmeldung bei einer Azure-Ressource ein Fehler aufgetreten ist und der Benutzer zum ersten Mal versucht hat, eine Verbindung über ein bestimmtes Land bzw. eine Region herzustellen und Verbindungen von dort selbst für die Peers des Benutzers ungewöhnlich sind, können wir folgende Abfrage verwenden:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

• In Microsoft Sentinel im Azure-Portal fragen Sie die BehaviorAnalytics-Tabelle in Log Analytics auf der Seite Protokolle ab.
• Fragen Sie im Defender-Portal diese Tabelle unter Erweiterte Bedrohungssuche ab.

Metadaten der Benutzerpeers – Tabelle und Notebook

Die Metadaten der Benutzerpeers liefern wichtigen Kontext bei der Erkennung von Bedrohungen, bei der Untersuchung von Vorfällen sowie bei der Suche nach einer potenziellen Bedrohung. Sicherheitsanalysten können die normalen Aktivitäten der Peers von Benutzern beobachten, um zu bestimmen, ob die Aktivitäten eines Benutzers ungewöhnlich sind, im Vergleich zu denen ihrer Peers.

Microsoft Sentinel berechnet und bewertet die Peers von Benutzer*innen basierend auf der Microsoft Entra-Sicherheitsgruppenmitgliedschaft der Benutzer*innen, anhand von Mailinglisten usw. und speichert die Peers mit einer Bewertung zwischen 1 und 20 in der Tabelle UserPeerAnalytics. Im folgenden Screenshot ist das Schema der Tabelle „UserPeerAnalytics“ mit den acht ersten Peers des Benutzers Kendall Collins dargestellt. Microsoft Sentinel verwendet den TF-IDF-Algorithmus (Term Frequency-Inverse Document Frequency) zur Normalisierung der Gewichtung bei der Berechnung der Bewertung: je kleiner die Gruppe, umso höher die Gewichtung.

Zur Visualisierung der Metadaten der Peers des Benutzers können Sie Jupyter Notebook verwenden, das im Microsoft Sentinel GitHub-Repository bereitgestellt wird. Eine ausführliche Anleitung zur Verwendung von Notebook finden Sie im Notebook mit geführten Analysen zu Metadaten zur Benutzersicherheit.

Hunting-Abfragen und Auswertungsabfragen

Microsoft Sentinel stellt einsatzbereite Hunting-Abfragen, Auswertungsabfragen und die Arbeitsmappe User and Entity Behavior Analytics (UEBA) bereit, die auf der Tabelle BehaviorAnalytics basiert. Diese Tools stellen angereicherte Daten mit dem Schwerpunkt auf bestimmten Anwendungsfällen dar, die auf ein anormales Verhalten hindeuten.

Weitere Informationen finden Sie unter

• Jagd auf Bedrohungen mit Microsoft Sentinel
• Visualisieren und Überwachen Ihrer Daten

Wenn veraltete Verteidigungstools eingestellt werden, verfügen Organisationen möglicherweise über eine so große und durchlässige digitale Umgebung, dass es nicht mehr möglich ist, sich ein umfassendes Bild von Risiken und Sicherheitsstatus ihrer Umgebung zu machen. Wenn Sie sich stark auf reaktive Maßnahmen wie Analysen und Regeln verlassen, können böswillige Akteure lernen, wie diese Bemühungen umgangen werden können. Hier kommt UEBA ins Spiel, indem Methoden und Algorithmen für die Risikobewertung zur Verfügung stellt werden, um herauszufinden, was tatsächlich passiert.

Nächste Schritte

In diesem Dokument haben Sie die Funktionen von Microsoft Sentinel zur Analyse des Verhaltens von Entitäten kennengelernt. Eine praktische Anleitung zur Implementierung und zur Verwendung der gewonnenen Erkenntnisse finden Sie in den folgenden Artikeln:

• Aktivieren von User and Entity Behavior Analytics in Microsoft Sentinel.
• Sehen Sie sich die Liste der Anomalien an, die von der UEBA-Engine erkannt wurden.
• Untersuchen von Vorfällen mit UEBA-Daten.
• Aufspüren von Sicherheitsbedrohungen

Weitere Informationen finden Sie auch in der Microsoft Sentinel UEBA-Referenz.