Udostępnij przez

Włączanie analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Analiza zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel analizuje dzienniki i alerty z połączonych źródeł danych w celu utworzenia podstawowych profilów behawioralnych jednostek organizacji — takich jak użytkownicy, hosty, adresy IP i aplikacje. Korzystając z uczenia maszynowego, ueBA identyfikuje nietypowe działanie, które może wskazywać na naruszony zasób.

Analizę zachowań użytkowników i jednostek można włączyć na dwa sposoby, zarówno z tym samym wynikiem:

  • W ustawieniach obszaru roboczego usługi Microsoft Sentinel: włącz analizę UEBA dla obszaru roboczego i wybierz źródła danych do połączenia w portalu Microsoft Defender lub portalu Azure.
  • Z obsługiwanych łączników danych: włącz UEBA podczas konfigurowania łączników danych obsługiwanych przez UEBA w portalu Microsoft Defender.

W tym artykule wyjaśniono, jak włączyć analizę UEBA i skonfigurować źródła danych z ustawień obszaru roboczego usługi Microsoft Sentinel i z obsługiwanych łączników danych.

Aby uzyskać więcej informacji na temat analizy ueBA, zobacz Identyfikowanie zagrożeń za pomocą analizy zachowań jednostek.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

Aby włączyć lub wyłączyć tę funkcję (te wymagania wstępne nie są wymagane do korzystania z funkcji):

  • Użytkownik musi być przypisany do roli administratora zabezpieczeń usługi Microsoft Entra ID w Twojej dzierżawie lub posiadać równoważne uprawnienia.

  • Użytkownik musi mieć przypisaną co najmniej jedną z następujących ról platformy Azure (Dowiedz się więcej o Azure RBAC):

    • Współautor usługi Microsoft Sentinel na poziomach obszaru roboczego lub grupy zasobów.
    • Współautor usługi Log Analytics na poziomach grupy zasobów lub subskrypcji.

  • Obszar roboczy nie może mieć zastosowanych żadnych blokad zasobów platformy Azure. Dowiedz się więcej na temat blokowania zasobów platformy Azure.

Uwaga

  • Do dodania funkcji UEBA do usługi Microsoft Sentinel nie jest wymagana żadna specjalna licencja i korzystanie z niej nie wiąże się z dodatkowymi kosztami.
  • Ponieważ jednak ueBA generuje nowe dane i przechowuje je w nowych tabelach tworzonych przez usługę UEBA w obszarze roboczym usługi Log Analytics, mają zastosowanie dodatkowe opłaty za magazyn danych .

Włącz UEBA z ustawień obszaru roboczego

Aby włączyć funkcję UEBA w ustawieniach obszaru roboczego Microsoft Sentinel:

  1. Przejdź do strony Konfiguracja zachowania jednostki .

    Użyj dowolnego z tych trzech sposobów, aby przejść do strony konfiguracji zachowania jednostki :

    • Wybierz pozycję Zachowanie jednostki z menu nawigacji usługi Microsoft Sentinel, a następnie wybierz pozycję Ustawienia zachowania jednostki na górnym pasku menu.

    • Wybierz Ustawienia z menu nawigacji Microsoft Sentinel, wybierz kartę Ustawienia, a następnie w ekspanderze analizy zachowania jednostek wybierz Ustal UEBA.

    • Na stronie łącznika danych XDR usługi Microsoft Defender wybierz link Przejdź do strony konfiguracji UEBA .

  2. Na stronie Konfiguracja zachowania jednostki przełącz opcję Włącz funkcję UEBA.

    Zrzut ekranu przedstawiający ustawienia konfiguracji ueBA.

  3. Wybierz usługi katalogowe, z których chcesz zsynchronizować jednostki użytkowników z usługą Microsoft Sentinel.

    • Lokalna usługa Active Directory (wersja zapoznawcza)
    • Identyfikator usługi Microsoft Entra

    Aby zsynchronizować jednostki użytkowników z lokalnej usługi Active Directory, musisz dołączyć dzierżawę platformy Azure do usługi Microsoft Defender for Identity (autonomicznej lub w ramach usługi Microsoft Defender XDR), a czujnik MDI musi być zainstalowany na kontrolerze domeny usługi Active Directory. Aby uzyskać więcej informacji, zobacz Wymagania wstępne usługi Microsoft Defender for Identity.

  4. Wybierz pozycję Połącz wszystkie źródła danych , aby połączyć wszystkie kwalifikujące się źródła danych lub wybrać określone źródła danych z listy.

    Te źródła danych można włączyć tylko z poziomu usługi Defender i witryny Azure Portal:

    • Dzienniki logowania
    • Dzienniki inspekcji
    • Działanie platformy Azure
    • Zdarzenia zabezpieczeń

    Możesz włączyć te źródła danych tylko z portalu Defender (wersja zapoznawcza):

    • Dzienniki logowania tożsamości zarządzanej usługi AAD (Microsoft Entra ID)
    • Dzienniki logowania jednostki usługi usługi AAD (Identyfikator entra firmy Microsoft)
    • AWS CloudTrail
    • Zdarzenia logowania urządzenia
    • Okta CL
    • Dzienniki inspekcji GCP

    Aby uzyskać więcej informacji na temat źródeł danych i anomalii UEBA ueBA w usłudze Microsoft Sentinel, zobacz Dokumentację ueBA usługi Microsoft Sentinel i anomalie UEBA.

    Uwaga

    Po włączeniu analizy UEBA można włączyć obsługiwane źródła danych dla analizy UEBA bezpośrednio w okienku łącznika danych lub na stronie Ustawienia portalu defender, zgodnie z opisem w tym artykule.

  5. Wybierz i podłącz.

  6. Włącz wykrywanie anomalii w obszarze roboczym usługi Microsoft Sentinel:

    1. W menu nawigacji portalu Microsoft Defender wybierz pozycję Ustawienia>Obszarów roboczych rozwiązania SIEM usługi>.
    2. Wybierz obszar roboczy, który chcesz skonfigurować.
    3. Na stronie konfiguracji obszaru roboczego wybierz pozycję Anomalie i przełącz pozycję Wykryj anomalie.

Włącz UEBA z obsługiwanych łączników

Aby włączyć analizę UEBA z obsługiwanych łączników danych w portalu usługi Microsoft Defender:

  1. W menu nawigacji portalu Microsoft Defender wybierz Konfiguracja usługi Microsoft Sentinel > Łączniki danych>.

  2. Wybierz łącznik danych obsługiwany przez UEBA. Aby uzyskać więcej informacji na temat łączników i tabel danych obsługiwanych przez usługę UEBA, zobacz Dokumentacja analizy UEBA usługi Microsoft Sentinel.

  3. W okienku łącznika danych wybierz pozycję Otwórz stronę łącznika.

  4. Na stronie Szczegóły łącznika wybierz pozycję Opcje zaawansowane.

  5. W obszarze Konfigurowanie analizy UEBA włącz tabele, które chcesz włączyć dla analizy UEBA.

    Zrzut ekranu konfiguracji UEBA w łączniku danych.

Aby uzyskać więcej informacji na temat konfigurowania łączników danych usługi Microsoft Sentinel, zobacz Łączenie źródeł danych z usługą Microsoft Sentinel przy użyciu łączników danych.

Następne kroki

W tym artykule przedstawiono sposób włączania i konfigurowania analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat analizy UEBA:

Identyfikowanie zagrożeń za pomocą analizy UEBA

  • Last updated on