Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Аналитика поведения пользователей и сущностей (UEBA) в Microsoft Sentinel анализирует журналы и оповещения из подключенных источников данных для создания базовых профилей поведения сущностей вашей организации, таких как пользователи, узлы, IP-адреса и приложения. С помощью машинного обучения UEBA определяет аномальное действие, которое может указывать на скомпрометированный ресурс.
Вы можете включить аналитику поведения пользователей и сущностей двумя способами с одинаковым результатом:
- В параметрах рабочей области Microsoft Sentinel: включите UEBA для рабочей области и выберите источники данных для подключения на портале Microsoft Defender или на портале Azure.
- Из поддерживаемых соединителей данных: Включите UEBA при настройке соединителей данных, поддерживающих UEBA, на портале Microsoft Defender.
В этой статье объясняется, как включить UEBA и настроить источники данных из параметров рабочей области Microsoft Sentinel и из поддерживаемых соединителей данных.
Дополнительные сведения об UEBA см. в статье "Определение угроз с помощью аналитики поведения сущностей".
Примечание.
Сведения о доступности функций в облаках правительства США см. в таблицах Microsoft Sentinel в Доступность функций облака для клиентов правительства США.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Необходимые компоненты
Чтобы включить или отключить эту функцию (эти предварительные требования не требуются для использования этой функции):
Пользователь должен быть назначен на роль Администратора безопасности Microsoft Entra ID в вашем клиенте или иметь эквивалентные разрешения.
Пользователю необходимо назначить по крайней мере одну из следующих ролей Azure (дополнительные сведения о Azure RBAC):
- Владелец на уровне группы ресурсов или выше.
- Участник на уровне группы ресурсов или выше.
- (Наименее привилегированный) Участник Microsoft Sentinel на уровне рабочей области или выше и участник Log Analytics на уровне группы ресурсов или выше.
К рабочей области не должны быть применены блокировки ресурсов Azure. Дополнительные сведения о блокировке ресурсов Azure.
Примечание.
- Для добавления функций UEBA в Microsoft Sentinel не требуется специальная лицензия, и ее использование не требуется.
- Однако так как UEBA создает новые данные и сохраняет их в новых таблицах, создаваемых UEBA в рабочей области Log Analytics, применяются дополнительные расходы на хранение данных .
Включение UEBA из параметров рабочей области
Чтобы включить UEBA из параметров рабочей области Microsoft Sentinel, выполните следующие действия.
Перейдите на страницу конфигурации поведения сущностей .
Используйте один из трех способов, чтобы получить доступ к странице конфигурации поведения сущности :
Выберите поведение сущности в меню навигации Microsoft Sentinel, а затем выберите параметры поведения сущностей в верхней строке меню.
Выберите "Параметры" в меню навигации Microsoft Sentinel, перейдите на вкладку Параметры, а затем в раскрывающемся элементе аналитика поведения сущностей выберите "Задать UEBA".
На странице соединителя данных XDR в Microsoft Defender выберите ссылку на страницу конфигурации UEBA .
На странице конфигурации поведения сущностей переключите функцию включения функции UEBA.
Выберите службы каталогов, из которых требуется синхронизировать сущности пользователей с Microsoft Sentinel.
- Локальная установка Active Directory (предварительная версия)
- Идентификатор Microsoft Entra
Чтобы синхронизировать сущности пользователей из локальной службы Active Directory, необходимо подключить клиент Azure к Microsoft Defender для удостоверений (автономный или как часть XDR в Microsoft Defender), а датчик MDI должен быть установлен на контроллере домена Active Directory. Дополнительные сведения см. в разделе "Предварительные требования Microsoft Defender для удостоверений".
Выберите "Подключить все источники данных ", чтобы подключить все подходящие источники данных или выбрать определенные источники данных из списка.
Эти источники данных можно включить только из Defender и порталов Azure:
- Журналы входа
- Журналы аудита
- Действие Azure
- События безопасности
Эти источники данных можно включить только на портале Defender (предварительная версия):
- Журналы входа управляемого удостоверения AAD (идентификатор Microsoft Entra)
- Журналы входа субъекта-службы AAD (идентификатор Microsoft Entra)
- AWS CloudTrail
- События входа устройства
- Okta CL
- Журналы аудита GCP
Дополнительные сведения об источниках данных и аномалиях UEBA см. в справочнике по Microsoft Sentinel UEBA и аномалиях UEBA.
Примечание.
После включения UEBA можно включить поддерживаемые источники данных для UEBA непосредственно из области соединителя данных или на странице параметров портала Defender, как описано в этой статье.
Нажмите Подключиться.
Включите обнаружение аномалий в рабочей области Microsoft Sentinel:
- В меню навигации на портале Microsoft Defender выберите параметры рабочих>областей SIEM>.
- Выберите рабочую область, которую вы хотите настроить.
- На странице конфигурации рабочей области выберите аномалии и переключите переключатель для обнаружения аномалий.
Включение UEBA с помощью поддерживаемых коннекторов
Чтобы включить UEBA из поддерживаемых коннекторов данных на портале Microsoft Defender:
В меню навигации портала Microsoft Defender выберите Microsoft Sentinel > Конфигурация > Соединители данных.
Выберите поддерживаемый соединитель данных UEBA, поддерживающий UEBA. Дополнительные сведения о поддерживаемых соединителях данных и таблицах UEBA см. в справочнике по Microsoft Sentinel UEBA.
На панели соединителя данных выберите Открыть страницу коннектора.
На странице сведений о соединителе выберите дополнительные параметры.
В разделе "Настройка UEBA" переключитесь на таблицы, которые необходимо включить для UEBA.
Дополнительные сведения о настройке соединителей данных Microsoft Sentinel см. в статье "Подключение источников данных к Microsoft Sentinel с помощью соединителей данных".
Включить уровень поведения UEBA (предварительная версия)
Уровень поведения UEBA создает обогащенные сводки действий, наблюдаемых в нескольких источниках данных. В отличие от оповещений или аномалий, поведения не обязательно указывают на риск - они создают слой абстракции, который оптимизирует ваши данные для исследований, охоты и обнаружения, повышая их эффективность.
Дополнительные сведения о уровне поведения UEBA и его включении см. в разделе "Включение уровня поведения UEBA" в Microsoft Sentinel.
Следующие шаги
Из этой статьи вы узнали, как включить и настроить аналитику поведения пользователей и сущностей (UEBA) в Microsoft Sentinel. Дополнительные сведения об UEBA: