Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A camada de comportamento da Análise de Comportamento do Utilizador e da Entidade (UEBA) no Microsoft Sentinel agrega e resume registos brutos de alto volume em padrões de ações de segurança em linguagem clara e simples, explicando "quem fez o quê a quem" de forma estruturada.
Ao contrário dos alertas ou anomalias, os comportamentos não indicam necessariamente risco – criam uma camada de abstração que otimiza os seus dados para investigações, caça e deteção, melhorando:
- Eficiência: Reduza o tempo de investigação ao unir eventos relacionados em histórias coesas.
- Clareza: Traduza registos ruidosos e de baixo nível em resumos em linguagem simples.
- Contexto: Adicione o mapeamento MITRE ATT&CK e as funções de entidades para relevância imediata em segurança.
- Consistência: Forneça um esquema unificado entre diversas fontes de log.
Esta camada de abstração permite uma deteção, investigação e resposta de ameaças mais rápidas em todas as suas operações de segurança, sem exigir um conhecimento profundo de cada fonte de log.
Este artigo explica como funciona a camada de comportamentos da UEBA, como ativar a camada de comportamentos e como usar comportamentos para melhorar as operações de segurança.
Como funciona a camada de comportamentos da UEBA
Os comportamentos fazem parte das capacidades de Análise do Comportamento do Utilizador e da Entidade (UEBA ) do Microsoft Sentinel, fornecendo resumos de atividades normalizados e contextualizados que complementam a deteção de anomalias e enriquecem as investigações. Esta tabela mostra como os comportamentos diferem de anomalias e alertas:
| Capacidade | O que representa | Purpose |
|---|---|---|
| Anomalies | Padrões que se desviam das linhas de base estabelecidas | Destacar atividades invulgares ou suspeitas |
| Alertas | Sinalizar um potencial problema de segurança que requer atenção | Ativar fluxos de trabalho de resposta a incidentes |
| Comportamentos | Resumos neutros e estruturados da atividade - normal ou anormal - baseados em janelas temporais ou gatilhos, enriquecidos com mapeamentos MITRE ATT&CK e papéis de entidades | Fornecer contexto e clareza para investigações, caça e deteção |
Quando ativa a camada de comportamentos UEBA, o Microsoft Sentinel processa registos de segurança que recolhe no seu espaço de trabalho Sentinel quase em tempo real e resume dois tipos de padrões comportamentais:
| Tipo de comportamento | Descrição | Examples | Caso de uso |
|---|---|---|---|
| Comportamentos agregados | Detetar padrões baseados em volume recolhendo eventos relacionados ao longo de janelas temporais |
|
Converta logs de alto volume em insights de segurança acionáveis. Este tipo de comportamento destaca-se na identificação de níveis de atividade invulgares. |
| Comportamentos sequenciados | Identifica padrões de múltiplos passos ou cadeias de ataque complexas que não sejam óbvias quando olhas para eventos individuais | Chave de acesso criada > utilizada a partir de novo IP > para chamadas API privilegiadas | Detetar sequências sofisticadas de ataque e ameaças em múltiplas fases. |
A camada de comportamentos UEBA resume os comportamentos em intervalos de tempo adaptados e específicos à lógica de cada comportamento, criando registos de comportamento imediatamente quando identifica padrões ou quando as janelas de tempo se fecham.
Cada registo comportamental inclui:
- Uma descrição simples e contextual: Uma explicação em linguagem natural do que aconteceu em termos relevantes para a segurança – por exemplo, quem fez o quê a quem, e porque é que isso importa.
- Esquema unificado e referências aos logs brutos subjacentes: Todos os comportamentos utilizam uma estrutura de dados consistente entre diferentes produtos e tipos de log, pelo que os analistas não precisam de traduzir diferentes formatos de log ou juntar tabelas de alto volume.
- Mapeamento MITRE ATT&CK: Cada comportamento é marcado com táticas e técnicas relevantes do MITRE, fornecendo contexto padrão da indústria num piscar de olhos. Não vês apenas o que aconteceu, mas também como se encaixa numa estrutura ou linha temporal de ataque.
- Mapeamento de relações entre entidades: Cada comportamento identifica entidades envolvidas (utilizadores, hosts, endereços IP) e os seus papéis (ator, destino ou outro).
A camada de comportamentos UEBA armazena registos de comportamento em duas tabelas dedicadas, integrando-se perfeitamente com os fluxos de trabalho existentes para regras de deteção, investigações e análise de incidentes. Processa todos os tipos de atividade de segurança – não apenas eventos suspeitos – e oferece uma visibilidade abrangente tanto sobre padrões de comportamento normais como anómalos. Para informações sobre o uso de tabelas de comportamentos, consulte Melhores práticas e dicas de resolução de problemas para consultar comportamentos.
Este diagrama ilustra como a camada de comportamentos da UEBA transforma registos brutos em registos de comportamento estruturados que melhoram as operações de segurança:
Importante
A IA generativa alimenta a camada UEBA Behaviors para criar e escalar os insights que fornece. A Microsoft desenvolveu a funcionalidade Comportamentos baseada em princípios de privacidade e IA responsável para garantir transparência e explicabilidade. Os comportamentos não introduzem novos riscos de conformidade nem análises opacas de "caixa negra" no seu SOC. Para detalhes sobre como a IA é aplicada nesta funcionalidade e a abordagem da Microsoft à IA responsável, consulte as FAQ sobre IA responsável para a camada de comportamentos Microsoft UEBA.
Casos de utilização e exemplos
Veja como analistas, caçadores e engenheiros de deteção podem usar comportamentos durante investigações, caça e criação de alertas.
Investigação e enriquecimento de incidentes
Os comportamentos dão aos analistas SOC clareza imediata sobre o que aconteceu em torno de um alerta, sem terem de navegar por múltiplas tabelas de registos brutos.
Fluxo de trabalho sem comportamentos: Os analistas muitas vezes precisam de reconstruir as linhas temporais manualmente, consultando tabelas específicas de eventos e juntando resultados.
Exemplo: Um alerta é gerado sobre uma atividade suspeita da AWS. O analista consulta a
AWSCloudTrailtabela e depois pivota para os dados do firewall para perceber o que o utilizador ou anfitrião fez. Isto requer conhecimento de cada esquema e atrasa a triagem.Fluxo de trabalho com comportamentos: A camada de comportamentos da UEBA agrega automaticamente eventos relacionados em entradas de comportamento que podem ser associadas a um incidente ou consultadas a pedido.
Exemplo: Um alerta indica possível exfiltração de credenciais. Na
BehaviorInfotabela, o analista vê o comportamento Acesso secreto em massa suspeito via AWS IAM pelo User123 mapeado para a Técnica MITRE T1552 (Credenciais Não Seguras). A camada de comportamentos da UEBA gerou este comportamento agregando 20 entradas de registo AWS. O analista percebe imediatamente que o User123 acedeu a muitos segredos – contexto crucial para escalar o incidente – sem rever manualmente todos os 20 registos.
Investigação de ameaças
Os comportamentos permitem aos caçadores pesquisar em TTPs e resumos de atividades, em vez de escreverem junções complexas ou normalizarem registos brutos por si só.
Fluxo de trabalho sem comportamentos: As caças exigem consultas KQL complexas, junções de tabelas e familiaridade com todos os formatos das fontes de dados. A atividade importante pode estar enterrada em grandes conjuntos de dados com pouco contexto de segurança incorporado.
Exemplo: Procurar sinais de reconhecimento pode exigir varredura
AWSCloudTrailseparadamente de eventos e certos padrões de ligação ao firewall. O contexto existe sobretudo em incidentes e alertas, tornando a caça proativa mais difícil.Fluxo de trabalho com comportamentos: Os comportamentos são normalizados, enriquecidos e mapeados para as táticas e técnicas MITRE. Os caçadores podem procurar padrões significativos sem depender do esquema de cada fonte.
Um caçador pode filtrar a tabela BehaviorInfo por tática (
Categories), técnica, título ou entidade. Por exemplo:BehaviorInfo | where Categories has "Discovery" | summarize count() by TitleOs caçadores também podem:
- Identifique comportamentos raros, utilizando
count distinctno campoTitle. - Explore um tipo de comportamento interessante, identifique as entidades envolvidas e investigue mais a fundo.
- Aprofunde até aos registos brutos usando as colunas
BehaviorIdeAdditionalFields, que frequentemente fazem referência aos registos brutos subjacentes.
Exemplo: Um caçador à procura de consultas furtivas de acesso a credenciais para comportamentos com "enumerar credenciais" na
Titlecoluna. Os resultados devolvem alguns casos de "Tentativa de extração de credenciais do Vault pelo utilizador AdminJoe" (derivados deCyberArkregistos). Embora os alertas não tenham sido disparados, este comportamento é incomum no AdminJoe e leva a uma investigação mais aprofundada – algo difícil de detetar em longos registos de auditoria do Vault.Os caçadores também podem caçar através de:
Tática de MITRE:
// Find behaviors by MITRE tactic BehaviorInfo | where Categories == "Lateral Movement"Técnica:
// Find behaviors by MITRE technique BehaviorInfo | where AttackTechniques has "T1078" // Valid Accounts | extend AF = parse_json(AdditionalFields) | extend TableName = tostring(AF.TableName) | project TimeGenerated, Title, Description, TableNameUtilizador específico:
// Find all behaviors for a specific user over last 7 days BehaviorInfo | join kind=inner BehaviorEntities on BehaviorId | where TimeGenerated >= ago(7d) | where EntityType == "User" and AccountUpn == "user@domain.com" | project TimeGenerated, Title, Description, Categories | order by TimeGenerated descComportamentos raros (potenciais anomalias):
// Find rare behaviors (potential anomalies) BehaviorInfo | where TimeGenerated >= ago(30d) | summarize Count=count() by Title | where Count < 5 // Behaviors seen less than 5 times | order by Count asc
- Identifique comportamentos raros, utilizando
Alertas e automação
Os comportamentos simplificam a lógica de regras ao fornecer sinais normalizados e de alta qualidade com contexto incorporado, permitindo novas possibilidades de correlação.
Fluxo de trabalho sem comportamentos: As regras de correlação entre fontes são complexas porque cada formato de log é diferente. As regras frequentemente exigem:
- Lógica de normalização
- Condições específicas do esquema
- Múltiplas regras separadas
- Dependência de alertas em vez de atividade bruta
A automação também pode ser ativada com demasiada frequência se for motivada por eventos de baixo nível.
Fluxo de trabalho com comportamentos: Os comportamentos já agregam eventos relacionados e incluem mapeamentos MITRE, papéis de entidades e esquemas consistentes, para que os engenheiros de deteção possam criar regras de deteção mais simples e claras.
Exemplo: Para alertar sobre uma possível sequência de compromisso de chave e escalada de privilégios, um engenheiro de deteção escreve uma regra de deteção usando esta lógica: "Alerte se um utilizador tiver um comportamento de 'Criação de nova chave de acesso AWS' seguido de um comportamento de 'Elevação de privilégios na AWS' dentro de 1 hora."
Sem a camada de comportamentos da UEBA, esta regra exigiria juntar eventos brutos
AWSCloudTraile interpretá-los na lógica da regra. Com os comportamentos, é simples e resiliente registar as alterações do esquema porque o esquema está unificado.Os comportamentos também servem como gatilhos fiáveis para a automação. Em vez de criar alertas para atividades não arriscadas, use comportamentos para ativar automação – por exemplo, para enviar um email ou iniciar verificação.
Fontes de dados suportadas
A lista de fontes de dados suportadas e fornecedores ou serviços que enviam registos para estas fontes de dados está a evoluir. A camada de comportamentos da UEBA agrega automaticamente insights para todos os fornecedores suportados com base nos registos que recolhe.
Durante a pré-visualização pública, a camada de comportamentos da UEBA foca-se nestas fontes de dados não Microsoft que tradicionalmente carecem de contexto comportamental fácil no Microsoft Sentinel:
| Fonte de dados | Fornecedores, serviços e registos suportados | Connector |
|---|---|---|
| CommonSecurityLog |
|
|
| AWSCloudTrail |
|
|
| GCPAuditLogs |
|
Logs de Auditoria Pub/Sub do GCP |
Importante
Estas fontes são separadas de outras capacidades da UEBA e precisam de ser ativadas especificamente. Se ativaste o AWSCloudTrail para a análise de comportamento e anomalias do UEBA, ainda precisas de o ativar para comportamentos.
Pré-requisitos
Para usar a camada de comportamentos UEBA, precisa de:
- Um espaço de trabalho Microsoft Sentinel integrado no portal Defender.
- Ingerir uma ou mais das fontes de dados suportadas para o nível de Análise. Para mais informações sobre camadas de dados, consulte Gerir níveis de dados e retenção no Microsoft Sentinel.
Permissões necessárias
Para ativar e usar a camada de comportamentos UEBA, precisa destas permissões:
| Ação do utilizador | Permissão necessária |
|---|---|
| Permitir comportamentos | Pelo menos o papel de Administrador de Segurança no Microsoft Entra ID. |
| Tabelas de comportamentos de consulta |
|
Para obter mais informações sobre RBAC unificado no portal do Defender, consulte Microsoft Defender XDR Unified role-based access control (RBAC).
Ativar a camada de comportamentos da UEBA
Para ativar a camada de comportamentos UEBA no seu espaço de trabalho:
No portal Defender, selecione Definições > de Sistema > para os espaços de trabalho Microsoft Sentinel > SIEM.
Seleciona o espaço de trabalho Sentinel onde queres ativar a camada de comportamentos da UEBA.
Selecione Ativar análise de comportamentos >. Configurar UEBA > Novo! Camada de comportamentos.
Ativar a camada Ativar Comportamentos.
Selecione Ligar todas as fontes de dados ou selecione as fontes de dados específicas da lista.
Se ainda não ligou nenhuma fonte de dados suportada ao seu espaço de trabalho Sentinel, selecione Ir ao Content Hub para encontrar e ligar os conectores relevantes.
Selecione Conectar.
Importante
Durante a versão de pré-visualização pública, só pode ativar comportamentos num único espaço de trabalho no seu tenant.
Modelo de preços
A utilização da camada de comportamentos UEBA resulta nos seguintes custos:
Sem custo extra de licença: Os comportamentos estão incluídos como parte do Microsoft Sentinel (atualmente em pré-visualização). Não precisas de um SKU separado, um complemento UEBA ou licenças adicionais. Se o seu espaço de trabalho estiver ligado ao Sentinel e integrado no portal Defender, pode usar comportamentos sem custo adicional de funcionalidades.
Custos de ingestão de dados de registo: Os registos de comportamento são armazenados nas tabelas
SentinelBehaviorInfoeSentinelBehaviorEntitiesdo seu espaço de trabalho Sentinel. Cada comportamento contribui para o volume de ingestão de dados do seu espaço de trabalho e é faturado à sua taxa de ingestão atual do Log Analytics/Sentinel. Os comportamentos são aditivos – não substituem os teus registos brutos existentes.
Boas práticas e dicas de resolução de problemas para comportamentos de consulta
Esta secção apresenta boas práticas e dicas de resolução de problemas para consultar comportamentos no portal Defender e no seu espaço de trabalho Sentinel. Para exemplos mais práticos de utilização de comportamentos, veja Casos de Uso e exemplos.
Para mais informações sobre a Linguagem de Consulta Kusto (KQL), consulte Visão Geral da Linguagem de Consulta Kusto.
Aceda aos dados de comportamento no portal Defender consultando BehaviorInfo e BehaviorEntities
A
BehaviorInfotabela contém um registo para cada instância de comportamento para explicar "o que aconteceu". Para mais informações sobre os esquemas de tabelas, consulte BehaviorInfo (Pré-visualização).A
BehaviorEntitiestabela lista as entidades envolvidas em cada comportamento. Para mais informações sobre o esquema da tabela, BehaviorEntities (Pré-visualização).Vista unificada: As
BehaviorInfotabelas eBehaviorEntitiesincluem todos os comportamentos da UEBA e podem também incluir comportamentos do Microsoft Defender for Cloud Apps e Microsoft Defender for Cloud, caso esteja a recolher comportamentos destes serviços.Para filtrar os comportamentos da camada UEBA do Microsoft Sentinel, use a coluna
ServiceSource. Por exemplo:BehaviorInfo | where ServiceSource == "Microsoft Sentinel"
Aprofundar nos comportamentos até aos registos brutos: Use a coluna em
AdditionalFields, que contém referências aos IDs originais dos eventos no campoBehaviorInfo.
Executa uma consulta ao valor do campo
SupportingEvidencepara encontrar os logs brutos que contribuíram para um comportamento.
Junte-se a BehaviorInfo e BehaviorEntities: Use o
BehaviorIdcampo para juntarBehaviorInfocomBehaviorEntities.Por exemplo:
BehaviorInfo | join kind=inner BehaviorEntities on BehaviorId | where TimeGenerated >= ago(1d) | project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpnIsto fornece-lhe cada comportamento e cada entidade envolvida nele. A informação de identificação da entidade está em
AccountUpn, enquantoBehaviorEntitiespode referir-se a "Utilizador" ou "Anfitrião" no texto.Onde estão armazenados os dados de comportamento no meu espaço de trabalho Sentinel?:
- No seu espaço de trabalho Sentinel, os dados de comportamento são armazenados nas
SentinelBehaviorInfoe nasSentinelBehaviorEntitiestabelas. Para mais informações sobre os esquemas de tabela, consulte SentinelBehaviorInfo e SentinelBehaviorEntities. - Para monitorizar o uso de dados, procure os nomes das tabelas
SentinelBehaviorInfoeSentinelBehaviorEntitiesna tabelaUsage.
- No seu espaço de trabalho Sentinel, os dados de comportamento são armazenados nas
Crie automação, cadernos de exercícios e regras de deteção baseadas em comportamentos:
- Use a tabela
BehaviorInfocomo uma fonte de dados para regras de deteção ou playbooks de automação no portal do Defender. Por exemplo, crie uma regra de consulta agendada que seja ativada quando aparece um comportamento específico. - Para Azure Monitor workbooks e quaisquer artefatos construídos diretamente no seu espaço de trabalho Sentinel, certifique-se de consultar as
SentinelBehaviorInfotabelas eSentinelBehaviorEntitiesno seu espaço de trabalho Sentinel.
- Use a tabela
Solução de problemas
- Se os comportamentos não estiverem a ser gerados: Certifique-se de que as fontes de dados suportadas estão a enviar registos ativamente para o nível de Analytics, confirme que a opção de alternar a fonte de dados está ativada e espere entre 15 a 30 minutos após a ativação.
- Vejo menos comportamentos do que o esperado: A nossa cobertura dos tipos de comportamento apoiados é parcial e está a crescer. A camada de comportamentos UEBA também pode não conseguir detetar um padrão de comportamento se houver muito poucas instâncias de um tipo de comportamento específico.
- Contagem de comportamentos: Um único comportamento pode representar dezenas ou centenas de eventos brutos – isto destina-se a reduzir o ruído.
Limitações na pré-visualização pública
Estas limitações aplicam-se durante a pré-visualização pública da camada de comportamentos da UEBA:
- Podes ativar comportamentos num único espaço de trabalho Sentinel por inquilino.
- A camada de comportamentos UEBA gera comportamentos para um conjunto limitado de fontes de dados suportadas, fornecedores ou serviços.
- A camada de comportamentos UEBA não capta atualmente todas as possíveis ações ou técnicas de ataque, mesmo para fontes suportadas. Alguns eventos podem não produzir comportamentos correspondentes. Não presuma que a ausência de um comportamento significa que não houve atividade. Revise sempre os registos brutos se suspeitar que algo possa estar em falta.
- Os comportamentos visam reduzir o ruído agregando e sequenciando eventos, mas ainda assim podes ver demasiados registos comportamentais. Agradecemos o seu feedback sobre tipos específicos de comportamento para ajudar a melhorar a cobertura e a relevância.
- Os comportamentos não são alertas nem anomalias. São observações neutras, não classificadas como maliciosas ou benignas. A presença de um comportamento significa "isto aconteceu", não "isto é uma ameaça." A deteção de anomalias mantém-se separada na UEBA. Use o julgamento ou combine comportamentos com dados de anomalias da UEBA para identificar padrões notáveis.