Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel na disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Detectar comportamento anômalo dentro da sua organização é complexo e demorado. A Análise do Comportamento de Usuários e de Entidades (UEBA) do Microsoft Sentinel simplifica a detecção e a investigação de anomalias usando modelos de machine learning para criar linhas de base dinâmicas e comparações entre pares para seu locatário. Em vez de apenas coletar logs, a UEBA aprende com seus dados para apresentar inteligência acionável que ajuda os analistas a detectar e investigar anomalias.
Este artigo explica como a UEBA do Microsoft Sentinel funciona e como usar a UEBA para apresentar e investigar anomalias e aprimorar suas funcionalidades de detecção de ameaças.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.
Todos os benefícios da análise do comportamento de usuários e de entidades estão disponíveis no portal do Microsoft Defender.
O que é UEBA?
À medida que o Microsoft Sentinel coleta logs e alertas de todas as suas fontes de dados conectadas, a UEBA usa inteligência artificial (IA) para criar perfis de linha de base de comportamento das entidades da sua organização, como usuários, hosts, endereços IP e aplicativos, ao longo do tempo e entre grupos pares. A UEBA identifica atividades anômalas e ajuda a determinar se um ativo está comprometido.
A UEBA também determina a confidencialidade relativa de ativos específicos, identifica grupos de ativos pares e avalia o impacto potencial de um ativo comprometido — o chamado “raio de impacto”. Essas informações permitem priorizar a investigação, a busca e o tratamento de incidentes de forma eficaz.
Arquitetura de análise UEBA
Análise controlada pela segurança
Inspirado pelo paradigma do Gartner para soluções UEBA, o Microsoft Azure Sentinel fornece uma abordagem "de fora para dentro" baseada em três quadros de referência:
Casos de uso: ao priorizar vetores de ataque e cenários relevantes com base em pesquisas de segurança alinhadas à estrutura MITRE ATT&CK de táticas, técnicas e sub-técnicas que colocam várias entidades como vítimas, autores ou pontos de pivô na cadeia de ataque, o Microsoft Sentinel se concentra especificamente nos logs mais valiosos que cada fonte de dados pode fornecer.
Fontes de dados: embora, em primeiro lugar, ofereça suporte a fontes de dados do Azure, o Microsoft Sentinel seleciona cuidadosamente fontes de dados de terceiros para fornecer dados que correspondam aos nossos cenários de ameaça.
Analytics: Usando vários algoritmos de ML (machine learning), o Microsoft Sentinel identifica atividades anômalas e apresenta evidências de forma clara e concisa na forma de enriquecimentos contextuais, alguns exemplos dos quais aparecem abaixo.
O Microsoft Azure Sentinel apresenta artefatos que ajudam os analistas de segurança a obter uma compreensão clara das atividades anormais no contexto e em comparação ao perfil de linha de base do usuário. Ações realizadas por um usuário (ou um host ou um endereço) são avaliadas contextualmente, onde um resultado "verdadeiro" indica uma anomalia identificada:
- em locais geográficos, dispositivos e ambientes.
- em horizontes de tempo e frequência (em comparação com o próprio histórico do usuário).
- em comparação com o comportamento dos pares.
- em comparação com o comportamento da organização.
As informações de entidade de usuário que o Microsoft Sentinel usa para criar seus perfis de usuário são provenientes da ID do Microsoft Entra (e/ou do Active Directory local, agora em Versão prévia). Quando você habilita o UEBA, ele sincroniza sua ID do Microsoft Entra com o Microsoft Sentinel, armazenando as informações em um banco de dados interno visível por meio da tabela IdentityInfo .
- No Microsoft Sentinel no portal do Azure, você consulta a tabela IdentityInfo no Log Analytics na página Logs .
- No portal do Defender, você consulta essa tabela na busca avançada.
Agora, na versão prévia, você também pode sincronizar suas informações de entidade de usuário Active Directory local usando o Microsoft Defender para Identidade.
Consulte Habilitar UEBA (Análise de Comportamento de Usuário e Entidade) no Microsoft Sentinel para saber como habilitar o UEBA e sincronizar identidades de usuário.
Pontuação
Cada atividade é classificada com a "pontuação de prioridade de investigação", que determina a probabilidade de um determinado usuário realizar uma atividade específica com base no aprendizado comportamental do usuário e de seus pares. As atividades identificadas como as mais anormais recebem as pontuações mais altas (em uma escala de 0 a 10).
Veja como a análise de comportamento é usada no Microsoft Defender para Aplicativos de Nuvem para obter um exemplo de como isso funciona.
Saiba mais sobre entidades no Microsoft Sentinel e veja a lista completa de entidades e identificadores com suporte.
Páginas de entidade
Informações sobre páginas de entidade agora podem ser encontradas em páginas de entidade no Microsoft Sentinel.
Experiências da UEBA no portal do Defender capacitam analistas e simplificam fluxos de trabalho
Ao exibir anomalias em grafos de investigação e páginas de usuário e solicitar que os analistas incorporem dados de anomalias em consultas de busca, a UEBA facilita a detecção de ameaças mais rápida, a priorização mais inteligente e a resposta a incidentes mais eficiente.
Esta seção descreve as principais experiências de analista da UEBA disponíveis no portal do Defender quando você habilita o UEBA.
Insights da UEBA em investigações de usuários
Os analistas podem avaliar rapidamente o risco do usuário usando o contexto UEBA exibido em painéis laterais e a guia Visão geral em todas as páginas do usuário. Quando um comportamento incomum é detectado, o portal marca automaticamente os usuários com anomalias UEBA, auxiliando na priorização de investigações com base nas atividades recentes. Para obter mais informações, consulte a página Entidade de usuário no Microsoft Defender.
Cada página de usuário inclui uma seção Principais anomalias UEBA, mostrando as três principais anomalias dos últimos 30 dias, além de links diretos para consultas de anomalias predefinidas e a linha do tempo de eventos do Sentinel para uma análise mais aprofundada.
Captura de tela mostrando a aba de visão geral da página de Usuário para um usuário com anomalias UEBA nos últimos 30 dias.
Consultas integradas de anomalias de usuário em investigações de incidentes.
Durante as investigações de incidentes, os analistas podem iniciar consultas embutidas diretamente dos gráficos de incidentes para recuperar todas as anomalias de usuário relacionadas ao caso.
Para obter mais informações, consulte Investigar incidentes no portal do Microsoft Defender.
Enriquecer consultas de Busca Avançada de Ameaças e detecções personalizadas com dados UEBA
Quando os analistas escrevem consultas de detecção personalizadas ou de Busca Avançada de Ameaças usando tabelas relacionadas a UEBA, o portal do Defender exibe uma barra de notificação que solicita que eles ingressem na tabela Anomalias. Isso ajuda a enriquecer investigações com insights comportamentais e fortalece a análise geral.
Para obter mais informações, consulte:
- Procure proativamente ameaças com busca avançada no Microsoft Defender.
- Operador de junção KQL.
- Fontes de dados ueba.
- Anomalias detectadas pelo mecanismo de machine learning do Microsoft Sentinel.
Consultando dados de análise de comportamento
Usando KQL, podemos consultar a tabela BehaviorAnalytics .
Por exemplo, se quisermos localizar todos os casos de um usuário que não conseguiu entrar em um recurso do Azure, considerando que era a primeira tentativa do usuário de se conectar de um determinado país/região e que as conexões desse país/região são incomuns mesmo para pares do usuário, poderemos usar a seguinte consulta:
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
- No Microsoft Sentinel no portal do Azure, você consulta a tabela BehaviorAnalytics no Log Analytics na página Logs .
- No portal do Defender, você consulta essa tabela na busca avançada.
Metadados de pares de usuário ‒ tabela e notebook
Os metadados dos pares do usuário fornecem um contexto importante na detecção de ameaças, na investigação de um incidente e na busca de uma ameaça em potencial. Os analistas de segurança podem observar as atividades normais dos pares de usuários para determinar se as atividades de um usuário são incomuns em comparação com as de seus pares.
O Microsoft Sentinel calcula e classifica os pares de um usuário, com base na associação do grupo de segurança do Microsoft Entra, na lista de endereçamento, etc. e armazena os pares classificados de 1 a 20 na tabela UserPeerAnalytics . A captura de tela abaixo mostra o esquema da tabela UserPeerAnalytics e exibe os oito principais pares classificados do usuário Kendall Collins. O Microsoft Sentinel usa o algoritmo frequência do termo-frequência inversa do documento (TF-IDF) para normalizar a ponderação para calcular a classificação: quanto menor o grupo, maior o peso.
Você pode usar o jupyter notebook fornecido no repositório GitHub do Microsoft Sentinel para visualizar os metadados de pares do usuário. Para obter instruções detalhadas sobre como usar o notebook, consulte o notebook Análise Guiada - Metadados de Segurança do Usuário.
Observação
A tabela UserAccessAnalytics foi preterida.
Consultas de busca e de exploração
O Microsoft Sentinel fornece um conjunto pronto para uso de consultas de busca, consultas de exploração e a pasta de trabalho Usuário e Entity Behavior Analytics, que é baseada na tabela BehaviorAnalytics. Essas ferramentas apresentam dados enriquecidos, com foco em casos de uso específicos, que indicam comportamento anormal.
Para obter mais informações, consulte:
Como as ferramentas de defesa herdadas se tornam obsoletas, as organizações podem ter um espaço digital tão amplo e porosos que se torna difícil de controlar para obter uma visão abrangente do risco e da postura que seu ambiente pode estar enfrentando. Depender muito de esforços reativos, como análises e regras, permite que atores ruins aprendam a escapar desses esforços. É aqui o UEBA entra em ação, fornecendo metodologias de pontuação de risco e algoritmos para descobrir o que realmente está acontecendo.
Próximas etapas
Neste documento, você aprendeu sobre os recursos de análise de comportamento de entidades do Microsoft Azure Sentinel. Para obter diretrizes práticas sobre implementação e usar os insights obtidos, confira os seguintes artigos:
- Habilite a análise de comportamento de entidade no Microsoft Sentinel.
- Confira a lista de anomalias detectadas pelo mecanismo UEBA.
- Investigue incidentes com dados da UEBA.
- Caça às ameaças à segurança.
Para obter mais informações, consulte também a referência UEBA do Microsoft Sentinel.