Détection des menaces avancées avec l’analyse comportementale des utilisateurs et des entités (UEBA) dans Microsoft Sentinel

La détection d’un comportement inhabituel au sein de votre organisation est complexe et lente. L’analyse comportementale des utilisateurs et des entités de Microsoft Sentinel (UEBA) simplifie la détection et l’enquêtes sur les anomalies en utilisant des modèles Machine Learning pour créer des bases de référence dynamiques et des comparaisons d’homologues pour votre locataire. Au lieu de collecter simplement des journaux d’activité, UEBA apprend de vos données pour exposer l’intelligence actionnable qui permet aux analystes de détecter et examiner les anomalies.

Cet article explique comment UEBA de Microsoft Sentinel fonctionne et comment l’utiliser pour exposer et enquêter sur les anomalies et améliorer vos fonctionnalités de détection des menaces.

Tous les avantages d’UEBA sont disponibles dans le portail Microsoft Defender.

Qu’est-ce qu’UEBA ?

À mesure que Microsoft Sentinel collecte des journaux d’activité et des alertes à partir de toutes vos sources de données connectées, UEBA utilise l’intelligence artificielle (IA) pour créer des profils comportementaux de référence des entités de votre organisation, telles que les utilisateurs, les hôtes, les adresses IP et les applications, au fil du temps et dans les groupes homologues. UEBA identifie ensuite une activité inhabituelle et vous aide à déterminer si une ressource est compromise.

UEBA détermine également la sensibilité relative des ressources particulières, identifie les groupes d’homologues de ressources et évalue l’impact éventuel d’une ressource compromise donnée, son « rayon d’impact ». Ces informations vous permettent de hiérarchiser efficacement votre investigation,votre chasse et votre gestion des incidents.

Architecture de l’analytique UEBA

Analyse pilotée par la sécurité

Inspiré par le paradigme de Gartner pour les solutions d’analyse comportementale des utilisateurs et des entités, Microsoft Sentinel propose une approche extérieur-intérieur, basée sur trois images de référence :

• Cas d’utilisation : en hiérarchisant les vecteurs d’attaque et les scénarios pertinents en fonction de la recherche de sécurité alignée sur le framework MITRE ATT&CK des tactiques, techniques et sous-techniques qui placent diverses entités en tant que victimes, auteurs ou points croisés dynamiques dans la chaîne de destruction, Microsoft Sentinel se concentre spécifiquement sur les journaux d’activité les plus précieux que chaque source de données peut fournir.

• Sources de données : tout en prenant en charge les sources de données Azure, Microsoft Sentinel sélectionne soigneusement des sources de données tierces pour fournir des données qui correspondent à nos scénarios de menace.

• Analyse : À l’aide de différents algorithmes d’apprentissage automatique, Microsoft Sentinel identifie les activités anormales et présente des preuves de manière claire et concise sous la forme d’enrichissements contextuels, dont certains exemples sont affichés ci-dessous.

  

Microsoft Sentinel présente des artefacts qui aident vos analystes de sécurité à mieux comprendre les activités anormales en contexte et par rapport au profil de base de l’utilisateur. Les actions effectuées par un utilisateur (ou un hôte ou une adresse) sont évaluées dans leur contexte. Un résultat « true » indique une anomalie identifiée :

• dans des emplacements géographiques, appareils et environnements ;
• dans des horizons de temps et de fréquence (par rapport à l’historique de l’utilisateur) ;
• par rapport au comportement d’homologues ;
• par rapport au comportement de l’organisation.

Les informations d’entité utilisateur que Microsoft Sentinel utilise pour créer ses profils utilisateur proviennent de votre instance Microsoft Entra ID (et/ou de votre Active Directory local, désormais en préversion). Lorsque vous activez UEBA, il synchronise votre annuaire Microsoft Entra ID avec Microsoft Sentinel, en stockant les informations dans une base de données interne visible par le biais de la table IdentityInfo.

• Dans Microsoft Sentinel dans le Portail Azure, vous interrogez la table IdentityInfo sur la page Journaux d’activité de Log Analytics.
• Dans le portail Defender, vous interrogez cette table dans Repérage avancé.

Maintenant en préversion, vous pouvez également synchroniser vos informations d’entité utilisateur Active Directory local en utilisant Microsoft Defender pour Identity.

Consultez Activer l’analytique du comportement des utilisateurs et des entités (UEBA) dans Microsoft Sentinel pour savoir comment activer UEBA et synchroniser les identités utilisateur.

Notation

À chaque activité est attribué un « score de priorité d’investigation », qui détermine la probabilité qu’un utilisateur spécifique effectue une activité spécifique, en fonction de l’apprentissage comportemental de l’utilisateur et de ses pairs. Les activités identifiées comme les plus anormales reçoivent les scores les plus élevés (sur une échelle de 0-10).

Pour voir comment cela fonctionne, découvrez la manière dont l’analyse comportementale est utilisée dans Microsoft Defender for Cloud Apps.

Apprenez en davantage sur les entités dans Microsoft Sentinel et consultez la liste complète des entités et identificateurs pris en charge.

Pages d’entité

Vous trouverez désormais des informations sur les pages d’entité dans Pages d’entités dans Microsoft Sentinel.

Les expériences UEBA dans le portail Defender renforcent les capacités des analystes et simplifient les flux de travail.

En exposant les anomalies dans les graphiques d’investigation et les pages utilisateur, et en invitant les analystes à incorporer des données d’anomalie dans les requêtes de repérage, UEBA facilite la détection des menaces plus rapide, la hiérarchisation plus intelligente et la réponse aux incidents plus efficace.

Cette section décrit les principales expériences d’analyste UEBA disponibles dans le portail Defender lorsque vous activez UEBA.

Insights UEBA dans les enquêtes sur les utilisateurs

Les analystes peuvent rapidement évaluer les risques utilisateur à l’aide du contexte UEBA affiché dans les panneaux latéral et l’onglet Vue d’ensemble de toutes les pages utilisateur. Lorsqu’un comportement inhabituel est détecté, le portail balise automatiquement les utilisateurs avec des anomalies UEBA , ce qui permet de hiérarchiser les enquêtes en fonction de l’activité récente. Pour plus d’informations, consultez la page Entité utilisateur dans Microsoft Defender.

Chaque page utilisateur comprend une section Des anomalies UEBA principales , affichant les trois principales anomalies des 30 derniers jours, ainsi que des liens directs vers des requêtes d’anomalies prédéfinies et la chronologie des événements Sentinel pour une analyse plus approfondie.

Requêtes d’anomalies utilisateur intégrées dans les enquêtes sur les incidents

Pendant les enquêtes sur les incidents, les analystes peuvent lancer des requêtes intégrées directement à partir de graphiques d’incident pour récupérer toutes les anomalies utilisateur liées au cas.

Pour plus d’informations, consultez Examiner les incidents dans le portail Microsoft Defender.

Enrichir les requêtes de repérage avancé et les détections personnalisées avec des données UEBA

Lorsque les analystes écrivent des requêtes avancées de repérage ou de détection personnalisée à l’aide de tables liées à UEBA, le portail Defender affiche une bannière qui les invite à rejoindre la table Anomalies . Cela permet d’enrichir les enquêtes avec des insights comportementaux et de renforcer l’analyse globale.

Pour plus d'informations, consultez les pages suivantes :

• Recherchez proactivement les menaces avec l'analyse avancée dans Microsoft Defender.
• Opérateur de jointure KQL.
• Sources de données UEBA.
• Anomalies détectées par le moteur Machine Learning Microsoft Sentinel.

Interrogation des données d’analyse du comportement

L’utilisation d’un KQL nous permet d’interroger la table BehaviorAnalytics.

Par exemple, si vous souhaitez rechercher tous les cas d’un utilisateur n’ayant pas réussi à se connecter à une ressource Azure, où il s’agissait de la première tentative de l’utilisateur de se connecter à partir d’un pays ou d’une région donnée, alors que les connexions à partir de ce pays ou de cette région sont rares, même émanant de pairs de l’utilisateur, nous pouvons utiliser la requête suivante :

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

• Dans Microsoft Sentinel dans le Portail Azure, vous interrogez la table BehaviorAnalytics sur la page Journaux d’activité de Log Analytics.
• Dans le portail Defender, vous interrogez cette table dans Repérage avancé.

Métadonnées de pairs de l’utilisateur – table et bloc-notes

Les métadonnées de pairs de l’utilisateur fournissent un contexte important pour les détections de menaces, l’investigation sur un incident et la chasse de menace potentielle. Les analystes de sécurité peuvent observer les activités normales des homologues des utilisateurs pour déterminer si les activités d’un utilisateur sont inhabituelles par rapport à celles de leurs homologues.

Microsoft Sentinel calcule et classe les pairs d’un utilisateur sur la base de l’appartenance à un groupe de sécurité Microsoft Entra, de la liste de diffusion, etc. de l’utilisateur et stocke les pairs classés de 1 à 20 dans la table UserPeerAnalytics. La capture d’écran ci-dessous montre le schéma de la table UserPeerAnalytics, avec les huit premiers pairs classés de l’utilisateur Kendall Collins. Microsoft Sentinel utilise l’algorithme TF-IDF (Term Frequency-Inverse Document Frequency, fréquence de terme-fréquence inverse dans le document) afin de normaliser la pondération pour le calcul du classement : plus le groupe est petit, plus le poids est élevé.

Vous pouvez utiliser le notebook Jupyter fourni dans le référentiel GitHub de Microsoft Sentinel pour visualiser les métadonnées des pairs des utilisateurs. Pour obtenir des instructions détaillées sur l’utilisation du bloc-notes, consultez le bloc-notes Analyse guidée – Métadonnées de sécurité utilisateur.

Requêtes de chasse et d’exploration

Microsoft Sentinel offre un ensemble prêt à l’emploi de requêtes de chasse, de requêtes d’exploration, ainsi que le classeur Analyse comportementale des utilisateurs et des entités, qui est basé sur la table BehaviorAnalytics. Ces outils présentent des données enrichies, axées sur des cas d’usage spécifiques, qui indiquent un comportement anormal.

Pour plus d'informations, consultez les pages suivantes :

• Repérer des menaces avec Microsoft Sentinel
• Visualiser et superviser vos données

Alors que les outils de défense hérités deviennent obsolètes, les organisations peuvent avoir un patrimoine numérique si vaste et si perméable qu’il devient ingérable d’obtenir une image complète du risque et de la posture que leur environnement peuvent rencontrer. Les acteurs malveillants s’appuient fortement sur des initiatives réactives, comme les analytiques et les règles, pour apprendre à y échapper. C’est là qu’intervient UEBA, en fournissant des méthodologies et des algorithmes de scoring des risques pour déterminer ce qui se passe vraiment.

Agréger des aperçus de comportement avec la couche comportementale UEBA (aperçu)

À mesure que Microsoft Sentinel collecte les journaux d’activité à partir de sources de données prises en charge, la couche comportements utilise l’IA pour transformer les journaux de sécurité bruts en insights comportementaux structurés et contextualisés. Pendant que UEBA crée des profils de base pour détecter les activités anormales, la couche comportements agrège les événements connexes en comportements significatifs qui expliquent « qui a fait quoi à qui ».

La couche de niveau comportementiel enrichit les logs bruts avec :

• Mappages MITRE ATT&CK qui alignent les comportements avec les tactiques et techniques connues
• Identification des rôles d’entité qui clarifie les acteurs et les cibles impliqués
• Explications en langage naturel qui rendent les activités complexes immédiatement compréhensibles

En convertissant des journaux de bord fragmentés en objets de comportement cohérents, la couche de comportements facilite la chasse aux menaces, simplifie la création d'alertes de détection et fournit un contexte plus détaillé pour la détection d'anomalies UEBA. Ensemble, ces fonctionnalités aident les analystes à comprendre rapidement que quelque chose d’anormal s’est produit, mais ce qui s’est passé et pourquoi il est important.

Pour plus d’informations, consultez Traduire les journaux de sécurité bruts en analyses comportementales à l’aide de fonctions UEBA dans Microsoft Sentinel (préversion).

Étapes suivantes

Ce document vous a montré les capacités d’analyse comportementale des entités de Microsoft Sentinel. Pour obtenir des conseils pratiques sur l’implémentation et pour utiliser les insights que vous avez acquises, consultez les articles suivants :

• Activer l’analyse comportementale des entités dans Microsoft Sentinel.
• Consultez la liste des anomalies détectées par le moteur UEBA.
• Examiner les incidents avec les données UEBA.
• Chasse des menaces de sécurité.

Pour plus d’informations, consultez également les informations de référence UEBA Microsoft Sentinel.