Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Detetar comportamentos anômalos dentro da sua organização é complexo e lento. O Microsoft Sentinel User and Entity Behavior Analytics (UEBA) simplifica a deteção e investigação de anomalias usando modelos de aprendizado de máquina para criar linhas de base dinâmicas e comparações de pares para seu locatário. Em vez de apenas coletar logs, a UEBA aprende com seus dados para revelar inteligência acionável que ajuda os analistas a detetar e investigar anomalias.
Este artigo explica como o Microsoft Sentinel UEBA funciona e como usar o UEBA para revelar e investigar anomalias e aprimorar seus recursos de deteção de ameaças.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Todos os benefícios da UEBA estão disponíveis no portal Microsoft Defender.
O que é a UEBA?
Como o Microsoft Sentinel coleta logs e alertas de todas as suas fontes de dados conectadas, a UEBA usa inteligência artificial (IA) para criar perfis comportamentais básicos das entidades da sua organização - como usuários, hosts, endereços IP e aplicativos - ao longo do tempo e entre grupos de pares. Em seguida, a UEBA identifica atividades anômalas e ajuda a determinar se um ativo está comprometido.
A UEBA também determina a sensibilidade relativa de ativos específicos, identifica grupos pares de ativos e avalia o impacto potencial de qualquer ativo comprometido - seu "raio de explosão". Essas informações permitem que você priorize sua investigação, caça e tratamento de incidentes de forma eficaz.
Arquitetura analítica da UEBA
Análise orientada para a segurança
Inspirado pelo paradigma do Gartner para soluções UEBA, o Microsoft Sentinel oferece uma abordagem "de fora para dentro", baseada em três quadros de referência:
Casos de uso: Priorizando vetores e cenários de ataque relevantes com base em pesquisas de segurança alinhadas com a estrutura MITRE ATT&CK de táticas, técnicas e subtécnicas que coloca várias entidades como vítimas, perpetradores ou pontos de pivô na cadeia de matança; O Microsoft Sentinel se concentra especificamente nos logs mais valiosos que cada fonte de dados pode fornecer.
Fontes de dados: Embora ofereça suporte principalmente a fontes de dados do Azure, o Microsoft Sentinel seleciona cuidadosamente fontes de dados de terceiros para fornecer dados que correspondam aos nossos cenários de ameaça.
Análises: Usando vários algoritmos de aprendizado de máquina (ML), o Microsoft Sentinel identifica atividades anômalas e apresenta evidências de forma clara e concisa na forma de enriquecimentos contextuais, alguns exemplos dos quais aparecem abaixo.
O Microsoft Sentinel apresenta artefatos que ajudam seus analistas de segurança a obter uma compreensão clara das atividades anômalas no contexto e em comparação com o perfil de linha de base do usuário. As ações executadas por um usuário (ou um host, ou um endereço) são avaliadas contextualmente, onde um resultado "verdadeiro" indica uma anomalia identificada:
- em localizações geográficas, dispositivos e ambientes.
- através de horizontes temporais e de frequência (em comparação com o histórico do próprio utilizador).
- em comparação com o comportamento dos pares.
- em comparação com o comportamento da organização.
As informações da entidade do usuário que o Microsoft Sentinel usa para criar seus perfis de usuário vêm da sua ID do Microsoft Entra (e/ou do Ative Directory local, agora em Visualização). Quando você habilita o UEBA, ele sincroniza sua ID do Microsoft Entra com o Microsoft Sentinel, armazenando as informações em um banco de dados interno visível através da tabela IdentityInfo .
- No Microsoft Sentinel no portal do Azure, você consulta a tabela IdentityInfo no Log Analytics na página Logs .
- No portal do Defender, você consulta esta tabela em Caça avançada.
Agora, na visualização, você também pode sincronizar suas informações de entidade de usuário do Ative Directory local, usando o Microsoft Defender for Identity.
Consulte Habilitar a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel para saber como habilitar o UEBA e sincronizar identidades de usuário.
Classificação
Cada atividade é pontuada com "Pontuação de Prioridade de Investigação" – que determina a probabilidade de um usuário específico realizar uma atividade específica, com base na aprendizagem comportamental do usuário e de seus pares. As atividades identificadas como as mais anormais recebem as pontuações mais elevadas (numa escala de 0 a 10).
Veja como a análise de comportamento é usada no Microsoft Defender for Cloud Apps para obter um exemplo de como isso funciona.
Saiba mais sobre entidades no Microsoft Sentinel e consulte a lista completa de entidades e identificadores suportados.
Páginas de entidades
Informações sobre páginas de entidade agora podem ser encontradas em Páginas de entidade no Microsoft Sentinel.
As experiências UEBA no portal Defender capacitam os analistas e otimizam fluxos de trabalho
Ao revelar anomalias em gráficos de investigação e páginas de utilizador, e ao incentivar os analistas a incorporar dados de anomalias nas consultas de caça, a UEBA facilita uma deteção de ameaças mais rápida, uma priorização mais inteligente e uma resposta a incidentes mais eficiente.
Esta secção descreve as principais experiências dos analistas UEBA disponíveis no portal Defender quando ativa o UEBA.
Insights da UEBA em investigações de utilizadores
Os analistas podem avaliar rapidamente o risco do utilizador usando o contexto UEBA exibido nos painéis laterais e no separador Visão Geral em todas as páginas de utilizador. Quando é detetado um comportamento invulgar, o portal identifica automaticamente os utilizadores com anomalias UEBA , ajudando a priorizar investigações com base na atividade recente. Para mais informações, consulte a página da entidade de utilizador no Microsoft Defender.
Cada página de utilizador inclui uma secção de Principais anomalias da UEBA , mostrando as três principais anomalias dos últimos 30 dias, juntamente com ligações diretas para consultas de anomalias pré-construídas e a linha temporal dos eventos Sentinel para análises mais profundas.
Consultas de anomalias de utilizador incorporadas em investigações de incidentes
Durante as investigações de incidentes, os analistas podem lançar consultas integradas diretamente a partir dos grafos de incidente para recuperar todas as anomalias do utilizador relacionadas com o caso.
Para mais informações, consulte Investigar incidentes no portal Microsoft Defender.
Enriquecer consultas avançadas de caça e deteções personalizadas com dados UEBA
Quando os analistas escrevem consultas de Caça Avançada ou deteção personalizadas usando tabelas relacionadas com UEBA, o portal Defender exibe um banner que os convida a juntarem-se à tabela de Anomalias . Isto ajuda a enriquecer as investigações com insights comportamentais e fortalece a análise global.
Para obter mais informações, consulte:
- Caçar proativamente ameaças com caça avançada no Microsoft Defender.
- Operador de junção KQL.
- Fontes de dados da UEBA.
- Anomalias detetadas pelo motor de aprendizagem automática Microsoft Sentinel.
Consultando dados de análise de comportamento
Usando o KQL, podemos consultar a tabela BehaviorAnalytics .
Por exemplo, se quisermos encontrar todos os casos de um usuário que não conseguiu entrar em um recurso do Azure, onde foi a primeira tentativa do usuário de se conectar de um determinado país/região, e as conexões desse país/região são incomuns mesmo para os pares do usuário, podemos usar a seguinte consulta:
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
- No Microsoft Sentinel no portal do Azure, você consulta a tabela BehaviorAnalytics no Log Analytics na página Logs .
- No portal do Defender, você consulta esta tabela em Caça avançada.
Metadados de pares de usuários - tabela e bloco de anotações
Os metadados dos pares de utilizadores fornecem um contexto importante na deteção de ameaças, na investigação de um incidente e na procura de uma ameaça potencial. Os analistas de segurança podem observar as atividades normais dos colegas dos usuários para determinar se as atividades de um usuário são incomuns em comparação com as de seus pares.
O Microsoft Sentinel calcula e classifica os pares de um usuário, com base na associação do grupo de segurança Microsoft Entra do usuário, na lista de endereçamento, etc., e armazena os pares classificados de 1 a 20 na tabela UserPeerAnalytics . A captura de tela abaixo mostra o esquema da tabela UserPeerAnalytics e exibe os oito melhores pares classificados do usuário Kendall Collins. O Microsoft Sentinel usa o termo freqüência-inversa do algoritmo de frequência de documento (TF-IDF) para normalizar a pesagem para calcular a classificação: quanto menor o grupo, maior o peso.
Você pode usar o bloco de anotações Jupyter fornecido no repositório GitHub do Microsoft Sentinel para visualizar os metadados de pares de usuário. Para obter instruções detalhadas sobre como usar o bloco de anotações, consulte o bloco de anotações Análise guiada - Metadados de segurança do usuário .
Nota
A tabela UserAccessAnalytics foi preterida.
Consultas de caça e consultas de exploração
O Microsoft Sentinel fornece, pronto a usar, um conjunto de consultas de investigação, consultas de exploração e a pasta de trabalho User and Entity Behavior Analytics, baseada na tabela BehaviorAnalytics. Essas ferramentas apresentam dados enriquecidos, focados em casos de uso específicos, que indicam comportamento anômalo.
Para obter mais informações, consulte:
À medida que as ferramentas de defesa legadas se tornam obsoletas, as organizações podem ter um patrimônio digital tão vasto e poroso que se torna incontrolável obter uma imagem abrangente do risco e da postura que seu ambiente pode estar enfrentando. Depender fortemente de esforços reativos, como análises e regras, permite que os agentes mal-intencionados aprendam a escapar desses esforços. É aqui que a UEBA entra em jogo, fornecendo metodologias de pontuação de risco e algoritmos para descobrir o que realmente está acontecendo.
Próximos passos
Neste documento, você aprendeu sobre os recursos de análise de comportamento de entidade do Microsoft Sentinel. Para obter orientações práticas sobre implementação e para usar os insights obtidos, consulte os seguintes artigos:
- Habilite a análise de comportamento de entidade no Microsoft Sentinel.
- Veja a lista de anomalias detetadas pelo motor UEBA.
- Investigue incidentes com dados da UEBA.
- Cace ameaças à segurança.
Para obter mais informações, consulte também a referência do Microsoft Sentinel UEBA.