Identifiera avancerade hot med UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel

Vad är UEBA (User and Entity Behavior Analytics)?

Att identifiera hot i din organisation och deras potentiella inverkan – oavsett om en komprometterad enhet eller en illvillig insider – alltid har varit en tidskrävande och arbetsintensiv process. Om du går igenom aviseringar, ansluter punkterna och aktiv jakt får du mycket tid och ansträngning med minimala returer och risken för sofistikerade hot som bara kringgår identifieringen. Särskilt störande hot som nolldagar, riktade och avancerade permanenta hot kan vara farligast för din organisation, vilket gör identifieringen ännu viktigare.

UEBA-funktionen i Microsoft Sentinel eliminerar drudgery från dina analytikers arbetsbelastningar och osäkerheten från deras arbete och levererar hög återgivning, åtgärdsbar intelligens så att de kan fokusera på undersökning och reparation.

När Microsoft Sentinel samlar in loggar och aviseringar från alla anslutna datakällor analyserar det dem och skapar baslinjebeteendeprofiler för organisationens entiteter (till exempel användare, värdar, IP-adresser och program) över tid och peer-grupp 2. Med hjälp av en mängd olika tekniker och maskininlärningsfunktioner kan Microsoft Sentinel identifiera avvikande aktivitet och hjälpa dig att avgöra om en tillgång har komprometterats. Dessutom kan den räkna ut den relativa känsligheten för vissa tillgångar, identifiera peer-grupper av tillgångar och utvärdera den potentiella effekten av en viss komprometterad tillgång (dess "radie"). Med den här informationen kan du effektivt prioritera din undersökning och incidenthantering.

UEBA-analysarkitektur

Säkerhetsdriven analys

Microsoft Sentinel, som inspireras av Gartners paradigm för UEBA-lösningar, erbjuder en "utanför-in"-metod som baseras på tre referensramar:

• Användningsfall: Genom att prioritera relevanta angreppsvektorer och scenarier baserat på säkerhetsforskning som är anpassad till MITRE ATT&CK-ramverket med taktiker, tekniker och undertekniker som placerar olika entiteter som offer, deltagare eller pivotpunkter i händelsekedjan; Microsoft Sentinel fokuserar specifikt på de mest värdefulla loggarna som varje datakälla kan tillhandahålla.

• Datakällor: Även om Microsoft Sentinel först och främst stöder Azure-datakällor väljer de datakällor från tredje part för att tillhandahålla data som matchar våra hotscenarier.

• Analytics: Med hjälp av olika algoritmer för maskininlärning (ML) identifierar Microsoft Sentinel avvikande aktiviteter och presenterar bevis tydligt och koncist i form av sammanhangsbaserade berikanden, några exempel som visas nedan.

  

Microsoft Sentinel presenterar artefakter som hjälper dina säkerhetsanalytiker att få en tydlig förståelse för avvikande aktiviteter i kontexten och i jämförelse med användarens baslinjeprofil. Åtgärder som utförs av en användare (eller en värd eller en adress) utvärderas kontextuellt, där ett "sant" resultat indikerar en identifierad avvikelse:

• på geografiska platser, enheter och miljöer.

• över tids- och frekvensområden (jämfört med användarens egen historik).

• jämfört med peer-peers beteende.

• jämfört med organisationens beteende.

  

Resultat

Varje aktivitet poängeras med "Undersökningsprioritetspoäng" – som avgör sannolikheten för att en viss användare utför en viss aktivitet, baserat på beteendeinlärning av användaren och deras peer-användare. Aktiviteter som identifieras som de mest onormala får högst poäng (på en skala på 0–10).

Se hur beteendeanalys används i Microsoft Defender för Cloud Apps för ett exempel på hur det fungerar.

Entitetssidor

Läs mer om entiteter i Microsoft Sentinel och se den fullständiga listan över entiteter och identifierare som stöds.

När du stöter på en användare eller värdentitet (IP-adressentiteter finns i förhandsversion) i en entitetssökning, en avisering eller en undersökning kan du välja entiteten och gå till en entitetssida , ett datablad med användbar information om entiteten. De typer av information som du hittar på den här sidan innehåller grundläggande fakta om entiteten, en tidslinje för viktiga händelser relaterade till den här entiteten och insikter om entitetens beteende.

Entitetssidor består av tre delar:

• Panelen till vänster innehåller entitetens identifierande information som samlats in från datakällor som Azure Active Directory, Azure Monitor, Microsoft Defender for Cloud, CEF/Syslog och Microsoft 365 Defender.

• I mittenpanelen visas en grafisk och textbaserad tidslinje med viktiga händelser relaterade till entiteten, till exempel aviseringar, bokmärken och aktiviteter. Aktiviteter är sammansättningar av viktiga händelser från Log Analytics. De frågor som identifierar dessa aktiviteter utvecklas av Microsofts säkerhetsteam och du kan nu lägga till egna anpassade frågor för att identifiera aktiviteter som du väljer.

• Panelen till höger visar beteendeinsikter för entiteten. Dessa insikter hjälper dig att snabbt identifiera avvikelser och säkerhetshot. Insikterna utvecklas av Microsofts säkerhetsforskningsteam och baseras på modeller för avvikelseidentifiering.

Tidslinjen

Tidslinjen är en viktig del av entitetssidans bidrag till beteendeanalys i Microsoft Sentinel. Den visar en berättelse om entitetsrelaterade händelser som hjälper dig att förstå entitetens aktivitet inom en viss tidsram.

Du kan välja tidsintervall bland flera förinställda alternativ (till exempel de senaste 24 timmarna) eller ange ett anpassat tidsintervall. Dessutom kan du ange filter som begränsar informationen i tidslinjen till specifika typer av händelser eller aviseringar.

Följande typer av objekt ingår i tidslinjen:

• Aviseringar – alla aviseringar där entiteten definieras som en mappad entitet. Observera att om din organisation har skapat anpassade aviseringar med hjälp avanalysregler bör du se till att reglernas entitetsmappning utförs korrekt.

• Bokmärken – alla bokmärken som innehåller den specifika entitet som visas på sidan.

• Aktiviteter – sammanställning av viktiga händelser som är relaterade till entiteten. En mängd olika aktiviteter samlas in automatiskt och du kan nu anpassa det här avsnittet genom att lägga till egna aktiviteter.

Entitets-Insights

Entitetsinsikter är frågor som definieras av Microsofts säkerhetsforskare för att hjälpa dina analytiker att undersöka mer effektivt. Insikterna presenteras som en del av entitetssidan och ger värdefull säkerhetsinformation om värdar och användare i form av tabelldata och diagram. Om du har informationen här behöver du inte koppla från Log Analytics. Insikterna omfattar data om inloggningar, gruppanspråk, avvikande händelser med mera och innehåller avancerade ML för att identifiera avvikande beteende.

Insikterna baseras på följande datakällor:

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (Azure AD)
• SigninLogs (Azure AD)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Pulsslag (Azure Monitor Agent)
• CommonSecurityLog (Microsoft Sentinel)
• ThreatIntelligenceIndicators (Microsoft Sentinel)

Använda entitetssidor

Entitetssidor är utformade för att ingå i flera användningsscenarier och kan nås från incidenthantering, undersökningsdiagram, bokmärken eller direkt från entitetssökningssidan under Entitetsbeteendeanalys på Huvudmenyn i Microsoft Sentinel.

Information om entitetssidan lagras i tabellen BehaviorAnalytics, som beskrivs i detalj i referensreferensen för Microsoft Sentinel UEBA-berikanden.

Köra frågor mot beteendeanalysdata

Med hjälp av KQLkan vi köra frågor mot tabellen för beteendeanalys.

Om vi till exempel vill hitta alla fall där en användare inte loggade in på en Azure-resurs, där det var användarens första försök att ansluta från ett visst land, och anslutningar från det landet är ovanliga även för användarens peer-användare kan vi använda följande fråga:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where FirstTimeUserConnectedFromCountry == True
| where CountryUncommonlyConnectedFromAmongPeers == True

Metadata för användar-peers – tabell och notebook-fil

Användar peers metadata ger viktig kontext i hotidentifiering, vid undersökning av en incident och i jakt på ett potentiellt hot. Säkerhetsanalytiker kan observera normala aktiviteter för en användares peer-användare för att avgöra om användarens aktiviteter är ovanliga jämfört med deras peers.

Microsoft Sentinel beräknar och rangordnar en användares peer-användare baserat på användarens Azure AD-säkerhetsgruppmedlemskap, distributionslista, et cetera, och lagrar peer-användarna i rangordningen 1–20 i tabellen UserPeerAnalytics. Skärmbilden nedan visar schemat för tabellen UserPeerAnalytics och visar de åtta översta peer-användarna för användaren KendallErande. Microsoft Sentinel använder TF-IDF-algoritmen (frequency-inverse document frequency) för att normalisera beräkningen av rangordningen: ju mindre grupp, desto högre vikt.

Du kan använda Jupyter Notebook som finns i Microsoft Sentinel-GitHub för att visualisera användar-peer-metadata. Detaljerade anvisningar om hur du använder anteckningsboken finns i anteckningsboken Guidad analys – Användarsäkerhetsmetadata.

Behörighetsanalys – tabell och anteckningsbok

Behörighetsanalys hjälper angriparen att avgöra den potentiella effekten av att en organisations tillgång komprometterar. Den här effekten kallas även för tillgångens "radius". Säkerhetsanalytiker kan använda den här informationen för att prioritera utredningar och incidenthantering.

Microsoft Sentinel fastställer de direkta och transitiva åtkomsträttigheter som en viss användare har till Azure-resurser genom att utvärdera de Azure-prenumerationer som användaren kan komma åt direkt eller via grupper eller tjänstens huvudnamn. Den här informationen, samt den fullständiga listan över användarens Azure AD-säkerhetsgruppmedlemskap, lagras sedan i tabellen UserAccessAnalytics. Skärmbilden nedan visar en exempelrad i userAccessAnalytics-tabellen för användaren Alex Jill. Källentiteten är användarens eller tjänstens huvudnamnskonto och målentiteten är den resurs som källentiteten har åtkomst till. Värdena för åtkomstnivå och åtkomsttyp beror på åtkomstkontrollmodellen för målentiteten. Du kan se att Alex har deltagaråtkomst till Azure-prenumerationen Contoso Hotels Tenant. Åtkomstkontrollmodellen för prenumerationen är Azure RBAC.

Du kan använda Jupyter Notebook (samma notebook-dator som nämns ovan) från Microsoft Sentinel GitHub för att visualisera behörighetsanalysdata. Detaljerade anvisningar om hur du använder anteckningsboken finns i anteckningsboken Guidad analys – Användarsäkerhetsmetadata.

Jaktfrågor och utforskningsfrågor

Microsoft Sentinel tillhandahåller en uppsättning jaktfrågor, utforskningsfrågor och arbetsboken För användar- och entitetsbeteendeanalys, som baseras på tabellen BehaviorAnalytics. Dessa verktyg presenterar berikade data som fokuserar på specifika användningsfall som indikerar avvikande beteende.

Mer information finns i:

• Jaga efter hot med Microsoft Sentinel
• Visualisera och övervaka dina data

I och med att äldre skyddsverktyg blir föråldrade kan organisationer ha en så omfattande och stor digital egendom att det blir svårt att få en heltäckande bild av risken och deras miljö. Att förlita sig mycket på reaktiva insatser, till exempel analyser och regler, gör det möjligt för dåliga aktörer att lära sig hur de undviker dessa insatser. Det är här UEBA kommer till pass genom att tillhandahålla metoder och algoritmer för riskbedömning för att ta reda på vad som verkligen händer.

Nästa steg

I det här dokumentet har du lärt dig om Microsoft Sentinel-funktionerna för analys av entitetsbeteende. Praktisk vägledning om implementering och hur du använder de insikter du har fått finns i följande artiklar:

• Aktivera analys av entitetsbeteende i Microsoft Sentinel.
• Undersök incidenter med UEBA-data.
• Jaga efter säkerhetshot.

Mer information finns även i Referens för Microsoft Sentinel UEBA-berikande.