Partilhar via

Habilitar a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

A Análise de Comportamento de Utilizadores e Entidades (UEBA) no Microsoft Sentinel analisa registos e alertas provenientes de fontes de dados conectadas para construir perfis comportamentais base das entidades da sua organização — como utilizadores, hosts, endereços IP e aplicações. Utilizando aprendizagem automática, a UEBA identifica atividades anómalas que podem indicar um ativo comprometido.

Pode ativar a Análise de Comportamento do Utilizador e da Entidade de duas formas, ambas com o mesmo resultado:

  • Nas definições do espaço de trabalho Microsoft Sentinel: Ative o UEBA para o seu espaço de trabalho e selecione quais as fontes de dados a ligar no portal Microsoft Defender ou no portal Azure.
  • Dos conectores de dados suportados: Ative o UEBA ao configurar os conectores de dados suportados pelo UEBA no portal Microsoft Defender.

Este artigo explica como ativar o UEBA e configurar as fontes de dados a partir das definições do seu espaço de trabalho Microsoft Sentinel e dos conectores de dados suportados.

Para mais informações sobre a UEBA, consulte Identificar ameaças com análise de comportamento de entidades.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Pré-requisitos

Para ativar ou desativar esta funcionalidade (estes pré-requisitos não são necessários para utilizar a funcionalidade):

  • Seu usuário deve ser atribuído à função de Administrador de Segurança do Microsoft Entra ID em seu locatário ou às permissões equivalentes.

  • Seu usuário deve receber pelo menos uma das seguintes funções do Azure (Saiba mais sobre o Azure RBAC):

    • Microsoft Sentinel Contributor ao nível do espaço de trabalho ou grupo de recursos.
    • Colaborador do Log Analytics no grupo de recursos ou no nível de assinatura.

  • Seu espaço de trabalho não deve ter nenhum bloqueio de recursos do Azure aplicado a ele. Saiba mais sobre o bloqueio de recursos do Azure.

Nota

  • Nenhuma licença especial é necessária para adicionar a funcionalidade UEBA ao Microsoft Sentinel e não há custo extra para usá-la.
  • No entanto, como a UEBA gera novos dados e os armazena em novas tabelas que a UEBA cria em seu espaço de trabalho do Log Analytics, taxas adicionais de armazenamento de dados são aplicadas.

Ativar UEBA a partir das definições do espaço de trabalho

Para ativar o UEBA a partir das definições do seu espaço de trabalho Microsoft Sentinel:

  1. Vá para a página Configuração do comportamento da entidade .

    Use qualquer uma destas três maneiras de chegar à página Configuração de comportamento da entidade :

    • Selecione Comportamento da entidade no menu de navegação do Microsoft Sentinel e, em seguida, selecione Configurações de comportamento da entidade na barra de menu superior.

    • Selecione Configurações no menu de navegação do Microsoft Sentinel, selecione a guia Configurações e, em seguida, no expansor Análise de comportamento de entidade, selecione Definir UEBA.

    • Na página do conector de dados do Microsoft Defender XDR, selecione o link Ir para a página de configuração da UEBA .

  2. Na página Configuração do comportamento da entidade , ative Ativar recurso UEBA.

    Captura de ecrã das definições de configuração da UEBA.

  3. Selecione os serviços de diretório a partir dos quais você deseja sincronizar entidades de usuário com o Microsoft Sentinel.

    • Active Directory no local (Pré-visualização)
    • Microsoft Entra ID

    Para sincronizar entidades de usuário do Ative Directory local, você deve integrar seu locatário do Azure ao Microsoft Defender for Identity (autônomo ou como parte do Microsoft Defender XDR) e deve ter o sensor MDI instalado no controlador de domínio do Ative Directory. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender for Identity.

  4. Selecione Conectar todas as fontes de dados para conectar todas as fontes de dados qualificadas ou selecione fontes de dados específicas na lista.

    Você só pode habilitar essas fontes de dados dos portais do Defender e do Azure:

    • Logs de login
    • Registos de Auditoria
    • Atividade do Azure
    • Eventos de Segurança

    Você pode habilitar essas fontes de dados somente no portal do Defender (visualização):

    • Logs de entrada do AAD Managed Identity (ID do Microsoft Entra)
    • Logs de entrada da entidade de serviço do AAD (ID do Microsoft Entra)
    • AWS CloudTrail
    • Eventos de logon do dispositivo
    • Okta CL
    • Logs de auditoria do GCP

    Para obter mais informações sobre fontes de dados e anomalias da UEBA, consulte Referência do Microsoft Sentinel UEBA e anomalias da UEBA.

    Nota

    Depois de habilitar o UEBA, você pode habilitar as fontes de dados suportadas para o UEBA diretamente do painel do conector de dados ou da página Configurações do portal do Defender, conforme descrito neste artigo.

  5. Selecione Conectar.

  6. Ative a deteção de anomalias no seu espaço de trabalho Microsoft Sentinel:

    1. No menu de navegação do portal Microsoft Defender, selecione Configurações>dos espaços de trabalho do Microsoft> SIEM.
    2. Selecione o espaço de trabalho que deseja configurar.
    3. Na página de configuração do espaço de trabalho, selecione Anomalias e ative Detetar anomalias.

Ativar UEBA a partir de conectores suportados

Para ativar o UEBA a partir de conectores de dados suportados no portal Microsoft Defender:

  1. No menu de navegação do portal Microsoft Defender, selecione Microsoft Sentinel> Configuração > Conectores de Dados.

  2. Selecione um conector de dados suportado pela UEBA que suporte UEBA. Para mais informações sobre conectores e tabelas de dados suportados pela UEBA, consulte a referência Microsoft Sentinel UEBA.

  3. No painel do conector de dados, selecione Abrir página do conector.

  4. Na página de detalhes do Conector , selecione Opções Avançadas.

  5. Em Configurar UEBA, ative as tabelas que desejar para UEBA.

    Captura de ecrã da configuração UEBA no conector de dados.

Para mais informações sobre a configuração dos conectores de dados Microsoft Sentinel, veja Ligar fontes de dados ao Microsoft Sentinel usando conectores de dados.

Próximos passos

Neste artigo, você aprendeu como habilitar e configurar o User and Entity Behavior Analytics (UEBA) no Microsoft Sentinel. Para mais informações sobre a UEBA:

Identificar ameaças com a UEBA

  • Last updated on