Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обнаружение аномального поведения в организации часто является сложным и трудоемким. Аналитика поведения пользователей и сущностей (UEBA) в Microsoft Sentinel упрощает задачу, постоянно обучаясь на ваших данных для выявления значимых аномалий, которые помогают аналитикам более эффективно обнаруживать и расследовать потенциальные угрозы.
В этой статье объясняется, что собой представляет аналитика поведения пользователей и сущностей Microsoft Sentinel (UEBA), как она работает, как начать ее использовать, а также как использовать его для обнаружения и расследования аномалий с целью повышения эффективности обнаружения угроз.
Как работает UEBA
Microsoft Sentinel UEBA использует машинное обучение для создания динамических профилей поведения для пользователей, узлов, IP-адресов, приложений и других сущностей. Затем он обнаруживает аномалии, сравнивая текущее действие с установленными базовыми показателями, помогая командам безопасности выявлять такие угрозы, как скомпрометированные учетные записи, инсайдерские атаки и боковое перемещение.
Когда Microsoft Sentinel поглощает данные из подключенных источников, применяется UEBA.
- Моделирование поведения для обнаружения отклонений
- Анализ одноранговых групп и оценка радиуса взрыва для оценки влияния аномального действия
UEBA назначает оценки риска аномальным поведениям, учитывая связанные сущности, серьезность аномалии и контекст, включая:
- Отклонения между географическими расположениями, устройствами и средами
- Изменения с течением времени и частотой действий по сравнению с историческим поведением сущности
- Различия по сравнению с одноранговыми группами
- Отклонения от шаблонов поведения на уровне организации
На этой схеме показано, как включить UEBA и как UEBA анализирует данные и назначает оценки рисков для определения приоритетов исследований:
Дополнительные сведения о таблицах UEBA см. в статье "Исследование аномалий с помощью данных UEBA".
Дополнительные сведения об обнаружении аномалий UEBA см. в разделе Аномалии, обнаруженные подсистемой машинного обучения Microsoft Sentinel.
UEBA изначально интегрирован в Microsoft Sentinel и портал Microsoft Defender, предоставляя удобный интерфейс для групп операций безопасности и внедренных возможностей, которые повышают эффективность исследования угроз и реагирования.
Включение UEBA для создания профилей поведения и обнаружения аномалий
Чтобы полностью воспользоваться расширенными возможностями обнаружения угроз UEBA:
Включите UEBA в Microsoft Sentinel и подключите ключевые источники данных, такие как Microsoft Entra ID, Defender for Identity и Office 365. Дополнительные сведения см. в разделе "Включение аналитики поведения сущностей".
Установите решение UEBA Essentials, коллекцию предварительно созданных запросов охоты, которые курируются и поддерживаются экспертами по безопасности Майкрософт. Решение включает запросы обнаружения аномалий в нескольких облаках в Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) и Okta. Установка решения помогает быстро приступить к поиску угроз и расследованиям с помощью данных UEBA, а не создавать эти возможности обнаружения с нуля.
Сведения об установке решений Microsoft Sentinel см. в разделе Установка или обновление решений Microsoft Sentinel.
Интегрируйте аналитические сведения UEBA в книги, рабочие процессы инцидентов и поисковые запросы, чтобы максимально повысить их ценность в ваших рабочих процессах SOC.
Изучение аномалий с помощью данных UEBA
Microsoft Sentinel хранит аналитические сведения UEBA в нескольких таблицах, оптимизированных для разных целей. Аналитики обычно соотносят данные в этих таблицах, чтобы исследовать аномальное поведение от начала до конца.
Эта таблица содержит общие сведения о данных в каждой из таблиц UEBA:
| Таблица | Цель | Основные сведения |
|---|---|---|
| Идентификационная информация | Подробные профили сущностей (пользователи, устройства, группы) | Построен на базе Microsoft Entra ID и опционально локального Active Directory с использованием Microsoft Defender for Identity. Важно понимать поведение пользователя. |
| BehaviorAnalytics | Обогащенные данные поведения с помощью геолокации и аналитики угроз | Содержит отклонения от базовых данных с баллами приоритезации. Данные зависят от включенных коннекторов (Entra ID, AWS, GCP, Okta и т. д.). |
| UserPeerAnalytics | Динамически вычисляемые одноранговые группы для базовых показателей поведения | Ранжирует топ 20 однорангов на основании членства в группах безопасности, списков рассылки и других видов ассоциаций. Использует алгоритм TF-IDF (частота терма – обратно частотность документа), где небольшие группы имеют более высокий вес. |
| Anomalies | События, идентифицированные как аномальные | Поддерживает рабочие процессы обнаружения и исследования. |
| SentinelBehaviorInfo | Сводка поведения, определяемого в необработанных журналах | Преобразует сырые журналы безопасности в структурированные сводки "кто что сделал кому" с объяснениями на естественном языке и сопоставлениями MITRE ATT&CK. |
| SentinelBehaviorEntities | Профили сущностей, участвующих в определённом поведении | Сведения о сущностях, таких как файлы, процессы, устройства и пользователи, участвующие в обнаруженном поведении. |
Примечание.
Уровень поведения UEBA — это отдельная возможность, которую можно включить независимо от UEBA.
SentinelBehaviorInfo Таблицы SentinelBehaviorEntities создаются только в рабочей области, если включить уровень поведения.
На этом снимке экрана показан пример данных в UserPeerAnalytics таблице с восемью самыми высокими рангами одноранговых узлов для пользователя Kendall Collins. Sentinel использует алгоритм TF-IDF для нормализации весов при вычислении рейтингов участников сети. Небольшие группы имеют большее значение.
Дополнительные сведения о данных UEBA и его использовании см. в следующем разделе:
- Справочник по UEBA для подробной ссылки на все таблицы и поля, связанные с UEBA.
- Аномалии, обнаруженные подсистемой машинного обучения Microsoft Sentinel для списка аномалий, обнаруженных UEBA.
Оценка UEBA
UEBA предоставляет две оценки, помогающие командам безопасности определять приоритеты расследований и эффективно обнаруживать аномалии:
| Аспект | Оценка приоритета исследования | Оценка аномалий |
|---|---|---|
| таблица | BehaviorAnalytics |
Anomalies |
| Поле | InvestigationPriority |
AnomalyScore |
| Диапазон | 0–10 (0 = доброкачественные, 10 = высокоаномальные) |
0–1 (0 = доброкачественные, 1 = высокоаномальные) |
| Индикатор | Насколько необычно одно событие, основанное на логике, основанной на профиле | Целостное аномальное поведение в нескольких событиях с помощью машинного обучения |
| Используется для | Быстрая оценка и углубленный анализ отдельных событий | Определение шаблонов и агрегированных аномалий с течением времени |
| Обработка | Почти в режиме реального времени, на уровне событий | Пакетная обработка, поведенческий уровень |
| Как вычисляется | Объединяет оценку аномалий сущностей (редкость сущностей, таких как пользователь, устройство, страна или регион) с оценкой временных рядов (аномальные шаблоны с течением времени, такие как пики неудачных входов). | Детектор аномалий на базе ИИ/МО, обученный на телеметрии вашего рабочего пространства |
Например, когда пользователь впервые выполняет операцию Azure:
- Оценка приоритета исследования: Высокий, так как это первое событие.
- Anomaly score: Low, так как действия в Azure часто встречаются и сами по себе не являются рискованными.
Хотя эти оценки служат различным целям, можно ожидать некоторой корреляции. Высокие оценки аномалий часто соответствуют высокому приоритету исследования, но не всегда. Каждая оценка предоставляет уникальные аналитические сведения о многоуровневом обнаружении.
Использование встроенных возможностей UEBA на портале Defender
Обнаруживая аномалии в графах исследования и на страницах пользователей и побуждая аналитиков включать данные аномалий в поисковые запросы, UEBA способствует более быстрому обнаружению угроз, более умной расстановке приоритетов и более эффективному реагированию на инциденты.
В этом разделе описаны основные возможности аналитиков UEBA, доступные на портале Microsoft Defender.
Виджет домашней страницы UEBA
Домашняя страница портала Defender включает мини-приложение UEBA, в котором аналитики сразу же имеют видимость аномального поведения пользователей и, следовательно, ускоряют рабочие процессы обнаружения угроз. Если клиент еще не подключен к UEBA, это мини-приложение также предоставляет администраторам безопасности быстрый доступ к процессу подключения.
Аналитика UEBA в исследованиях пользователей
Аналитики могут быстро оценить риск пользователей с помощью контекста UEBA, отображаемого на боковой панели, и вкладку "Обзор " на всех страницах пользователей на портале Defender. При обнаружении необычного поведения портал автоматически помечает пользователей тегами с аномалиями UEBA, что помогает расставить приоритеты для расследований, основанных на недавней активности. Дополнительные сведения см. на странице сущности User в Microsoft Defender.
Каждая пользовательская страница включает в себя раздел топовые аномалии UEBA, показывающий три главные аномалии за последние 30 дней, а также прямые ссылки на предварительно созданные запросы для аномалий и хронологию событий Sentinel для более глубокого анализа.
Встроенные запросы на аномалии пользователей в рамках расследования инцидентов
Во время расследования инцидентов аналитики могут запускать встроенные запросы непосредственно из графов инцидентов на портале Defender, чтобы получить все аномалии пользователей, связанные с делом.
Для получения дополнительной информации см. раздел Рассмотрите инциденты в портале Microsoft Defender.
Улучшение расширенных запросов и пользовательских обнаружений с использованием данных UEBA.
Когда аналитики записывают запросы расширенной охоты или пользовательского обнаружения с помощью таблиц, связанных с UEBA, на портале Microsoft Defender отображается баннер, который предлагает им присоединиться к таблице Аномалии. Это обогащает исследования с помощью аналитики поведения и укрепляет общий анализ.
Дополнительные сведения см. в разделе:
- Проактивно охотиться на угрозы при помощи расширенного поиска в Microsoft Defender.
- Оператор соединения KQL.
- Источники данных UEBA.
- Аномалии, обнаруженные подсистемой машинного обучения Microsoft Sentinel.
Агрегировать аналитические сведения о поведении с помощью уровня поведения UEBA
В то время как UEBA создает базовые профили для обнаружения аномальных действий, новый уровень поведения UEBA объединяет связанные события из больших объемов необработанных журналов безопасности в четкие, структурированные, значимые поведения, которые объясняют "кто сделал что с кем" на первый взгляд.
Слой поведения дополняет необработанные журналы следующим образом:
- Объяснения естественного языка , которые делают сложные действия немедленно понятными
- Сопоставления MITRE ATT&CK, которые согласуют поведение с известными тактиками и методами
- Идентификация ролей сущностей , которая определяет субъекты и целевые объекты, задействованные
Преобразовав фрагментированные журналы в связные объекты поведения, слой поведения ускоряет поиск угроз, упрощает разработку обнаружения и обеспечивает более широкий контекст для обнаружения аномалий UEBA. Вместе эти возможности помогают аналитикам быстро понять не только то, что что-то аномальное произошло, но и то, что произошло и почему это важно.
Дополнительные сведения см. в разделе Трансляция необработанных журналов безопасности для анализа поведения с помощью поведения UEBA в Microsoft Sentinel.
Модель ценообразования
UEBA входит в состав Microsoft Sentinel без дополнительной платы. Данные UEBA хранятся в таблицах Log Analytics и соответствуют стандартным ценам Microsoft Sentinel. Для получения дополнительной информации см. в разделе о ценах Microsoft Sentinel.
Следующие шаги
Практические рекомендации по реализации и использованию UEBA см. в статье:
- Включите аналитику поведения сущностей в Microsoft Sentinel.
- Исследование инцидентов с данными UEBA.
- Список аномалий UEBA, обнаруженных подсистемой UEBA.
- Справочник по UEBA.
- Поиск угроз безопасности.
Для получения обучающих ресурсов смотрите: