Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Na etapa de implantação anterior, você habilitou o conteúdo de segurança do Microsoft Sentinel necessário para proteger seus sistemas. Neste artigo, você aprenderá a habilitar e usar o recurso UEBA para simplificar o processo de análise. Este artigo faz parte do guia de implantação do Microsoft Sentinel.
À medida que o Microsoft Azure Sentinel coleta logs e alertas de todas as fontes de dados conectadas, ele os analisa e cria perfis comportamentais de linha de base das entidades da organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte do grupo de pares. Usando várias técnicas e funcionalidades de aprendizado de máquina, o Microsoft Sentinel pode identificar atividades anômalas e ajudar a determinar se um ativo está comprometido. Saiba mais sobre UEBA.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.
Pré-requisitos
Para habilitar ou desabilitar esse recurso (esses pré-requisitos não são necessários para usar o recurso):
A função de Administrador de Segurança do Microsoft Entra ou as permissões equivalentes ID devem ser atribuídas ao seu usuário em seu locatário.
Seu usuário precisa ter pelo menos uma das seguintes funções do Azure (Saiba mais sobre o RBAC do Azure):
- Colaborador do Microsoft Sentinel nos níveis do workspace ou grupo de recursos.
- Colaborador do Log Analytics nos níveis do grupo de recursos ou da assinatura.
Seu workspace não precisa ter nenhum bloqueio de recurso do Azure aplicado a ele. Saiba mais sobre o bloqueio de recursos do Azure.
Observação
- Não é necessário licenciamento especial para adicionar a funcionalidade UEBA ao Microsoft Sentinel, e não há custo adicional para usá-la.
- No entanto, como o UEBA gera novos dados e os armazena em novas tabelas criadas no seu workspace do Log Analytics, serão aplicadas cobranças adicionais de armazenamento de dados.
Como habilitar a Análise do Comportamento de Usuários e de Entidades
- Os usuários do Microsoft Sentinel no portal do Azure devem seguir as instruções na guia do portal do Azure.
- Usuários do Microsoft Sentinel como parte do portal do Microsoft Defender, siga as instruções na guia Portal do Defender.
Vá para a página de Configuração de comportamento da entidade.
Acesse a página Configuração do comportamento da entidade de qualquer uma destas três maneiras:
Selecione Comportamento da entidade no menu de navegação do Microsoft Sentinel e selecione Configurações de comportamento da entidade na barra de menus superior.
Selecione Configurações no menu de navegação do Microsoft Sentinel, selecione a guia Configurações e, em seguida, no expansor Análise de comportamento de entidade, selecione Definir UEBA.
Na página do conector de dados do Microsoft Defender XDR, selecione o link Acesse a página de configuração do UEBA.
Na página Configuração de comportamento de entidades, ative Ativar recurso UEBA.
Selecione os serviços de diretório dos quais você deseja sincronizar entidades de usuários com o Microsoft Sentinel.
- Active Directory local (Versão prévia)
- Microsoft Entra ID
Para sincronizar entidades de usuários do Active Directory local, você deve integrar seu locatário do Azure ao Microsoft Defender para Identidade (independentemente ou como parte do Microsoft Defender XDR) e deve ter o sensor MDI instalado no controlador de domínio do Active Directory. Para obter mais informações, confira Pré-requisitos do Microsoft Defender para Identidade.
Selecione Conectar todas as fontes de dados para conectar todas as fontes de dados qualificadas ou selecione fontes de dados específicas na lista.
Você só pode habilitar essas fontes de dados nos portais do Defender e do Azure:
- Logs de entrada
- Logs de Auditoria
- Atividades do Azure
- Eventos de segurança
Você só pode habilitar essas fontes de dados no portal do Defender (versão prévia):
- Logs de entrada da Identidade Gerenciada do AAD (ID do Microsoft Entra)
- Logs de entrada da Entidade de Serviço do AAD (ID do Microsoft Entra)
- AWS CloudTrail
- Eventos de Logon do Dispositivo
- Okta CL
- Logs de auditoria da GCP
Para obter mais informações sobre fontes de dados e anomalias da UEBA, confira Referência da UEBA no Microsoft Sentinel e Anomalias da UEBA.
Observação
Depois de habilitar a UEBA, você poderá habilitar fontes de dados com suporte para a UEBA diretamente no painel do conector de dados ou na página Configurações do portal do Defender, conforme descrito nesse artigo.
Selecione Conectar.
Habilitar a detecção de anomalias no espaço de trabalho do Sentinel:
- No menu de navegação do portal do Microsoft Defender, selecione Configurações>Microsoft Sentinel>Workspaces SIEM.
- Selecione o espaço de trabalho que você deseja configurar.
- Na página de configuração do espaço de trabalho, selecione Anomalias e ative Detectar Anomalias.
Próximas etapas
Neste artigo, você aprendeu a habilitar e configurar a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel. Para obter mais informações sobre o UEBA: