Udostępnij przez

Włączanie analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

W poprzednim kroku wdrażania włączono zawartość zabezpieczeń usługi Microsoft Sentinel, którą należy chronić. Z tego artykułu dowiesz się, jak włączyć funkcję UEBA i używać jej w celu usprawnienia procesu analizy. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.

Ponieważ usługa Microsoft Sentinel zbiera dzienniki i alerty ze wszystkich połączonych źródeł danych, analizuje je i tworzy podstawowe profile behawioralne jednostek organizacji (takich jak użytkownicy, hosty, adresy IP i aplikacje) w horyzoncie czasu i grupy równorzędnej. Korzystając z różnych technik i możliwości uczenia maszynowego, usługa Microsoft Sentinel może następnie identyfikować nietypowe działania i pomóc w ustaleniu, czy bezpieczeństwo zasobu zostało naruszone. Dowiedz się więcej o UEBA.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

Aby włączyć lub wyłączyć tę funkcję (te wymagania wstępne nie są wymagane do korzystania z funkcji):

  • Użytkownik musi być przypisany do roli administratora zabezpieczeń usługi Microsoft Entra ID w Twojej dzierżawie lub posiadać równoważne uprawnienia.

  • Użytkownik musi mieć przypisaną co najmniej jedną z następujących ról platformy Azure (Dowiedz się więcej o Azure RBAC):

    • Współautor usługi Microsoft Sentinel na poziomach obszaru roboczego lub grupy zasobów.
    • Współautor usługi Log Analytics na poziomach grupy zasobów lub subskrypcji.

  • Obszar roboczy nie może mieć zastosowanych żadnych blokad zasobów platformy Azure. Dowiedz się więcej na temat blokowania zasobów platformy Azure.

Uwaga

  • Do dodania funkcji UEBA do usługi Microsoft Sentinel nie jest wymagana żadna specjalna licencja i korzystanie z niej nie wiąże się z dodatkowymi kosztami.
  • Ponieważ jednak ueBA generuje nowe dane i przechowuje je w nowych tabelach tworzonych przez usługę UEBA w obszarze roboczym usługi Log Analytics, mają zastosowanie dodatkowe opłaty za magazyn danych .

Jak włączyć analizę zachowań użytkowników i jednostek

  • Użytkownicy usługi Microsoft Sentinel w witrynie Azure Portal postępuj zgodnie z instrukcjami na karcie Azure Portal .
  • Użytkownicy usługi Microsoft Sentinel w portalu usługi Microsoft Defender postępuj zgodnie z instrukcjami na karcie Portal usługi Defender .

  1. Przejdź do strony Konfiguracja zachowania jednostki .

    Użyj dowolnego z tych trzech sposobów, aby przejść do strony konfiguracji zachowania jednostki :

    • Wybierz pozycję Zachowanie jednostki z menu nawigacji usługi Microsoft Sentinel, a następnie wybierz pozycję Ustawienia zachowania jednostki na górnym pasku menu.

    • Wybierz Ustawienia z menu nawigacji Microsoft Sentinel, wybierz kartę Ustawienia, a następnie w ekspanderze analizy zachowania jednostek wybierz Ustal UEBA.

    • Na stronie łącznika danych XDR usługi Microsoft Defender wybierz link Przejdź do strony konfiguracji UEBA .

  2. Na stronie Konfiguracja zachowania jednostki przełącz opcję Włącz funkcję UEBA.

    Zrzut ekranu przedstawiający ustawienia konfiguracji ueBA.

  3. Wybierz usługi katalogowe, z których chcesz zsynchronizować jednostki użytkowników z usługą Microsoft Sentinel.

    • Lokalna usługa Active Directory (wersja zapoznawcza)
    • Identyfikator usługi Microsoft Entra

    Aby zsynchronizować jednostki użytkowników z lokalnej usługi Active Directory, musisz dołączyć dzierżawę platformy Azure do usługi Microsoft Defender for Identity (autonomicznej lub w ramach usługi Microsoft Defender XDR), a czujnik MDI musi być zainstalowany na kontrolerze domeny usługi Active Directory. Aby uzyskać więcej informacji, zobacz Wymagania wstępne usługi Microsoft Defender for Identity.

  4. Wybierz pozycję Połącz wszystkie źródła danych , aby połączyć wszystkie kwalifikujące się źródła danych lub wybrać określone źródła danych z listy.

    Te źródła danych można włączyć tylko z poziomu usługi Defender i witryny Azure Portal:

    • Dzienniki logowania
    • Dzienniki inspekcji
    • Działanie platformy Azure
    • Zdarzenia zabezpieczeń

    Możesz włączyć te źródła danych tylko z portalu Defender (wersja zapoznawcza):

    • Dzienniki logowania tożsamości zarządzanej usługi AAD (Microsoft Entra ID)
    • Dzienniki logowania jednostki usługi usługi AAD (Identyfikator entra firmy Microsoft)
    • AWS CloudTrail
    • Zdarzenia logowania urządzenia
    • Okta CL
    • Dzienniki inspekcji GCP

    Aby uzyskać więcej informacji na temat źródeł danych i anomalii UEBA ueBA w usłudze Microsoft Sentinel, zobacz Dokumentację ueBA usługi Microsoft Sentinel i anomalie UEBA.

    Uwaga

    Po włączeniu analizy UEBA można włączyć obsługiwane źródła danych dla analizy UEBA bezpośrednio w okienku łącznika danych lub na stronie Ustawienia portalu defender, zgodnie z opisem w tym artykule.

  5. Wybierz i podłącz.

  6. Włącz wykrywanie anomalii w obszarze roboczym usługi Sentinel:

    1. W menu nawigacji portalu Microsoft Defender wybierz pozycję Ustawienia>Obszarów roboczych rozwiązania SIEM usługi>.
    2. Wybierz obszar roboczy, który chcesz skonfigurować.
    3. Na stronie konfiguracji obszaru roboczego wybierz pozycję Anomalie i przełącz pozycję Wykryj anomalie.

Następne kroki

W tym artykule przedstawiono sposób włączania i konfigurowania analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat analizy UEBA:

Identyfikowanie zagrożeń za pomocą analizy UEBA

  • Last updated on