Geavanceerde bedreigingen identificeren met UEBA (User and Entity Behavior Analytics) in Microsoft Sentinel

Wat is User and Entity Behavior Analytics (UEBA)?

Het identificeren van bedreigingen binnen uw organisatie en hun mogelijke impact , of het nu gaat om een aangetaste entiteit of een kwaadwillende insider, is altijd een tijdrovend en arbeidsintensief proces geweest. Het doorsiften van waarschuwingen, het verbinden van de punten en actieve opsporing vormen allemaal enorme hoeveelheden tijd en moeite die worden verbruikt met minimale retouren en de mogelijkheid dat geavanceerde bedreigingen de detectie simpelweg voorkomen. Met name elusive threats zoals zero-day, targeted en advanced persistent threats kunnen het meest gevaarlijk zijn voor uw organisatie, waardoor hun detectie des te belangrijker wordt.

De UEBA-mogelijkheid in Microsoft Sentinel elimineert de drudgerie van de workloads van uw analisten en de onzekerheid van hun inspanningen, en levert betrouwbare, actie-intelligentie, zodat ze zich kunnen richten op onderzoek en herstel.

Terwijl Microsoft Sentinel logboeken en waarschuwingen verzamelt van alle verbonden gegevensbronnen, worden deze geanalyseerd en worden basislijngedragsprofielen van de entiteiten van uw organisatie (zoals gebruikers, hosts, IP-adressen en toepassingen) gemaakt in de tijd en peer-groepsperiode. Met behulp van verschillende technieken machine learning mogelijkheden kan Microsoft Sentinel vervolgens afwijkende activiteiten identificeren en u helpen bepalen of een asset is aangetast. Niet alleen dat, maar het kan ook de relatieve gevoeligheid van bepaalde assets bepalen, peergroepen van assets identificeren en de mogelijke impact evalueren van een bepaalde aangetaste asset (de 'radius van de'radius'). Met deze informatie kunt u effectief prioriteit geven aan uw onderzoek en incidentafhandeling.

Analysearchitectuur voor UEBA

Beveiligingsgestuurde analyses

Microsoft Sentinel is geïnspireerd op het paradigma van Gartner voor UEBA-oplossingen en biedt een 'outside-in'-benadering op basis van drie referentieframes:

• Gebruiksgevallen: Door prioriteit te geven aan relevante aanvalsvectoren en -scenario's op basis van beveiligingsonderzoek dat is afgestemd op het MITRE ATT&CK-framework van tactieken, technieken en subtechnieken waarmee verschillende entiteiten als slachtoffer, ziekte of draaipunten in de kill chain worden gebracht; Microsoft Sentinel richt zich specifiek op de meest waardevolle logboeken die elke gegevensbron kan bieden.

• Gegevensbronnen: Hoewel Azure-gegevensbronnen in de eerste plaats worden ondersteund, selecteert Microsoft Sentinel zorgvuldig gegevensbronnen van derden om gegevens te bieden die aan onze bedreigingsscenario's zijn.

• Analytics: Met behulp van verschillende machine learning-algoritmen (ML) identificeert Microsoft Sentinel afwijkende activiteiten en geeft het duidelijk en beknopt bewijs in de vorm van contextuele verrijkingen, waarvan enkele voorbeelden hieronder worden weergegeven.

  

Microsoft Sentinel presenteert artefacten die uw beveiligingsanalisten helpen een duidelijk inzicht te krijgen in afwijkende activiteiten in context en in vergelijking met het basislijnprofiel van de gebruiker. Acties die worden uitgevoerd door een gebruiker (of een host of een adres) worden contextueel geëvalueerd, waarbij een 'true'-resultaat een geïdentificeerde anomalie aangeeft:

• op geografische locaties, apparaten en omgevingen.

• in tijd- en frequentieperioden (vergeleken met de eigen geschiedenis van de gebruiker).

• vergeleken met het gedrag van peers.

• vergeleken met het gedrag van de organisatie.

  

Scoren

Elke activiteit wordt scoren met 'Investigation Priority Score', waarmee de kans wordt bepaald dat een specifieke gebruiker een specifieke activiteit zal uitvoeren, op basis van gedragsgerichte kennis van de gebruiker en zijn/haar collega's. Activiteiten die worden geïdentificeerd als de meest abnormale, ontvangen de hoogste scores (op een schaal van 0-10).

Bekijk hoe gedragsanalyse wordt gebruikt in Microsoft Defender voor Cloud Apps voor een voorbeeld van hoe dit werkt.

Entiteitspagina's

Meer informatie over entiteiten in Microsoft Sentinel en de volledige lijst met ondersteunde entiteiten en id's.

Wanneer u een gebruiker of hostentiteit (IP-adresentiteiten zijn in preview) tegenkomt in een entiteitszoekactie, een waarschuwing of een onderzoek, kunt u de entiteit selecteren en naar een entiteitspagina gaan, een gegevensblad vol nuttige informatie over die entiteit. De typen informatie die u op deze pagina vindt, omvatten basisfeiten over de entiteit, een tijdlijn met belangrijke gebeurtenissen met betrekking tot deze entiteit en inzichten over het gedrag van de entiteit.

Entiteitspagina's bestaan uit drie delen:

• Het deelvenster aan de linkerkant bevat de identificatiegegevens van de entiteit, verzameld uit gegevensbronnen zoals Azure Active Directory, Azure Monitor, Microsoft Defender for Cloud, CEF/Syslog en Microsoft 365 Defender.

• In het middelste deelvenster ziet u een grafische en tekstuele tijdlijn met belangrijke gebeurtenissen met betrekking tot de entiteit, zoals waarschuwingen, bladwijzers en activiteiten. Activiteiten zijn aggregaties van belangrijke gebeurtenissen uit Log Analytics. De query's die deze activiteiten detecteren, zijn ontwikkeld door beveiligingsonderzoekteams van Microsoft en u kunt nu uw eigen aangepaste query's toevoegen om activiteiten van uw keuze te detecteren.

• In het rechterpaneel worden gedragsinzichten over de entiteit weergegeven. Met deze inzichten kunt u snel afwijkingen en beveiligingsrisico's identificeren. De inzichten zijn ontwikkeld door beveiligingsonderzoeksteams van Microsoft en zijn gebaseerd op anomaliedetectiemodellen.

De tijdlijn

De tijdlijn is een belangrijk onderdeel van de bijdrage van de entiteitspagina aan gedragsanalyse in Microsoft Sentinel. Het biedt een verhaal over entiteitsgerelateerde gebeurtenissen, zodat u inzicht hebt in de activiteit van de entiteit binnen een bepaald tijdsbestek.

U kunt het tijdsbereik kiezen uit verschillende vooraf ingestelde opties (zoals de afgelopen 24 uur) of instellen op een aangepast gedefinieerd tijdsbestek. Daarnaast kunt u filters instellen die de informatie in de tijdlijn beperken tot specifieke typen gebeurtenissen of waarschuwingen.

De volgende typen items zijn opgenomen in de tijdlijn:

• Waarschuwingen: alle waarschuwingen waarin de entiteit is gedefinieerd als een toe te wijst entiteit. Als uw organisatie aangepaste waarschuwingen heeft gemaakt met behulp van analyseregels,moet u ervoor zorgen dat de entiteitstoewijzing van de regels correct wordt uitgevoerd.

• Bladwijzers: bladwijzers die de specifieke entiteit bevatten die op de pagina wordt weergegeven.

• Activiteiten: aggregatie van belangrijke gebeurtenissen met betrekking tot de entiteit. Er wordt automatisch een breed scala aan activiteiten verzameld en u kunt deze sectie nu aanpassen door zelf activiteiten toe te voegen.

Entiteits Insights

Entiteitsinzichten zijn query's die door beveiligingsonderzoekers van Microsoft zijn gedefinieerd om uw analisten te helpen efficiënter en effectiever te onderzoeken. De inzichten worden gepresenteerd als onderdeel van de entiteitspagina en bieden waardevolle beveiligingsinformatie over hosts en gebruikers, in de vorm van tabellaire gegevens en grafieken. Als u de informatie hier hebt, hoeft u niet om te gaan naar Log Analytics. De inzichten omvatten gegevens over aanmeldingen, groepsoptellingen, afwijkende gebeurtenissen en meer, en omvatten geavanceerde ML algoritmen om afwijkende gedragingen te detecteren.

De inzichten zijn gebaseerd op de volgende gegevensbronnen:

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (Azure AD)
• SigninLogs (Azure AD)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Heartbeat (Azure Monitor Agent)
• CommonSecurityLog (Microsoft Sentinel)
• ThreatIntelligenceIndicators (Microsoft Sentinel)

Entiteitspagina's gebruiken

Entiteitspagina's zijn ontworpen om deel uit te maken van meerdere gebruiksscenario's en kunnen worden geopend vanuit incidentbeheer, de onderzoeksgrafiek, bladwijzers of rechtstreeks vanaf de entiteitszoekpagina onder Entiteitsgedragsanalyse in het hoofdmenu van Microsoft Sentinel.

Informatie over entiteitspagina's wordt opgeslagen in de tabel BehaviorAnalytics, die in detail wordt beschreven in de naslaginformatie over Microsoft Sentinel UEBA-verrijkingen.

Query's uitvoeren op gegevens van gedragsanalyses

Met behulp van KQLkunnen we een query uitvoeren op de Tabel voor gedragsanalyse.

Als we bijvoorbeeld alle gevallen willen vinden van een gebruiker die zich niet heeft kunnen aanmelden bij een Azure-resource, waarbij het de eerste poging was van de gebruiker om verbinding te maken vanuit een bepaald land en verbindingen vanuit dat land ongebruikelijk zijn, zelfs voor de peers van de gebruiker, kunnen we de volgende query gebruiken:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where FirstTimeUserConnectedFromCountry == True
| where CountryUncommonlyConnectedFromAmongPeers == True

Metagegevens van gebruikers-peers - tabel en notebook

Metagegevens van gebruikers peers bieden belangrijke context in detecties van bedreigingen, bij het onderzoeken van een incident en bij het opsporen van een mogelijke bedreiging. Beveiligingsanalisten kunnen de normale activiteiten van de peers van een gebruiker observeren om te bepalen of de activiteiten van de gebruiker ongebruikelijk zijn in vergelijking met die van zijn of haar peers.

Microsoft Sentinel berekent en rangschikt de peers van een gebruiker op basis van het lidmaatschap van de Azure AD-beveiligingsgroep van de gebruiker, de adressenlijst en de peers die met een 1-20-positie zijn gerangschikt in de tabel UserPeerAnalytics. In de onderstaande schermopname ziet u het schema van de tabel UserPeerAnalytics en worden de acht beste peers van de gebruiker Kendall Contact weergegeven. Microsoft Sentinel gebruikt het algoritme frequency-inverse document frequency (TF-IDF) om de positie te normaliseren: hoe kleiner de groep, hoe hoger het gewicht.

U kunt het Jupyter-notebook in de Microsoft Sentinel-opslagplaats GitHub om de metagegevens van de gebruikers-peers te visualiseren. Zie het notebook Guided Analysis - User Security Metadata voor gedetailleerde instructies over het gebruik van het notebook.

Machtigingsanalyse - tabel en notebook

Machtigingsanalyse helpt bij het bepalen van de mogelijke impact van het in gevaar brengen van een organisatie-asset door een aanvaller. Deze impact wordt ook wel de 'radius radius' van de asset genoemd. Beveiligingsanalisten kunnen deze informatie gebruiken om prioriteit te geven aan onderzoeken en incidentafhandeling.

Microsoft Sentinel bepaalt de directe en transitieve toegangsrechten van een bepaalde gebruiker voor Azure-resources door de Azure-abonnementen te evalueren die de gebruiker rechtstreeks of via groepen of service-principals kan openen. Deze informatie, evenals de volledige lijst van het lidmaatschap van de Azure AD-beveiligingsgroep van de gebruiker, wordt vervolgens opgeslagen in de tabel UserAccessAnalytics. In de onderstaande schermopname ziet u een voorbeeldrij in de tabel UserAccessAnalytics voor de gebruikerLeksEnt. Bronentiteit is het account van de gebruiker of service-principal en de doelentiteit is de resource waar de bronentiteit toegang toe heeft. De waarden van het toegangsniveau en het toegangstype zijn afhankelijk van het model voor toegangsbeheer van de doelentiteit. U kunt zien dat Alex Inzender-toegang heeft tot het Azure-abonnement Contoso Hotels Tenant. Het toegangsbeheermodel van het abonnement is Azure RBAC.

U kunt het Jupyter-notebook (hetzelfde notebook dat hierboven wordt vermeld) uit de Microsoft Sentinel GitHub opslagplaats gebruiken om de machtigingsanalysegegevens te visualiseren. Zie het notebook Guided Analysis - User Security Metadata voor gedetailleerde instructies over het gebruik van het notebook.

Opsporingsquery's en onderzoeksquery's

Microsoft Sentinel biedt een reeks opsporingsquery's, onderzoeksquery's en de werkmap User and Entity Behavior Analytics, die is gebaseerd op de tabel BehaviorAnalytics. Deze hulpprogramma's presenteren verrijkte gegevens, gericht op specifieke gebruiksgevallen, die afwijkende gedrag aangeven.

Zie voor meer informatie:

• Bedreigingen zoeken met Microsoft Sentinel
• Uw gegevens visualiseren en bewaken

Naarmate verouderde verdedigingshulpprogramma's verouderd raken, hebben organisaties mogelijk zo'n enorme en slechte digitale omgeving dat het onbeheersbaar wordt om een uitgebreid beeld te krijgen van het risico en de postuur waarmee hun omgeving te maken kan krijgen. Door sterk afhankelijk te zijn van reactieve inspanningen, zoals analyses en regels, kunnen kwaadbede personen leren hoe ze deze inspanningen kunnen ontampen. Hier komt UEBA aan de gang door methodologieën en algoritmen voor risicoscore te bieden om erachter te komen wat er echt gebeurt.

Volgende stappen

In dit document hebt u geleerd over de mogelijkheden voor entiteitsgedraganalyse van Microsoft Sentinel. Zie de volgende artikelen voor praktische hulp bij de implementatie en voor het gebruik van de inzichten die u hebt verkregen:

• Schakel analyse van entiteitsgedrag in Microsoft Sentinel in.
• Incidenten met UEBA-gegevens onderzoeken.
• Zoek naar beveiligingsrisico's.

Zie ook de naslaginformatie over Microsoft Sentinel UEBA-verrijkingen voor meer informatie.