Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Na etapa de implantação anterior, você habilitou o conteúdo de segurança do Microsoft Sentinel necessário para proteger seus sistemas. Neste artigo, você aprenderá como habilitar e usar o recurso UEBA para simplificar o processo de análise. Este artigo faz parte do guia de implantação do Microsoft Sentinel.
À medida que o Microsoft Sentinel coleta logs e alertas de todas as suas fontes de dados conectadas, ele os analisa e cria perfis comportamentais de linha de base das entidades da sua organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte do grupo de pares. Usando várias técnicas e recursos de aprendizado de máquina, o Microsoft Sentinel pode identificar atividades anômalas e ajudá-lo a determinar se um ativo está comprometido. Saiba mais sobre a UEBA.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Pré-requisitos
Para ativar ou desativar esta funcionalidade (estes pré-requisitos não são necessários para utilizar a funcionalidade):
Seu usuário deve ser atribuído à função de Administrador de Segurança do Microsoft Entra ID em seu locatário ou às permissões equivalentes.
Seu usuário deve receber pelo menos uma das seguintes funções do Azure (Saiba mais sobre o Azure RBAC):
- Microsoft Sentinel Contributor ao nível do espaço de trabalho ou grupo de recursos.
- Colaborador do Log Analytics no grupo de recursos ou no nível de assinatura.
Seu espaço de trabalho não deve ter nenhum bloqueio de recursos do Azure aplicado a ele. Saiba mais sobre o bloqueio de recursos do Azure.
Nota
- Nenhuma licença especial é necessária para adicionar a funcionalidade UEBA ao Microsoft Sentinel e não há custo extra para usá-la.
- No entanto, como a UEBA gera novos dados e os armazena em novas tabelas que a UEBA cria em seu espaço de trabalho do Log Analytics, taxas adicionais de armazenamento de dados são aplicadas.
Como habilitar a Análise de Comportamento de Usuário e Entidade
- Utilizadores do Microsoft Sentinel no portal do Azure devem seguir as instruções na guia Portal do Azure.
- Os utilizadores do Microsoft Sentinel como parte do portal do Microsoft Defender, sigam as instruções no separador Defender portal.
Vá para a página Configuração do comportamento da entidade .
Use qualquer uma destas três maneiras de chegar à página Configuração de comportamento da entidade :
Selecione Comportamento da entidade no menu de navegação do Microsoft Sentinel e, em seguida, selecione Configurações de comportamento da entidade na barra de menu superior.
Selecione Configurações no menu de navegação do Microsoft Sentinel, selecione a guia Configurações e, em seguida, no expansor Análise de comportamento de entidade, selecione Definir UEBA.
Na página do conector de dados do Microsoft Defender XDR, selecione o link Ir para a página de configuração da UEBA .
Na página Configuração do comportamento da entidade , ative Ativar recurso UEBA.
Selecione os serviços de diretório a partir dos quais você deseja sincronizar entidades de usuário com o Microsoft Sentinel.
- Active Directory no local (Pré-visualização)
- Microsoft Entra ID
Para sincronizar entidades de usuário do Ative Directory local, você deve integrar seu locatário do Azure ao Microsoft Defender for Identity (autônomo ou como parte do Microsoft Defender XDR) e deve ter o sensor MDI instalado no controlador de domínio do Ative Directory. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender for Identity.
Selecione Conectar todas as fontes de dados para conectar todas as fontes de dados qualificadas ou selecione fontes de dados específicas na lista.
Você só pode habilitar essas fontes de dados dos portais do Defender e do Azure:
- Logs de login
- Registos de Auditoria
- Atividade do Azure
- Eventos de Segurança
Você pode habilitar essas fontes de dados somente no portal do Defender (visualização):
- Logs de entrada do AAD Managed Identity (ID do Microsoft Entra)
- Logs de entrada da entidade de serviço do AAD (ID do Microsoft Entra)
- AWS CloudTrail
- Eventos de logon do dispositivo
- Okta CL
- Logs de auditoria do GCP
Para obter mais informações sobre fontes de dados e anomalias da UEBA, consulte Referência do Microsoft Sentinel UEBA e anomalias da UEBA.
Nota
Depois de habilitar o UEBA, você pode habilitar as fontes de dados suportadas para o UEBA diretamente do painel do conector de dados ou da página Configurações do portal do Defender, conforme descrito neste artigo.
Selecione Conectar.
Habilite a deteção de anomalias em seu espaço de trabalho do Sentinel:
- No menu de navegação do portal Microsoft Defender, selecione Configurações>dos espaços de trabalho do Microsoft> SIEM.
- Selecione o espaço de trabalho que deseja configurar.
- Na página de configuração do espaço de trabalho, selecione Anomalias e ative Detetar anomalias.
Próximos passos
Neste artigo, você aprendeu como habilitar e configurar o User and Entity Behavior Analytics (UEBA) no Microsoft Sentinel. Para mais informações sobre a UEBA: