Udostępnij przez

Przekładanie nieprzetworzonych dzienników zabezpieczeń na szczegółowe informacje behawioralne za pomocą zachowań UEBA w usłudze Microsoft Sentinel (wersja zapoznawcza).

Warstwa analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel agreguje i podsumowuje nieprzetworzone dzienniki wysokiej woluminy w przejrzyste wzorce działań bezpieczeństwa opartych na języku zrozumiałym, wyjaśniając, kto co zrobił komu w sposób ustrukturyzowany.

W przeciwieństwie do alertów lub anomalii zachowania niekoniecznie wskazują na ryzyko — tworzą warstwę abstrakcji, która optymalizuje dane pod kątem badań, wyszukiwania zagrożeń i wykrywania, zwiększając:

  • Wydajność: Zmniejsz czas badania, łącząc powiązane zdarzenia w spójnych scenariuszach.
  • Jasność: Tłumacz hałaśliwe, niskopoziomowe logi na zrozumiałe podsumowania.
  • Kontekst: Dodaj mapowanie MITRE ATT&CK i role jednostek, aby natychmiast zwiększyć znaczenie dla bezpieczeństwa.
  • Spójność: Zapewnia ujednolicony schemat w różnych źródłach logów.

Ta warstwa abstrakcji umożliwia szybsze wykrywanie zagrożeń, badanie i reagowanie na operacje zabezpieczeń bez konieczności dokładnego znajomości każdego źródła dziennika.

W tym artykule wyjaśniono, jak działa warstwa zachowania analizy UEBA, jak włączyć warstwę zachowań i jak używać zachowań w celu zwiększenia operacji zabezpieczeń.

Jak działa warstwa behawioralna UEBA

Zachowania są częścią możliwości analizy zachowań użytkowników i jednostek (UEBA) usługi Microsoft Sentinel, zapewniając znormalizowane, kontekstowe podsumowania działań, które uzupełniają wykrywanie anomalii i wzbogacają badania. W tej tabeli pokazano, jak zachowania różnią się od anomalii i alertów:

Zdolność Co reprezentuje Purpose
Anomalies Wzorce, które odbiegają od ustalonych punktów odniesienia Wyróżnianie nietypowych lub podejrzanych działań
Alerty Sygnał potencjalnego problemu z zabezpieczeniami wymagającego uwagi Wyzwalanie przepływów pracy do reakcji na incydenty
zachowania Neutralne, ustrukturyzowane podsumowania działania — normalne lub nietypowe — na podstawie okien czasowych lub wyzwalaczy wzbogaconych mapowaniami MITRE ATT&CK i rolami jednostek Dostarczanie kontekstu i jasności dla badań, poszukiwania i wykrywania.

Po włączeniu warstwy zachowań analizy UEBA usługa Microsoft Sentinel przetwarza obsługiwane dzienniki zabezpieczeń zbierane w obszarze roboczym usługi Sentinel w czasie niemal rzeczywistym i podsumowuje dwa typy wzorców behawioralnych:

Typ zachowania Opis Examples Przypadek użycia
Zagregowane zachowania Wykrywanie wzorców opartych na objętości przez zbieranie powiązanych zdarzeń w porach czasowych
  • Użytkownik uzyskiwał dostęp do 50+ zasobów w ciągu 1 godziny
  • Próby logowania z 10+ różnych adresów IP
 Przekonwertuj dzienniki o dużej objętości na praktyczne wnioski z zabezpieczeń. Ten typ zachowania wyróżnia się na identyfikowaniu nietypowych poziomów aktywności.
Sekwencjonowane zachowania Identyfikowanie wzorców wieloetapowych lub złożonych łańcuchów ataków, które nie są oczywiste podczas patrzenia na poszczególne zdarzenia Klucz dostępu utworzony > na podstawie nowych wywołań interfejsu API uprzywilejowanego adresu IP > Wykrywanie zaawansowanych sekwencji ataków i zagrożeń wieloetapowych.

Warstwa zachowania UEBA podsumowuje zachowania w dostosowanych interwałach czasu specyficznych dla logiki każdego zachowania, tworząc rekordy zachowania natychmiast po zidentyfikowaniu wzorców lub zamknięciu okien czasowych.

Każdy rekord zachowania obejmuje:

  • Prosty, kontekstowy opis: Wyjaśnienie języka naturalnego, co wydarzyło się w terminach związanych z bezpieczeństwem , na przykład kto zrobił to,co komu i dlaczego ma znaczenie.
  • Ujednolicony schemat i odwołania do podstawowych nieprzetworzonych dzienników: wszystkie zachowania używają spójnej struktury danych w różnych produktach i typach dzienników, więc analitycy nie muszą tłumaczyć różnych formatów dzienników ani dołączać tabel o dużej ilości.
  • Mapowanie MITRE ATT&CK: każde zachowanie jest oznaczone odpowiednią taktyką i technikami MITRE, zapewniając na pierwszy rzut oka standardowy kontekst branżowy. Nie widzisz tylko tego, co się stało, ale także jak pasuje do struktury ataku lub osi czasu.
  • Mapowanie relacji jednostki: każde zachowanie identyfikuje zaangażowane jednostki (użytkowników, hosty, adresy IP) i ich role (aktor, element docelowy lub inny).

Warstwa zachowań UEBA przechowuje rekordy zachowania w dwóch dedykowanych tabelach, bezproblemowo integrując się z istniejącymi przepływami pracy na potrzeby reguł wykrywania, badań i analizy zdarzeń. Przetwarza wszystkie typy działań zabezpieczeń — nie tylko podejrzane zdarzenia — i zapewnia kompleksowy wgląd zarówno w normalne, jak i nietypowe wzorce zachowań. Aby uzyskać informacje na temat używania tabel zachowań, zobacz Najlepsze rozwiązania i porady dotyczące rozwiązywania problemów dotyczące zachowań zapytań.

Na tym diagramie pokazano, w jaki sposób warstwa analizy zachowań UEBA przekształca nieprzetworzone dzienniki w ustrukturyzowane rekordy zachowań, które zwiększają operacje bezpieczeństwa:

Diagram przedstawiający sposób, w jaki warstwa zachowań UEBA przekształca nieprzetworzone dzienniki na ustrukturyzowane rekordy zachowań, które zwiększają efektywność operacji zabezpieczeń.

Ważne

Generatywna sztuczna inteligencja zasila warstwę zachowań UEBA do tworzenia i skalowania dostarczanych przez nią wglądów. Firma Microsoft zaprojektowała funkcję Zachowania na podstawie zasad ochrony prywatności i odpowiedzialnej sztucznej inteligencji w celu zapewnienia przejrzystości i możliwości wyjaśnienia. Zachowania nie wprowadzają nowych zagrożeń dla zgodności ani analizy typu "czarna skrzynka" do SOC. Aby uzyskać szczegółowe informacje o sposobie stosowania sztucznej inteligencji w tej funkcji i podejściu firmy Microsoft do odpowiedzialnej sztucznej inteligencji, zobacz Odpowiedzialne sztuczna inteligencja — często zadawane pytania dotyczące warstwy zachowań ueBA firmy Microsoft.

Przypadki użycia i przykłady

Oto jak analitycy, myśliwi i inżynierowie wykrywania mogą używać zachowań podczas badania, wyszukiwania zagrożeń i tworzenia alertów.

Badanie i uzupełnianie danych incydentów

Zachowania umożliwiają analitykom SOC natychmiastowe zrozumienie, co zaszło w związku z alertem, bez przełączania się pomiędzy wieloma nieprzetworzonymi tabelami dzienników.

  • Przepływ pracy bez zachowań: Analitycy często muszą ręcznie zrekonstruować osie czasu, wykonując zapytania dotyczące tabel specyficznych dla zdarzeń i łącząc wyniki.

    Przykład: alert jest wyzwalany w przypadku podejrzanego działania platformy AWS. Analityk wykonuje zapytanie względem AWSCloudTrail tabeli, a następnie przegląda dane zapory, aby zrozumieć, co zrobił użytkownik lub host. Wymaga to znajomości każdego schematu i spowalnia klasyfikację.

  • Przepływ pracy z zachowaniami: Warstwa zachowań UEBA automatycznie agreguje powiązane zdarzenia do wpisów zachowań, które mogą być dołączane do incydentu lub odpytywane na żądanie.

    Przykład: Alert oznacza możliwy wyciek poświadczeń. BehaviorInfo W tabeli analityk widzi zachowanie Podejrzany masowy dostęp do tajnych danych przez User123odpowiadające technice MITRE T1552 (Niezabezpieczone Poświadczenia). Warstwa zachowań UEBA wygenerowała to zachowanie przez agregowanie 20 wpisów dziennika platformy AWS. Analityk natychmiast rozumie, że użytkownik User123 uzyskiwał dostęp do wielu wpisów tajnych — co ma kluczowe znaczenie dla eskalacji zdarzenia — bez ręcznego przeglądania wszystkich 20 wpisów dziennika.

Wyszukiwanie zagrożeń

Zachowania pozwalają łowcom wyszukiwać TTPs i podsumowania działań, zamiast pisać złożone sprzężenia lub normalizować nieprzetworzone dzienniki samodzielnie.

  • Przepływ pracy bez zachowań: Wyszukiwania wymagają złożonych zapytań KQL, łączonych tabel i znajomości każdego formatu źródła danych. Ważne działania mogą być pochowane w dużych zestawach danych z niewielkim wbudowanym kontekstem zabezpieczeń.

    Przykład: Poszukiwanie oznak rekonesansu może wymagać oddzielnego skanowania AWSCloudTrail zdarzeń i pewnych wzorców połączeń zapory. Kontekst istnieje głównie w przypadku zdarzeń i alertów, co utrudnia proaktywne wyszukiwanie.

  • Przepływ pracy z zachowaniami: Zachowania są normalizowane, wzbogacane i mapowane na taktyki i techniki MITRE. Łowcy mogą wyszukiwać znaczące wzorce bez zależności od schematu każdego źródła.

    Łowca może filtrować tabelę BehaviorInfo według taktyki (Categories), techniki, tytułu lub jednostki. Przykład:

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    Myśliwi mogą również:

    • Zidentyfikuj rzadkie zachowania przy użyciu count distinct pola Title .
    • Zapoznaj się z interesującym typem zachowania, zidentyfikuj zaangażowane jednostki i zbadaj je dalej.
    • Przeanalizuj nieprzetworzone dzienniki przy użyciu kolumn BehaviorId i AdditionalFields, które często odwołują się do tych nieprzetworzonych dzienników.

    Przykład: Łowca poszukujący ukrytego dostępu do poświadczeń przeszukuje zachowania wskaźnikiem "wyliczanie poświadczeń" w kolumnie Title. Wyniki zwracają kilka wystąpień "Próba zrzutu poświadczeń z Vault przez użytkownika AdminJoe" (pochodzącego z CyberArk dzienników). Mimo że alerty nie zostały wyzwolone, to zachowanie jest nietypowe dla AdminJoe i wymaga dalszego zbadania — co jest trudne do wykrycia w szczegółowych dziennikach audytu Vault.

    Myśliwi mogą również polować, korzystając z:

    • Taktyka MITRE:

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • Technika:

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • Określony użytkownik:

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • Rzadkie zachowania (potencjalne anomalie):

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

Alerty i automatyzacja

Zachowania upraszczają logikę reguł, zapewniając znormalizowane, wysokiej jakości sygnały z wbudowanym kontekstem i umożliwiają nowe możliwości korelacji.

  • Przepływ pracy bez zachowań: Reguły korelacji między źródłami są złożone, ponieważ każdy format dziennika jest inny. Reguły często wymagają:

    • Logika normalizacji
    • Warunki specyficzne dla schematu
    • Wiele oddzielnych reguł
    • Poleganie na alertach, a nie na nieprzetworzonych działaniach

    Automatyzacja może być również wyzwalana zbyt często, jeśli jest sterowana zdarzeniami niskiego poziomu.

  • Przepływ pracy z zachowaniami: Zachowania już agregują powiązane zdarzenia i obejmują mapowania MITRE, role jednostek i spójne schematy, dzięki czemu inżynierowie wykrywania mogą tworzyć prostsze, jaśniejsze reguły wykrywania.

    Przykład: Aby otrzymywać alerty dotyczące potencjalnego naruszenia zabezpieczeń klucza i sekwencji eskalacji uprawnień, inżynier wykrywania zapisuje regułę wykrywania przy użyciu tej logiki: "Alert, jeśli użytkownik ma zachowanie "Tworzenie nowego klucza dostępu platformy AWS", a następnie zachowanie "Podniesienie uprawnień w usłudze AWS" w ciągu 1 godziny.

    Bez warstwy zachowań UEBA ta reguła wymagałaby łączenia ze sobą nieprzetworzonych AWSCloudTrail zdarzeń i interpretowania ich w logice reguły. Dzięki funkcjom proces logowania zmian schematu jest prosty i odporny, ponieważ schemat jest ujednolicony.

    Zachowania służą również jako niezawodne wyzwalacze automatyzacji. Zamiast tworzyć alerty dla działań innych niż ryzykowne, użyj zachowań w celu wyzwolenia automatyzacji — na przykład w celu wysłania wiadomości e-mail lub zainicjowania weryfikacji.

Obsługiwane źródła danych

Lista obsługiwanych źródeł danych i dostawców lub usług, które wysyłają dzienniki do tych źródeł danych, ewoluuje. Warstwa zachowań UEBA automatycznie agreguje szczegółowe informacje dla wszystkich obsługiwanych dostawców na podstawie zebranych dzienników.

W publicznej wersji zapoznawczej warstwa zachowań UEBA koncentruje się na tych źródłach danych innych niż Microsoft, które tradycyjnie nie mają łatwego kontekstu behawioralnego w usłudze Microsoft Sentinel:

Źródło danych Obsługiwani dostawcy, usługi i dzienniki Connector
CommonSecurityLog
  • Cyber Ark Vault
  • Zagrożenia Palo Alto
AWSCloudTrail
  • EC2
  • Zarządzanie dostępem i tożsamościami
  • S3
  • EKS
  • Menedżer tajemnic
GCPAuditLogs
  • Dzienniki aktywności administratora
  • Dzienniki dostępu do danych
  • Dzienniki przezroczystości dostępu
 Dzienniki audytu GCP Pub/Sub

Ważne

Te źródła są oddzielone od innych funkcji UEBA i muszą być włączone specjalnie. Jeśli włączono usługę AWSCloudTrail dla analizy zachowań i anomalii UEBA, nadal musisz włączyć ją dla zachowań.

Wymagania wstępne

Aby użyć warstwy zachowań UEBA, potrzebne są następujące elementy:

Wymagane uprawnienia

Aby włączyć warstwę zachowań ueBA i korzystać z nich, potrzebne są następujące uprawnienia:

Akcja użytkownika Wymagane uprawnienie
Włącz zachowania Przynajmniej rola Administratora zabezpieczeń w usłudze Microsoft Entra ID.
Tabele zachowania zapytań
  • Rola Czytelnik zabezpieczeń lub Operator zabezpieczeń w identyfikatorze Entra firmy Microsoft w celu uruchamiania zapytań zaawansowanego wyszukiwania zagrożeń w portalu usługi Defender
  • Read dostęp do tabel BehaviorInfo i BehaviorEntities w obszarze roboczym usługi Sentinel
  • Read dostęp do tabel źródłowych w celu wnikania do szczegółów nieprzetworzonych zdarzeń

Aby uzyskać więcej informacji na temat ujednoliconej kontroli dostępu opartej na rolach w portalu usługi Defender, zobacz Microsoft Defender XDR Unified role-based access control (RBAC) (Ujednolicona kontrola dostępu oparta na rolach w usłudze Microsoft Defender).

Włącz warstwę zachowań UEBA

Aby włączyć warstwę zachowań UEBA w swoim obszarze roboczym:

  1. W portalu usługi Defender wybierz pozycję System > ustawień > obszarów roboczych Microsoft Sentinel SIEM >.

  2. Wybierz obszar roboczy usługi Sentinel, w którym chcesz włączyć warstwę zachowań UEBA.

  3. Wybierz Włącz analizę zachowań > Skonfiguruj UEBA > Nowa! Warstwa zachowań.

  4. Włącz warstwę Warstwa zachowań.

  5. Wybierz pozycję Połącz wszystkie źródła danych lub wybierz określone źródła danych z listy.

    Jeśli nie połączono jeszcze żadnych obsługiwanych źródeł danych z obszarem roboczym usługi Sentinel, wybierz pozycję Przejdź do centrum zawartości , aby znaleźć i połączyć odpowiednie łączniki.

    Zrzut ekranu przedstawiający stronę warstwy Włącz zachowania w portalu usługi Defender.

  6. Wybierz i podłącz.

Ważne

W publicznej wersji próbnej można włączyć zachowania tylko w jednym obszarze roboczym w ramach dzierżawy.

Model ustalania cen

Użycie warstwy zachowań analizy UEBA powoduje następujące koszty:

  • Brak dodatkowych kosztów licencji: Zachowania są uwzględniane w ramach usługi Microsoft Sentinel (obecnie w wersji zapoznawczej). Nie potrzebujesz oddzielnej jednostki SKU, dodatku UEBA ani dodatkowego licencjonowania. Jeśli obszar roboczy jest połączony z usługą Sentinel i dołączony do portalu usługi Defender, możesz używać funkcjonalności bez dodatkowych kosztów za funkcje.

  • Opłaty za pozyskiwanie danych dziennika: Dane dotyczące zachowania są przechowywane w tabelach SentinelBehaviorInfo i SentinelBehaviorEntities w obszarze roboczym usługi Sentinel. Każde zachowanie przyczynia się do wolumenu pobierania danych w obszarze roboczym i jest rozliczane według istniejącej stawki za pobieranie danych w usłudze Log Analytics/Sentinel. Zachowania są addytywne — nie zastępują istniejących nieprzetworzonych dzienników.

Najlepsze rozwiązania i porady dotyczące rozwiązywania problemów dotyczące zachowań związanych z wykonywaniem zapytań

Ta sekcja zawiera najlepsze rozwiązania i porady dotyczące rozwiązywania problemów dotyczące zachowań zapytań w portalu usługi Defender i w obszarze roboczym usługi Sentinel. Aby uzyskać bardziej praktyczne przykłady używania zachowań, zobacz Przypadki użycia i przykłady.

Aby uzyskać więcej informacji na temat języka Kusto Query Language (KQL), zobacz Omówienie języka zapytań Kusto.

  • Uzyskiwanie dostępu do danych zachowania w portalu usługi Defender przez wykonywanie zapytań o BehaviorInfo i BehaviorEntities

    • Tabela BehaviorInfo zawiera jeden rekord dla każdego wystąpienia zachowania, aby wyjaśnić "co się stało". Aby uzyskać więcej informacji na temat schematów tabel, zobacz BehaviorInfo (wersja zapoznawcza).

    • W BehaviorEntities tabeli wymieniono jednostki zaangażowane w każde zachowanie. Aby uzyskać więcej informacji na temat schematu tabeli, BehaviorEntities (wersja zapoznawcza).

    • Ujednolicony widok: tabele BehaviorInfo i BehaviorEntities zawierają wszystkie zachowania analizy UEBA, a także mogą obejmować zachowania usługi Microsoft Defender for Cloud Apps i Microsoft Defender for Cloud, jeśli zbierasz zachowania z tych usług.

      Aby filtrować zachowania z warstwy zachowań ueBA usługi Microsoft Sentinel, użyj kolumny ServiceSource . Przykład:

      BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

      Zrzut ekranu przedstawiający tabelę BehaviorInfo przefiltrowaną według kolumny ServiceSource do wartości usługi Microsoft Sentinel.

  • Zgłębianie szczegółów od zachowań do surowych logów: użyj AdditionalFields kolumny w BehaviorInfo, która zawiera odwołania do oryginalnych identyfikatorów zdarzeń w polu SupportingEvidence.

    Zrzut ekranu przedstawiający tabelę BehaviorInfo z kolumną AdditionalFields z odwołaniami do identyfikatorów zdarzeń i polem SupportingEvidence dla nieprzetworzonych zapytań dziennika.

    Uruchom zapytanie dla wartości pola SupportingEvidence aby znaleźć nieprzetworzone dzienniki, które były powodem konkretnego zachowania.

    Zrzut ekranu przedstawiający zapytanie dotyczące wartości pola SupportingEvidence oraz wyniki zapytania, które pokazują surowe logi, przyczyniające się do zachowania.

  • Połącz BehaviorInfo i BehaviorEntities: użyj pola BehaviorId do połączenia BehaviorInfo z BehaviorEntities.

    Przykład:

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    Zapewnia to każde zachowanie i każdą jednostkę, która jest w nie zaangażowana. Informacje AccountUpn albo identyfikujące jednostkę znajdują się w BehaviorEntities elemencie, natomiast BehaviorInfo w tekście może się odwoływać do "Użytkownik" lub "Host".

  • Gdzie są przechowywane dane zachowania w obszarze roboczym usługi Sentinel?:

    • W obszarze roboczym usługi Sentinel dane zachowania są przechowywane w tabelach SentinelBehaviorInfo i SentinelBehaviorEntities. Aby uzyskać więcej informacji na temat schematów tabel, zobacz SentinelBehaviorInfo i SentinelBehaviorEntities.
    • Aby monitorować użycie danych, poszukaj nazw tabel SentinelBehaviorInfo i SentinelBehaviorEntities w tabeli Usage.

  • Tworzenie reguł automatyzacji, skoroszytów i wykrywania na podstawie zachowań:

    • BehaviorInfo Użyj tabeli jako źródła danych dla reguł wykrywania lub podręczników automatyzacji w portalu usługi Defender. Na przykład utwórz zaplanowaną regułę zapytania, która jest wyzwalana po wyświetleniu określonego zachowania.
    • W przypadku skoroszytów Azure Monitor i wszystkich artefaktów zbudowanych bezpośrednio w obszarze roboczym Sentinel, upewnij się, że wykonywane są zapytania do tabel SentinelBehaviorInfo i SentinelBehaviorEntities w tym obszarze roboczym.

Rozwiązywanie problemów

  • Jeśli zachowania nie są generowane: Upewnij się, że obsługiwane źródła danych aktywnie wysyłają dzienniki do warstwy Analiza, upewnij się, że przełącznik źródła danych jest włączony i poczekaj 15–30 minut po włączeniu.
  • Widzę mniej zachowań niż oczekiwano: Nasze pokrycie obsługiwanych typów zachowań jest częściowe i rośnie. Warstwa zachowań UEBA może również nie być w stanie wykryć wzorca zachowania, jeśli istnieje bardzo niewiele wystąpień określonego typu zachowania.
  • Liczba zachowań: pojedyncze zachowanie może reprezentować dziesiątki lub setki nieprzetworzonych zdarzeń — ma to na celu zmniejszenie szumu.

Ograniczenia w publicznej wersji zapoznawczej

Te ograniczenia mają zastosowanie w publicznej wersji zapoznawczej warstwy zachowań analizy UEBA:

  • Możesz włączyć zachowania w jednym obszarze roboczym Sentinel dla dzierżawcy.
  • Warstwa zachowania analizy UEBA generuje zachowania dla ograniczonego zestawu obsługiwanych źródeł danych i dostawców lub usług.
  • Warstwa zachowań UEBA nie przechwytuje obecnie każdej możliwej techniki akcji ani ataku, nawet w przypadku obsługiwanych źródeł. Niektóre zdarzenia mogą nie generować odpowiednich zachowań. Nie zakładaj, że brak zachowania oznacza, że nie wystąpiło żadne działanie. Zawsze przeglądaj nieprzetworzone dzienniki, jeśli podejrzewasz, że coś może brakować.
  • Zachowania mają na celu zmniejszenie szumu przez agregowanie i sekwencjonowanie zdarzeń, ale nadal może być wyświetlanych zbyt wiele rekordów zachowań. Z zadowoleniem przyjmujemy Twoją opinię na temat konkretnych typów zachowań, aby pomóc w poprawie pokrycia i istotności.
  • Zachowania nie są alertami ani anomaliami. Są to neutralne obserwacje, które nie są klasyfikowane jako złośliwe lub łagodne. Obecność zachowania oznacza, że "tak się stało", a nie "jest to zagrożenie". Wykrywanie anomalii pozostaje odrębne w ramach UEBA. Użyj osądu lub połącz zachowania z danymi anomalii UEBA, aby zidentyfikować godne uwagi wzorce.
  • Last updated on