Расширенное обнаружение угроз с помощью Аналитики поведения пользователей и сущностей (UEBA) в Microsoft Sentinel

Обнаружение аномального поведения внутри организации является сложным и медленным. Microsoft Sentinel User and Entity Behavior Analytics (UEBA) упрощает обнаружение аномалий и исследование с помощью моделей машинного обучения для создания динамических базовых показателей и сравнения одноранговых узлов для клиента. Вместо того, чтобы просто собирать журналы, UEBA учится от данных к поверхности оперативной аналитики, которая помогает аналитикам обнаруживать и исследовать аномалии.

В этой статье объясняется, как работает Microsoft Sentinel UEBA и как использовать UEBA для обнаружения аномалий и улучшения возможностей обнаружения угроз.

Все преимущества UEBA доступны на портале Microsoft Defender.

Что такое UEBA?

Так как Microsoft Sentinel собирает журналы и оповещения из всех подключенных источников данных, UEBA использует искусственный интеллект (ИИ) для создания базовых профилей поведения сущностей вашей организации, таких как пользователи, узлы, IP-адреса и приложения — со временем и между одноранговыми группами. Затем UEBA определяет аномальное действие и помогает определить, скомпрометирован ли ресурс.

UEBA также определяет относительную чувствительность конкретных активов, определяет группы одноранговых ресурсов и оценивает потенциальное влияние любого скомпрометированного ресурса - его "радиус взрыва". Эта информация позволяет эффективно определять приоритеты расследования, охоты и инцидентов.

Архитектура аналитики UEBA

Аналитика на основе безопасности

Microsoft Sentinel, вдохновившись парадигмой решений для анализа поведения пользователей и сущностей, предложенной Gartner, разработала подход "снаружи внутрь", основанный на трех опорных кадрах.

• Варианты использования: Приоритеты для соответствующих векторов атак и сценариев, основанных на исследованиях безопасности, согласованных с платформой MITRE ATT&CK тактики, методов и подтехнений, которые помещают различные сущности в качестве жертв, преступников или водных точек в цепочке убийств; Microsoft Sentinel уделяет особое внимание наиболее ценным журналам, которые могут предоставлять каждый источник данных.

• Источники данных: В первую очередь поддерживая источники данных Azure, Microsoft Sentinel тщательно выбирает сторонние источники данных для предоставления данных, которые соответствуют нашим сценариям угроз.

• Аналитика: Используя различные алгоритмы машинного обучения, Microsoft Sentinel определяет аномальные действия и представляет доказательства четко и кратко в виде контекстных обогащений, некоторые примеры которых отображаются ниже.

  

Microsoft Sentinel представляет артефакты, которые помогают аналитикам безопасности оценить аномальную активность в контексте и в сравнении с базовым профилем пользователя. Действия, выполняемые пользователем (или узлом, или адресом), оцениваются в контексте, где результат true указывает на выявленную аномалию:

• в различных географических местоположениях, устройствах и средах;
• за период времени и с определенным интервалом (в сравнении с собственным журналом пользователя);
• по сравнению с поведением одноранговых узлов;
• по сравнению с поведением организации.

Сведения об сущности пользователя, которые Microsoft Sentinel использует для создания профилей пользователей, поступают из идентификатора Microsoft Entra (или локальная служба Active Directory, теперь в предварительной версии). При включении UEBA он синхронизирует идентификатор Microsoft Entra с Microsoft Sentinel, сохраняя сведения во внутренней базе данных, видимой через таблицу IdentityInfo .

• В Microsoft Sentinel на портале Azure выполните запрос к таблице IdentityInfo в Log Analytics на странице Логов.
• На портале Defender вы запрашиваете эту таблицу в расширенной охоте.

Теперь в предварительной версии можно также синхронизировать сведения о сущности пользователя из локальной службы Active Directory с помощью Microsoft Defender для удостоверений.

Чтобы узнать, как включить анализ поведения пользователей и сущностей (UEBA) и синхронизировать удостоверения пользователей, см. Включение UEBA в Microsoft Sentinel.

Очки

Всем действиям присваивается "оценка приоритета в расследовании", которая определяет вероятность того, что конкретный пользователь выполняет конкретное действие, с учетом данных о поведении пользователя и его одноранговых узлов. Действия, определяемые как самые аномальные, получают наивысший рейтинг (на шкале 0–10).

Узнайте, как аналитика поведения используется в Microsoft Defender для облачных приложений , например, как это работает.

Дополнительные сведения о сущностях в Microsoft Sentinel и полный список поддерживаемых сущностей и идентификаторов.

Страницы сущностей

Сведения о страницах сущностей теперь можно найти на страницах сущностей в Microsoft Sentinel.

Возможности UEBA на портале Defender позволяют аналитикам и оптимизировать рабочие процессы

Обнаруживая аномалии в графах исследования и на страницах пользователей и побуждая аналитиков включать данные аномалий в поисковые запросы, UEBA способствует более быстрому обнаружению угроз, более умной расстановке приоритетов и более эффективному реагированию на инциденты.

В этом разделе описаны основные возможности аналитиков UEBA, доступные на портале Defender при включении UEBA.

Аналитика UEBA в исследованиях пользователей

Аналитики могут быстро оценить риск пользователей с помощью контекста UEBA, отображаемого на боковой панели, и вкладку "Обзор" на всех страницах пользователей. При обнаружении необычного поведения портал автоматически помечает пользователей тегами с аномалиями UEBA, что помогает расставить приоритеты для расследований, основанных на недавней активности. Дополнительные сведения см. на странице сущности пользователя в Microsoft Defender.

Каждая пользовательская страница включает в себя раздел топовые аномалии UEBA, показывающий три главные аномалии за последние 30 дней, а также прямые ссылки на предварительно созданные запросы для аномалий и хронологию событий Sentinel для более глубокого анализа.

Встроенные запросы на аномалии пользователей в рамках расследования инцидентов

Во время расследования инцидентов аналитики могут запускать встроенные запросы непосредственно из графов инцидентов, чтобы получить все аномалии пользователей, связанные с делом.

Дополнительные сведения см. в разделе "Исследование инцидентов" на портале Microsoft Defender.

Обогатите запросы расширенной охоты и пользовательских обнаружений с данными UEBA

Когда аналитики пишут запросы расширенного поиска или пользовательского обнаружения с помощью таблиц, связанных с UEBA, на портале Defender отображается баннер, который приглашает присоединиться к таблице Аномалии. Это помогает обогатить исследования с помощью аналитических сведений о поведении и укрепить общий анализ.

Дополнительные сведения см. в разделе:

• Активно ищите угрозы с помощью расширенных инструментов в Microsoft Defender.
• Оператор соединения KQL.
• Источники данных UEBA.
• Аномалии, обнаруженные подсистемой машинного обучения Microsoft Sentinel.

Запрос данных аналитики поведения

С помощью KQL можно запросить таблицу BehaviorAnalytics .

Например, если мы хотим найти все случаи, которые не смогли войти в ресурс Azure, где это была первая попытка пользователя подключиться из определенной страны или региона, а подключения из этой страны или региона являются редкими даже для одноранговых узлов пользователя, мы можем использовать следующий запрос:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

• В Microsoft Sentinel на портале Azure вы выполняете запрос к таблице BehaviorAnalytics в Log Analytics на странице Журналов.
• На портале Defender вы запрашиваете эту таблицу в расширенной охоте.

Метаданные одноранговых узлов пользователя — таблица и записная книжка

Метаданные одноранговых узлов предоставляют важный контекст при обнаружении угроз, в исследовании инцидента и поиске потенциальных угроз. Аналитики безопасности могут наблюдать за обычными действиями одноранговых узлов пользователей, чтобы определить, являются ли действия пользователя необычными по сравнению с действиями своих одноранговых узлов.

Microsoft Sentinel вычисляет и ранжирует аналогичных пользователей на основе членства пользователя в группе безопасности Microsoft Entra, списках рассылки и других критериях, и сохраняет ранжированный список от 1 до 20 в таблице UserPeerAnalytics. На следующем снимке экрана показана схема таблицы UserPeerAnalytics и отображаются первые 8 узлов пользователя по рангу для пользователя Кендалл Коллинз. Microsoft Sentinel использует алгоритм частотность-обратная частотность документов (TF-IDF) для нормализации взвешивания при вычислении ранга: чем меньше группа, тем выше вес.

Вы можете использовать записную книжку Jupyter, предоставленную в репозитории Microsoft Sentinel GitHub, для визуализации метаданных пользователей-равных. Подробные инструкции по использованию записной книжки см. в руководстве по анализу метаданных безопасности пользователей .

Поиск запросов и исследование запросов

Microsoft Sentinel предоставляет набор готовых охотничьих и исследовательских запросов, а также книгу Аналитики поведения пользователей и сущностей, которая основана на таблице BehaviorAnalytics. Эти средства представляют обогащенные данные, нацеленные на конкретные варианты использования, которые указывают на аномальное поведение.

Дополнительные сведения см. в разделе:

• Поиск угроз с помощью Microsoft Sentinel
• Визуализация и мониторинг данных

Средства защиты устаревают, а цифровые активы организации становятся такими разобщенными, что получить полную картину рисков бывает очень трудно. Не стоит сильно полагаться на реактивные меры, такие как аналитика и правила, так как злоумышленники могут научиться их обходить. Именно здесь на помощь приходит UEBA, предоставляя методологии и алгоритмы оценки рисков.

Агрегирование данных о поведении с помощью слоя анализа поведения UEBA (предварительная версия)

Так как Microsoft Sentinel собирает журналы из поддерживаемых источников данных, уровень поведения использует ИИ для преобразования необработанных журналов безопасности в структурированные, контекстные аналитические сведения о поведении. Хотя UEBA создает базовые профили для обнаружения аномальной активности, слой поведения объединяет связанные события в значимые поведения, которые объясняют "кто сделал что с кем".

Слой поведения дополняет необработанные журналы следующим образом:

• Сопоставления MITRE ATT&CK, которые согласуют поведение с известными тактиками и методами
• Идентификация ролей сущностей , которая определяет субъекты и целевые объекты, задействованные
• Объяснения естественного языка , которые делают сложные действия немедленно понятными

Преобразовав фрагментированные журналы в связные объекты поведения, слой поведения ускоряет поиск угроз, упрощает разработку обнаружения и обеспечивает более широкий контекст для обнаружения аномалий UEBA. Вместе эти возможности помогают аналитикам быстро понять не только то, что что-то аномальное произошло, но и то, что произошло и почему это важно.

Дополнительные сведения см. в статье "Преобразование необработанных журналов безопасности в аналитические данные о поведении с использованием поведения UEBA в Microsoft Sentinel (предварительная версия)."

Следующие шаги

В этом документе вы узнали о возможностях аналитики поведения сущностей Microsoft Sentinel. Практические рекомендации по реализации и использованию ценных сведений, которые вы получили, см. в следующих статьях:

• Включите аналитику поведения сущностей в Microsoft Sentinel.
• См. список аномалий, обнаруженных подсистемой UEBA.
• Исследование инцидентов с данными UEBA.
• Охота на угрозы безопасности.

Дополнительные сведения см. в справочнике по Microsoft Sentinel UEBA.