了解行為分析

識別組織內部的威脅及其潛在影響，無論是遭入侵的實體還是惡意內部人員，一直是耗時且耗用大量人力的程式。 當您篩選警示、連接點並主動搜捕時，其會加總大量的時間和精力，以最少的傳回。 而且，複雜的威脅規避發現的可能性。 難以捉摸的威脅，例如零時差、針對性和進階持續性威脅，對貴組織最危險，使得其偵測變得更重要。

Microsoft Sentinel 中的實體行為功能可消除分析師工作負載的疏遠，以及其工作的不確定性。 實體行為功能可提供高逼真度且可採取動作的智慧，因此可以專注於調查和補救。

當Microsoft Sentinel 從所有連接的數據源收集記錄和警示時，它會分析並建置您組織實體的基準行為配置檔（使用者、主機、IP 位址、應用程式等）。 分析橫跨時間與對等群組範圍。 Microsoft Sentinel 會使用各種技術和機器學習功能，然後識別異常活動，並協助您判斷資產是否已遭入侵。 不僅如此，還可找出特定資產的相對敏感度、識別資產的對等群組，並評估任何指定遭入侵資產的潛在影響 (其「影響半徑」)。 有了此資訊，您就可以有效地設定調查和事件處理的優先順序。

架構概觀

安全性驅動分析

Microsoft採用適用於 UEBA 解決方案的ー式，Microsoft Sentinel 會根據三個參考框架，提供「外部」方法：

使用案例： Microsoft Sentinel 會根據與策略、技術和子技術 MITRE ATT&CK 架構一致的安全性研究，排列相關攻擊媒介和案例的優先順序。 優先順序會將各種實體識別為殺傷鏈中的受害者、肇事者或樞紐點。 Microsoft Sentinel 特別著重於每個數據源所能提供的最有價值的記錄。

數據源： 雖然首先支援 Azure 數據源，Microsoft Sentinel 深思熟慮地選取第三方數據源，以提供符合威脅案例的數據。

分析學： Microsoft Sentinel 會使用機器學習 （ML） 演算法，並識別異常活動，以內容擴充的形式清楚且簡潔地呈現證據。 請參閱以下範例。

Microsoft Sentinel 提供成品，可協助安全性分析師清楚了解內容中的異常活動，並與使用者的基準設定檔進行比較。 使用者 (或主機或位址) 所執行的動作會根據內容進行評估，其中「true」結果表示已識別的異常：

• 跨地理位置、裝置和環境。

• 跨時間和頻率範圍（與使用者自己的歷程記錄相比）。

• 與對等行為相比。

• 與組織的行為相比。

得分

每個活動都會以「調查優先順序分數」進行評分。 分數會根據使用者及其對等的行為學習，決定特定使用者執行特定活動的機率。 識別為最異常的活動會獲得最高分數 (0-10 的分數評級)。