Zaawansowane wykrywanie zagrożeń za pomocą analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel

Wykrywanie nietypowego zachowania w organizacji jest złożone i powolne. Usługa Microsoft Sentinel User and Entity Behavior Analytics (UEBA) usprawnia wykrywanie anomalii i badanie przy użyciu modeli uczenia maszynowego w celu tworzenia dynamicznych punktów odniesienia i porównań elementów równorzędnych dla dzierżawy. Zamiast zbierać dzienniki, analiza UEBA uczy się od Twoich danych, aby uwidoczna analiza umożliwiająca podejmowanie działań, która pomaga analitykom wykrywać i badać anomalie.

W tym artykule wyjaśniono, jak działa funkcja UEBA usługi Microsoft Sentinel oraz jak używać analizy UEBA do uzyskiwania i badania anomalii oraz zwiększania możliwości wykrywania zagrożeń.

Wszystkie korzyści z analizy UEBA są dostępne w portalu usługi Microsoft Defender.

Co to jest UEBA?

Ponieważ usługa Microsoft Sentinel zbiera dzienniki i alerty ze wszystkich połączonych źródeł danych, ueBA używa sztucznej inteligencji (AI) do tworzenia podstawowych profilów behawioralnych jednostek organizacji — takich jak użytkownicy, hosty, adresy IP i aplikacje — w czasie i między grupami równorzędnymi. Następnie ueBA identyfikuje nietypowe działanie i pomaga określić, czy element zawartości został naruszony.

UEBA określa również względną wrażliwość określonych aktywów, identyfikuje grupy równorzędne zasobów i ocenia potencjalny wpływ danego naruszonego zasobu - jego "promień wybuchu". Te informacje umożliwiają efektywne określanie priorytetów związanych z badaniem, wyszukiwaniem zagrożeń i obsługą zdarzeń.

Architektura analizy UEBA

Analiza oparta na zabezpieczeniach

Zainspirowany paradygmatem Gartnera dla rozwiązań UEBA, usługa Microsoft Sentinel zapewnia "zewnętrzne" podejście oparte na trzech ramkach odwołania:

• Przypadki użycia: Priorytetowo dla odpowiednich wektorów ataków i scenariuszy opartych na badaniach bezpieczeństwa dopasowanych do struktury TAKTYKI, technik i podciągów MITRE ATT&CK, które stawiają różne jednostki jako ofiary, sprawcy lub punkty przestawne w łańcuchu zabijania; Usługa Microsoft Sentinel koncentruje się specjalnie na najcenniejszych dziennikach, które może zapewnić każde źródło danych.

• Źródła danych: Chociaż przede wszystkim obsługuje źródła danych platformy Azure, usługa Microsoft Sentinel przemyślie wybiera źródła danych innych firm, aby dostarczać dane zgodne z naszymi scenariuszami zagrożeń.

• Analytics: Korzystając z różnych algorytmów uczenia maszynowego, usługa Microsoft Sentinel identyfikuje nietypowe działania i przedstawia dowody wyraźnie i zwięzłie w postaci kontekstowych wzbogaceń, z których niektóre pojawiają się poniżej.

  

Usługa Microsoft Sentinel przedstawia artefakty, które ułatwiają analitykom zabezpieczeń jasne zrozumienie nietypowych działań w kontekście i w porównaniu z profilem punktu odniesienia użytkownika. Akcje wykonywane przez użytkownika (lub hosta lub adres) są oceniane kontekstowo, gdzie wynik "true" wskazuje zidentyfikowaną anomalię:

• w różnych lokalizacjach geograficznych, urządzeniach i środowiskach.
• w różnych horyzontach czasu i częstotliwości (w porównaniu z historią użytkownika).
• w porównaniu z zachowaniem elementów równorzędnych.
• w porównaniu z zachowaniem organizacji.

Informacje o jednostce użytkownika używane przez usługę Microsoft Sentinel do tworzenia profilów użytkowników pochodzą z identyfikatora Entra firmy Microsoft (i/lub lokalna usługa Active Directory, teraz w wersji zapoznawczej). Po włączeniu funkcji UEBA, Microsoft Entra ID jest synchronizowany z Microsoft Sentinel, a informacje są przechowywane w wewnętrznej bazie danych widocznej w tabeli IdentityInfo.

• W usłudze Microsoft Sentinel w witrynie Azure Portal wysyłasz zapytanie do tabeli IdentityInfo w usłudze Log Analytics na stronie Dzienniki .
• W portalu usługi Defender wykonasz zapytanie dotyczące tej tabeli w obszarze Wyszukiwanie zaawansowane.

Teraz w wersji zapoznawczej możesz również zsynchronizować informacje o jednostce użytkownika lokalna usługa Active Directory przy użyciu usługi Microsoft Defender for Identity.

Zobacz Włączanie analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel , aby dowiedzieć się, jak włączyć analizę UEBA i synchronizować tożsamości użytkowników.

Scoring (Ocenianie)

Każde działanie jest oceniane za pomocą wartości "Wynik priorytetu badania" — które określają prawdopodobieństwo określonego użytkownika wykonującego określone działanie na podstawie uczenia behawioralnego użytkownika i ich rówieśników. Działania zidentyfikowane jako najbardziej nietypowe otrzymują najwyższe wyniki (w skali od 0 do 10).

Zobacz, jak analiza zachowania jest używana w usłudze Microsoft Defender for Cloud Apps , aby zapoznać się z przykładem działania tej funkcji.

Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel i zobacz pełną listę obsługiwanych jednostek i identyfikatorów.

Strony jednostek

Informacje o stronach jednostek można teraz znaleźć na stronach jednostki w usłudze Microsoft Sentinel.

Doświadczenia UEBA w portalu usługi Defender umożliwiają analitykom i optymalizują procesy pracy.

Dzięki wyświetlaniu anomalii w grafach dochodzeń i stronach użytkowników oraz zachęcaniu analityków do uwzględnienia danych anomalii w zapytaniach do szukania zagrożeń, analiza UEBA ułatwia szybsze wykrywanie zagrożeń, inteligentniejsze priorytetyzowanie i wydajniejszą reakcję na zdarzenia.

W tej sekcji opisano kluczowe funkcjonalności analityków UEBA dostępne w portalu usługi Defender po włączeniu analizy UEBA.

Szczegółowe informacje dotyczące analizy ueBA w badaniach użytkowników

Analitycy mogą szybko ocenić ryzyko użytkownika przy użyciu kontekstu UEBA wyświetlanego w panelach bocznych i karcie Przegląd na wszystkich stronach użytkowników. Po wykryciu nietypowego zachowania, portal automatycznie oznacza użytkowników anomaliami UEBA, pomagając ustalić priorytety dochodzeń na podstawie ich ostatniej aktywności. Aby uzyskać więcej informacji, zobacz Stronę jednostki użytkownika w usłudze Microsoft Defender.

Każda strona użytkownika zawiera sekcję Najważniejszych anomalii UEBA , pokazującą trzy najważniejsze anomalie z ostatnich 30 dni, wraz z bezpośrednimi linkami do wstępnie utworzonych zapytań anomalii i osi czasu zdarzeń usługi Sentinel w celu dokładniejszej analizy.

Wbudowane zapytania dotyczące anomalii użytkownika w badaniach zdarzeń

Podczas badania zdarzeń analitycy mogą uruchamiać wbudowane zapytania bezpośrednio z wykresów zdarzeń w celu pobrania wszystkich anomalii użytkownika związanych z przypadkiem.

Aby uzyskać więcej informacji, zobacz Badanie zdarzeń w portalu usługi Microsoft Defender.

Udoskonalanie zapytań dotyczących zaawansowanego wyszukiwania zagrożeń i niestandardowych wykryć przy użyciu danych UEBA

Gdy analitycy piszą zapytania w Zaawansowanym Narzędziu Myśliwskim lub wykrywaniu niestandardowym, używając tabel powiązanych z UEBA, w portalu usługi Defender pojawi się baner zapraszający do korzystania z tabeli Anomalies. Pomaga to wzbogacić badania o szczegółowe informacje behawioralne i wzmacnia ogólną analizę.

Aby uzyskać więcej informacji, zobacz:

• Proaktywne wyszukiwanie zagrożeń za pomocą zaawansowanego wyszukiwania zagrożeń w usłudze Microsoft Defender.
• Operator sprzężenia KQL.
• Źródła danych UEBA.
• Anomalie wykryte przez aparat uczenia maszynowego usługi Microsoft Sentinel.

Wykonywanie zapytań dotyczących danych analizy zachowania

Za pomocą języka KQL możemy wykonywać zapytania dotyczące tabeli BehaviorAnalytics .

Na przykład — jeśli chcemy znaleźć wszystkie przypadki użytkownika, który nie mógł zalogować się do zasobu platformy Azure, gdzie była to pierwsza próba nawiązania połączenia przez użytkownika z danego kraju/regionu, a połączenia z tego kraju/regionu są nietypowe nawet dla elementów równorzędnych użytkownika, możemy użyć następującego zapytania:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

• W usłudze Microsoft Sentinel w witrynie Azure Portal wykonujesz zapytanie dotyczące tabeli BehaviorAnalytics w usłudze Log Analytics na stronie Dzienniki .
• W portalu usługi Defender wykonasz zapytanie dotyczące tej tabeli w obszarze Wyszukiwanie zaawansowane.

Metadane elementów równorzędnych użytkownika — tabela i notes

Metadane elementów równorzędnych użytkownika udostępniają ważny kontekst wykrywania zagrożeń, badania zdarzenia i wyszukiwania zagrożeń pod kątem potencjalnego zagrożenia. Analitycy zabezpieczeń mogą obserwować normalne działania elementów równorzędnych użytkowników, aby określić, czy działania użytkownika są nietypowe w porównaniu z działaniami ich rówieśników.

Usługa Microsoft Sentinel oblicza i klasyfikuje równorzędnych użytkowników na podstawie członkostwa w grupie zabezpieczeń Microsoft Entra, listy adresowej, itd., oraz przechowuje równorzędnych użytkowników sklasyfikowanych od 1 do 20 w tabeli UserPeerAnalytics. Poniższy zrzut ekranu przedstawia schemat tabeli UserPeerAnalytics i przedstawia osiem najlepszych elementów równorzędnych użytkownika Kendall Collins. Usługa Microsoft Sentinel używa algorytmu częstości termu i odwrotnej częstości dokumentowej (TF-IDF) do normalizacji wagi do obliczania rangi: im mniejsza grupa, tym większa waga.

Możesz użyć notesu Jupyter udostępnionego w repozytorium GitHub usługi Microsoft Sentinel, aby zwizualizować metadane elementów równorzędnych użytkownika. Aby uzyskać szczegółowe instrukcje dotyczące korzystania z zeszytu, zajrzyj do zeszytu Analiza z Przewodnikiem — Metadane Zabezpieczeń Użytkownika.

Wyszukiwanie zapytań i zapytań eksploracji

Usługa Microsoft Sentinel udostępnia wbudowany zestaw zapytań łowieckich, zapytań eksploracyjnych oraz skoroszyt Analizy zachowań użytkowników i jednostek, oparty na tabeli BehaviorAnalytics. Te narzędzia przedstawiają wzbogacone dane, skoncentrowane na konkretnych przypadkach użycia, które wskazują na nietypowe zachowanie.

Aby uzyskać więcej informacji, zobacz:

• Wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel
• Wizualizowanie i monitorowanie danych

W miarę jak starsze narzędzia obrony stają się przestarzałe, organizacje mogą mieć tak rozległy i porowaty majątek cyfrowy, że staje się niezarządzany, aby uzyskać kompleksowy obraz ryzyka i postawy ich środowiska. Poleganie w dużym stopniu na reaktywnych wysiłkach, takich jak analiza i reguły, umożliwia złym aktorom nauczenie się, jak unikać tych wysiłków. Jest to miejsce, w którym ueBA przychodzi do gry, zapewniając metodologie oceniania ryzyka i algorytmy, aby dowiedzieć się, co naprawdę się dzieje.

Następne kroki

W tym dokumencie przedstawiono możliwości analizy zachowań jednostek usługi Microsoft Sentinel. Aby uzyskać praktyczne wskazówki dotyczące implementacji i użyć uzyskanych szczegółowych informacji, zobacz następujące artykuły:

• Włącz analizę zachowań jednostek w usłudze Microsoft Sentinel.
• Zobacz listę anomalii wykrytych przez aparat UEBA.
• Badanie zdarzeń przy użyciu danych UEBA.
• Wyszukiwanie zagrożeń bezpieczeństwa.

Aby uzyskać więcej informacji, zobacz również dokumentację ueBA usługi Microsoft Sentinel.