Identifikace pokročilých hrozeb pomocí analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinel

Co je analýza chování uživatelů a entit (UEBA)?

Identifikace hrozeb v rámci vaší organizace a jejich potenciálního dopadu – bez ohledu na to, jestli je neoprávněná entita nebo škodlivý program Insider, se vždycky stal časově náročným procesem náročným na práci. Procházíme výstrahami, propojením teček a aktivním prostředím, které se přidává až do obrovských objemů a úsilí vynaložených s minimálními návratnostmi a možností sofistikovaných hrozeb jednoduše obejít zjišťování. Obzvláště profesionální hrozby, jako je například nula, cílené a pokročilé trvalé hrozby, mohou být pro vaši organizaci nejbezpečnější, takže jejich zjišťování je vše důležité.

Funkce UEBA v Microsoft Sentinel eliminuje drudgery z úloh vašich analytiků a nejistotu vyplývající z jejich úsilí a poskytuje vysokou věrnou inteligentní analýzu, aby se mohla soustředit na šetření a nápravu.

Protože Microsoft Sentinel shromažďuje protokoly a výstrahy ze všech připojených zdrojů dat, analyzuje je a sestavuje profily chování entit vaší organizace (jako jsou uživatelé, hostitelé, IP adresy a aplikace) napříč časem a horizontem partnerské skupiny. Díky nejrůznějším technikám a možnostem strojového učení může Microsoft Sentinel identifikovat aktivitu neobvyklé a pomůže vám určit, jestli došlo k ohrožení bezpečnosti majetku. Nejen to, ale může také zjistit relativní citlivost konkrétních assetů, identifikovat partnerské skupiny assetů a vyhodnotit potenciální dopad kteréhokoli daného ohroženého prostředku (jeho "" "vysokého" poloměru "). S těmito informacemi můžete efektivně určit prioritu šetření a zpracování incidentů.

Architektura analýzy UEBA

Analýzy řízené zabezpečením

Nechte inspirovat podle Gartner 's paradigma pro UEBA řešení, Microsoft Sentinel poskytuje přístup "mimo rámec", založený na třech rámcích reference:

• Případy použití: Díky prioritám relevantních vektorů útoku a scénářů na základě výzkumu zabezpečení zarovnaného na MITRE ATT&CK Framework of taktiku, techniky a dílčí techniky, které do dezaktivačního řetězu umísťují různé entity jako oběti, pachatele nebo body pivotu; Microsoft Sentinel se zaměřuje konkrétně na nejcennější protokoly, které může každý zdroj dat poskytnout.

• Zdroje dat: Zatímco první a nejpřednější podporuje zdroje dat Azure, Microsoft Sentinel Thoughtfully vybere zdroje dat třetích stran, které poskytují data odpovídající scénářům hrozeb.

• Analýza: s využitím různých algoritmů strojového učení (ML) Microsoft Sentinel identifikuje aktivity neobvyklé a prezentuje důkaz jasně a stručně ve formě kontextových rozšíření, které jsou uvedené níže.

  

Microsoft Sentinel představuje artefakty, které pomůžou vašim analytikům zabezpečení jasně pochopit aktivity neobvyklé v kontextu a porovnat s profilem standardních hodnot uživatele. Akce prováděné uživatelem (nebo hostitelem nebo adresou) jsou vyhodnocovány v kontextu, kde "true" výsledek indikuje zjištěnou anomálii:

• v různých geografických umístěních, zařízeních a prostředích.

• v rámci časových a frekvenčních horizontů (ve srovnání s vlastní historií uživatele).

• ve srovnání s chováním partnerských vztahů.

• ve srovnání s chováním organizace.

  

Vyhodnocování

Každá aktivita je hodnocena jako "skóre priority šetření" – což určuje pravděpodobnost konkrétního uživatele, který provádí určitou činnost na základě způsobu učení uživatele a jejich partnerských uzlů. Aktivity identifikované jako nejabnormálních výsledků získají nejvyšší skóre (na škále 0-10).

Příklad toho, jak to funguje, najdete v tématu Jak se používá analýza chování v programu Microsoft Defender pro cloudové aplikace .

Stránky entit

Přečtěte si další informace o entitách v rámci Microsoft Sentinel a podívejte se na úplný seznam podporovaných entit a identifikátorů.

Pokud narazíte na uživatele nebo entitu hostitele (entity IP adres jsou ve verzi Preview) v rámci vyhledávání entit, výstrahy nebo šetření, můžete vybrat entitu a provést ji na stránku entity, datový list, který je plný z užitečných informací o této entitě. Typy informací, které na této stránce najdete, zahrnují základní fakta o entitě, časovou osu důležitých událostí souvisejících s touto entitou a přehled o chování entity.

Stránky entit se skládají ze tří částí:

• panel na levé straně obsahuje identifikační informace entity shromážděné ze zdrojů dat, jako jsou Azure Active Directory, Azure Monitor, Microsoft Defender pro Cloud, CEF/Syslog a Microsoft 365 Defender.

• Středový panel zobrazuje grafickou a textovou časovou osu důležitých událostí souvisejících s entitou, jako jsou například výstrahy, záložky a aktivity. Aktivity jsou agregace důležitých událostí z Log Analytics. Dotazy, které tyto aktivity zjišťují, se vyvinuly v rámci týmů pro výzkum zabezpečení Microsoftu. teď můžete Přidat vlastní dotazy a zjistit , jaké aktivity zvolíte.

• Na panelu na pravé straně se zobrazují přehledy chování entity. Tyto přehledy vám pomůžou rychle identifikovat anomálie a bezpečnostní hrozby. Přehledy se vyvinuly v rámci Microsoft Security Research teams a jsou založené na modelech detekce anomálií.

Časová osa

Časová osa je hlavní součástí příspěvku na stránce entity k analýze chování v programu Microsoft Sentinel. Prezentuje v souvislosti s událostmi souvisejícími s entitami, které vám pomůžou pochopit aktivitu entity v určitém časovém rámci.

Můžete zvolit časový rozsah mezi několika možnostmi přednastavených (například posledních 24 hodin) nebo ho nastavit na libovolný vlastní časový rámec. Kromě toho můžete nastavit filtry, které omezují informace na časové ose na konkrétní typy událostí nebo výstrah.

Časová osa obsahuje následující typy položek:

• Výstrahy – všechny výstrahy, ve kterých je entita definovaná jako mapovaná entita. Všimněte si, že pokud vaše organizace vytvořila vlastní výstrahy pomocí analytických pravidel, měli byste se ujistit, že mapování entit pravidel se provádí správně.

• Záložky – jakékoli záložky, které obsahují konkrétní entitu zobrazenou na stránce.

• Aktivity – agregace důležitých událostí souvisejících s entitou. K automatickému shromáždění široké škály aktivit můžete přizpůsobovat tuto část tím, že přidáte aktivity , které si vyberete.

Přehledy entit

Entity Insights jsou dotazy definované výzkumníky zabezpečení Microsoftu, které vašim analytikům pomůžou efektivněji a efektivně prozkoumat. Přehledy se zobrazují jako součást stránky entity a poskytují cenné informace o zabezpečení pro hostitele a uživatele ve formě tabulkových dat a grafů. Tady jsou informace, které vám to znamená, že nemusíte Log Analytics. přehledy zahrnují data týkající se přihlášení, přidání skupin, události neobvyklé a další a zahrnují pokročilé ML algoritmy pro detekci chování neobvyklé.

Přehledy jsou založené na následujících zdrojích dat:

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (Azure AD)
• SigninLogs (Azure AD)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Prezenční signál (agent Azure Monitor)
• CommonSecurityLog (Microsoft Sentinel)
• ThreatIntelligenceIndicators (Microsoft Sentinel)

Jak používat stránky entit

Stránky entit jsou navržené tak, aby byly součástí více scénářů použití, a je možné k nim získat přístup ze správy incidentů, grafu šetření, záložek nebo přímo na stránce vyhledávání entit v části Analýza chování entit v hlavní nabídce Microsoft Sentinel.

Informace o stránce entity jsou uložené v tabulce BehaviorAnalytics , která je podrobně popsaná v referenčních informacích k rozšíření Microsoft Sentinel UEBA obohacení.

Dotazování na data analýzy chování

Pomocí KQLse můžeme dotazovat na tabulku chování při analýze.

Například pokud chceme najít všechny případy uživatele, kterému se nepovedlo přihlásit k prostředku Azure, kde se jednalo o první pokus o připojení z dané země, a připojení z této země jsou neobvyklá i pro rovnocenné uživatele, můžeme použít následující dotaz:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where FirstTimeUserConnectedFromCountry == True
| where CountryUncommonlyConnectedFromAmongPeers == True

Metadata partnerských vztahů uživatelů – tabulka a Poznámkový blok

Metadata uživatelských partnerů poskytují důležitý kontext při detekci hrozeb, při vyšetřování incidentu a v lovu potenciální hrozby. Analytiky zabezpečení můžou sledovat normální aktivity partnerských uzlů uživatele, aby zjistili, jestli jsou aktivity uživatele neobvyklé v porovnání se svými partnery.

Microsoft Sentinel vypočítá a rozhodne partnerské vztahy uživatele na základě členství ve skupině zabezpečení Azure AD, seznamu adresátů, et zajistila a ukládá partnerské uzly seřazené 1-20 v tabulce UserPeerAnalytics . Níže uvedený snímek obrazovky ukazuje schéma tabulky UserPeerAnalytics a zobrazuje prvních osm partnerských uzlů uživatele Kendall Collins. Microsoft Sentinel používá algoritmus četnosti inverzního dokumentu (TF-IDF) k normalizaci vážení pro výpočet pořadí: čím menší je, tím vyšší je váha.

k vizualizaci metadat partnerských vztahů uživatelů můžete použít poznámkový blok Jupyter , který je k dispozici v úložišti Microsoft Sentinel GitHub. Podrobné pokyny k používání poznámkového bloku najdete v poznámkovém bloku metadata zabezpečení uživatele s asistencí .

Analýzy oprávnění – tabulka a Poznámkový blok

Analýza oprávnění pomáhá určit potenciální dopad na narušení organizačního prostředku útočníkem. Tento dopad se označuje také jako "vysoké poloměr assetu". Analytici zabezpečení můžou tyto informace použít k určení priorit šetření a zpracování incidentů.

Microsoft Sentinel Určuje práva k přímému a přenosnému přístupu držené daným uživatelem a prostředky Azure vyhodnocením předplatných Azure, ke kterým může uživatel přistupovat přímo nebo prostřednictvím skupin nebo instančních objektů. Tyto informace, stejně jako úplný seznam členství uživatele ve skupině zabezpečení Azure AD, se pak ukládají do tabulky UserAccessAnalytics . Níže uvedený snímek obrazovky ukazuje vzorový řádek v tabulce UserAccessAnalytics pro uživatele Alex Johnsonem. Zdrojová entita je uživatel nebo hlavní účet služby a Cílová entita je prostředek, ke kterému má zdrojová entita přístup. Hodnoty úrovně přístupu a typu přístupu závisí na modelu řízení přístupu cílové entity. Můžete vidět, že Alex má přispěvatele přístup k Tenantovi Azure s předplatným Contoso. Model řízení přístupu předplatného je Azure RBAC.

pomocí poznámkového bloku Jupyter (výše zmíněného poznámkového bloku) z úložiště Microsoft Sentinel GitHub můžete vizualizovat data analýzy oprávnění. Podrobné pokyny k používání poznámkového bloku najdete v poznámkovém bloku metadata zabezpečení uživatele s asistencí .

Lovecké dotazy a dotazy průzkumu

Microsoft Sentinel poskytuje předem připravenou sadu pro lovecké dotazy, průzkumové dotazy a sešit analýzy chování uživatelů a entit , který je založený na tabulce BehaviorAnalytics . Tyto nástroje prezentují obohacená data zaměřené na konkrétní případy použití, které označují chování neobvyklé.

Další informace naleznete v tématu:

• Loven pro hrozby s Microsoft Sentinel
• Vizualizace a monitorování dat

Vzhledem k tomu, že nástroje ochrany před starší verzí se zastaraly, organizace můžou mít takovou rozsáhlou a porousou digitální nemovitost, kterou je možné Nespravovat, aby získala ucelený přehled o riziku a stav jejich prostředí. V případě reaktivního úsilí, jako jsou například analýzy a pravidla, je vhodné, abyste se seznámili se špatnými aktéry, se kterými se dozvíte, jak tyto úsilí To je místo, kde UEBA přichází na hraní, protože poskytuje metodologie a algoritmy pro vyhodnocování rizik k tomu, abyste zjistili, co se skutečně děje.

Další kroky

V tomto dokumentu jste se dozvěděli o schopnostech analýzy chování entit společnosti Microsoft Sentinel. Praktické pokyny k implementaci a používání přehledů, které jste získali, najdete v následujících článcích:

• Povolí analýzy chování entit v Microsoft Sentinel.
• Prozkoumejte incidenty s UEBA daty.
• Pro bezpečnostní hrozby.

Další informace najdete také v referenčních informacích k rozšíření Microsoft Sentinel UEBA obohacení.