Microsoft Sentinel 'de Kullanıcı ve varlık davranış analizi (UEBA) ile gelişmiş tehditleri tanımla

  • Makale
  • Okumak için 8 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Önemli

  • UEBA ve varlık sayfaları özellikleri artık Tüm Microsoft Sentinel coğrafi bölgeler ve bölgelerde genel kullanıma sunulmuştur.

  • IP adresi varlığı Şu anda Önizleme aşamasındadır. beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.

Not

ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri için Bulut özelliği kullanılabilirliği'nin Microsoft Sentinel tablolarına bakın.

Kullanıcı ve varlık davranış analizi (UEBA) nedir?

Kuruluşunuzun içindeki tehditleri ve olası etkisini belirleme-güvenliği aşılmış bir varlık veya kötü amaçlı bir Insider, her zaman zaman alan ve işgücü yoğun bir işlem olup olmadığı. Uyarıları kullanarak uyarıları bağlama, noktaların bağlanması ve etkin aramaya kadar çok az miktarda zaman ve çaba, en az dönüşlerle sona ererek ve gelişmiş tehditler sayesinde bulmayı artırma olasılığı vardır. Özellikle, sıfır gün, hedeflenen ve gelişmiş kalıcı tehditler gibi gereksinimlerinden tehditleri, kuruluşunuzun en çok risk altında olduğundan, algılamalarını daha fazla kritik hale getirebilirsiniz.

Microsoft Sentinel 'de UEBA özelliği, analistlerin iş yüklerinden ve çalışmalarından drudgery ortadan kaldırır ve yüksek uygunluğa sahip, işlem yapılabilir zeka sunarak araştırma ve düzeltmeye odaklanabilirler.

Microsoft Sentinel, tüm bağlı veri kaynaklarından Günlükler ve uyarılar toplarken, bunları analiz eder ve zaman ve eş grup ufkında kuruluşunuzun varlıklarının (kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi) temel davranış profillerini oluşturur. Microsoft Sentinel, çeşitli teknikler ve makine öğrenimi özelliklerini kullanarak anormal etkinlikleri tanımlayabilir ve bir varlığın tehlikede olup olmadığını belirlemenize yardımcı olur. Yalnızca bu, belirli varlıkların göreli hassasiyetini belirleyebilir, varlık gruplarını tanımlayabilir ve belirli bir güvenliği aşılmış varlıkların olası etkisini ("değerlendirme yarıçapı") değerlendirebilir. Bu bilgilerle birlikte araştırmanıza ve olay işleme göre önceliklendirmenize etkin bir şekilde öncelik verebilirsiniz.

UEBA analiz mimarisi

Varlık davranışı analitik mimarisi

Güvenlik odaklı analiz

Vartner 'ın UEBA çözümleri için paradigması sayesinde Microsoft Sentinel, üç başvuru çerçevesine bağlı olarak "dışarıdan" bir yaklaşım sağlar:

  • Kullanım örnekleri: İlgili saldırı vektörlerine ve senaryolarına dayalı güvenlik araştırmalarını temel alarak, çeşitli varlıkları her bir kurbana, bir, bir veya sonlandırma zincirindeki Özet noktaları olarak yerleştiren, tekniklerin ve alt tekniklerin, MITTIK ATT&CK çerçevesiyle hizalı güvenlik araştırması Microsoft Sentinel, her bir veri kaynağının sağlayabildiği en değerli günlüklere odaklanır.

  • Veri kaynakları: İlk ve Azure veri kaynaklarını desteklerken, Microsoft Sentinel, tehdit senaryolarımızla eşleşen verileri sağlamak için üçüncü taraf veri kaynaklarını seçer.

  • Analiz: Microsoft Sentinel, çeşitli makine öğrenimi (ML) algoritmaları kullanarak anormal etkinlikleri tanımlar ve açık ve öz yanı sıra bağlamsal zenginler biçiminde, aşağıda gösterilen bazı örnekler sunar.

    Davranış analizi dış yerinde yaklaşım

Microsoft Sentinel, Güvenlik analistlerinin bağlamdaki anormal etkinlikleri net bir şekilde öğrenme ve kullanıcının temel profiliyle karşılaştırılmasının yanı sıra yapıları sunar. Bir Kullanıcı (veya bir konak ya da bir adres) tarafından gerçekleştirilen eylemler, "true" sonucunun tanımlanan bir anomali olduğunu gösterdiği bağlamsal olarak değerlendirilir:

  • coğrafi konumlar, cihazlar ve ortamlar üzerinde.

  • zaman ve sıklık Horizons (kullanıcının kendi geçmişiyle karşılaştırıldığında).

  • eşlerin davranışına kıyasla.

  • Kuruluşunuzun davranışına kıyasla.

    Varlık bağlamı

Puanlama

Her etkinlik "araştırma önceliği puanı" ile puanlanır. Bu, belirli bir kullanıcının belirli bir etkinliği gerçekleştirme olasılığını belirleyen, kullanıcının ve eşlerinin davranış öğrenimine göre belirlenir. En olağandışı şekilde tanımlanan etkinlikler en yüksek puanları alır (0-10 ölçeğinde).

Bu durumun nasıl çalıştığına ilişkin bir örnek için bkz. Microsoft Defender 'da, bulut uygulamaları için davranış analizlerinin nasıl kullanıldığı.

Varlık sayfaları

Microsoft Sentinel 'de varlıklar hakkında daha fazla bilgi edinin ve desteklenen varlıkların ve tanımlayıcılarıntam listesini görüntüleyin.

Bir varlık araması, bir uyarı veya araştırma içindeki bir kullanıcı veya ana bilgisayar varlığı (IP adresi varlıkları önizlemede) olduğunda, varlığı seçebilir ve bir varlık sayfasına götürülürsünüz ve bu varlıkla ilgili yararlı bilgilerin bulunduğu bir veri sayfası bulabilirsiniz. Bu sayfada bulacağınız bilgi türleri, varlıkla ilgili temel gerçekleri, bu varlıkla ilgili önemli olayların bir zaman çizelgesini ve varlığın davranışı hakkında öngörüleri içerir.

Varlık sayfaları üç bölümden oluşur:

  • sol taraftaki panel, Azure Active Directory, Azure izleyici, bulut için Microsoft Defender, cef/Syslog ve Microsoft 365 Defender gibi veri kaynaklarından toplanan varlığın tanımlayıcı bilgilerini içerir.

  • Orta bölmede, varlıkla ilgili, uyarılar, yer işaretleri ve etkinlikler gibi önemli olayların bir grafik ve metin zaman çizelgesi gösterilmektedir. Etkinlikler Log Analytics 'den önemli olaylar toplamalarına sahiptir. Bu etkinlikleri algılayan sorgular Microsoft Security Research ekipleri tarafından geliştirilmiştir ve artık seçtiğiniz etkinlikleri algılamak için kendi özel sorgularınızı ekleyebilirsiniz .

  • Sağ taraftaki panel, varlık hakkındaki davranış öngörülerini sunar. Bu Öngörüler, anomali ve güvenlik tehditlerini hızlı bir şekilde belirlemenize yardımcı olur. Öngörüler, Microsoft Security Research ekipleri tarafından geliştirilmiştir ve anomali algılama modellerini temel alır.

Not

IP adresi varlık sayfası (şimdi önizlemede), Microsoft Threat Intelligence hizmeti tarafından sağlanan coğrafi konum verilerini içerir. Bu hizmet, coğrafi konum verilerini Microsoft çözümlerini ve üçüncü taraf satıcıları ve iş ortaklarından birleştirir. Daha sonra, veriler bir güvenlik olayı bağlamında analiz ve araştırma için kullanılabilir. Daha fazla bilgi için Ayrıca bkz. Microsoft Sentinel 'de, coğrafi konum verileriyle REST API (Genel Önizleme) aracılığıyla zengin varlıklar.

Zaman çizelgesi

Varlık sayfaları zaman çizelgesi

Zaman çizelgesi, varlık sayfasının Microsoft Sentinel 'de davranış analizinin katkılarının önemli bir parçasıdır. Varlıkla ilgili olaylar hakkında bir hikaye sunar ve varlığın etkinliğini belirli bir zaman çerçevesinde anlamanıza yardımcı olur.

Birkaç önceden ayarlanmış seçenek arasından ( son 24 saat) veya özel olarak tanımlanmış zaman dilimine ayarlanmış zaman aralığını seçebilirsiniz. Ayrıca, zaman çizelgesindeki bilgileri belirli olay veya uyarı türleriyle sınırlayan filtreler ayarlayabilirsiniz.

Aşağıdaki öğe türleri zaman çizelgesine dahildir:

  • Uyarılar-varlığın eşlenmiş bir varlık olarak tanımlandığı tüm uyarılar. Kuruluşunuzun analiz kurallarını kullanarak özel uyarılaroluşturduğuna sahip olması durumunda kuralların varlık eşlemesinin düzgün şekilde yapıldığından emin olun.

  • Yer işaretleri-sayfada gösterilen belirli varlığı içeren tüm yer işaretleri.

  • Etkinlikler-varlıkla ilgili önemli olaylarının toplamı. Çok çeşitli etkinlikler otomatik olarak toplanır ve artık bu bölümü, kendi seçtiğiniz etkinlikleri ekleyerek özelleştirebilirsiniz .

varlık Analizler

Varlık öngörüleri, analistlerinizin daha verimli ve etkili bir şekilde araştırılması için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır Öngörüler, varlık sayfasının bir parçası olarak sunulur ve ana bilgisayarlar ve kullanıcılar hakkında tablo verileri ve grafikler biçiminde değerli güvenlik bilgileri sağlar. Burada bilgilere sahip olmanız, Log Analytics için gezinti yapmanız gerekmediği anlamına gelir. öngörüler, oturum açma işlemleri, grup eklemeleri, anormal etkinlikler ve daha fazlası ile ilgili verileri içerir ve anormal davranışları algılamak için gelişmiş ML algoritmaları içerir.

Öngörüler aşağıdaki veri kaynaklarına dayalıdır:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Azure AD)
  • Signınlogs (Azure AD)
  • Officeetkinliği (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Sinyal (Azure Izleyici Aracısı)
  • CommonSecurityLog (Microsoft Sentinel)
  • Threatıntelligenceındicators (Microsoft Sentinel)

Varlık sayfalarını kullanma

Varlık sayfaları birden çok kullanım senaryosunun parçası olacak şekilde tasarlanmıştır ve olay yönetimi, araştırma grafiği, yer işaretleri veya doğrudan Microsoft Sentinel ana menüsündeki varlık davranışı Analizi altındaki varlık arama sayfasından erişilebilir.

Varlık sayfası kullanım örnekleri

Varlık sayfası bilgileri, Microsoft Sentinel ueba zenginleştirmeleri başvurusundaayrıntılı olarak açıklanan BehaviorAnalytics tablosunda depolanır.

Davranış analizi verilerini sorgulama

KQLkullanarak, davranış analizi tablosunu sorgulayabiliriz.

Örneğin, bir Azure kaynağında oturum açmayan bir kullanıcının, kullanıcının belirli bir ülkeden ilk kez bağlanmaya çalıştığı ve bu ülkeden gelen bağlantıların, kullanıcının eşleri için de yaygın olarak olduğu tüm durumları bulmak istiyorsam, aşağıdaki sorguyu kullanabiliriz:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where FirstTimeUserConnectedFromCountry == True
| where CountryUncommonlyConnectedFromAmongPeers == True

Kullanıcı eşleri Meta verileri-tablo ve Not defteri

Kullanıcı eşleri Meta verileri tehdit Algılamalarda, bir olayı araştırmak ve olası bir tehdit için önemli bir bağlam sağlar. Güvenlik analistleri, kullanıcının etkinliklerinin kendi eşleriyle karşılaştırıldığında olağan dışı olup olmadığını tespit etmek üzere kullanıcının eşlerinin normal etkinliklerini gözlemleyebilirsiniz.

Microsoft Sentinel, kullanıcının Azure AD güvenlik grubu üyeliğine, posta listesine, et cetera 'ya bağlı olarak bir kullanıcının eşlerini hesaplar ve sıralar ve derecelendirilen 1-20 eşlerini Userpeeranalytics tablosuna depolar. Aşağıdaki ekran görüntüsünde, UserPeerAnalytics tablosunun şeması gösterilmektedir ve Kullanıcı kendinin en üst sekiz dereceli eşlerini görüntüler. Microsoft Sentinel, dereceyi hesaplamak için ağırlığı normalleştirmek üzere Sıklık-ters belge sıklığı (TF-IDF) algoritmasını kullanır: grubun daha küçük olması, ağırlığa göre daha yükseği.

Kullanıcı eşleri Meta veri tablosu ekran görüntüsü

kullanıcı eşi meta verilerini görselleştirmek için Microsoft Sentinel GitHub deposunda sunulan jupyter not defterini kullanabilirsiniz. Not defterini kullanma hakkında ayrıntılı yönergeler için bkz. Kılavuzlu analiz-Kullanıcı güvenliği meta verileri Not defteri.

İzin Analizi-tablo ve Not defteri

İzin analizi, bir saldırgan tarafından kurumsal bir varlığın güvenliğinin tehlikeye atması olasılığını belirlemesine yardımcı olur. Bu etki, varlığın "envanter" yarıçapını de bilinir. Güvenlik analistleri, bu bilgileri, araştırmalar ve olay işleme önceliklerini belirlemek için kullanabilir.

Microsoft Sentinel, kullanıcının doğrudan veya gruplar ya da hizmet sorumluları aracılığıyla erişebileceği Azure aboneliklerini değerlendirerek, belirli bir kullanıcı tarafından Azure kaynakları için tutulan doğrudan ve geçişli erişim haklarını belirler. Bu bilgilerin yanı sıra kullanıcının Azure AD güvenlik grubu üyeliğinin tam listesi, UserAccessAnalytics tablosunda depolanır. Aşağıdaki ekran görüntüsünde, UserAccessAnalytics tablosundaki bir örnek satır gösterilmektedir ve Kullanıcı Alex Johnson. Kaynak varlık kullanıcı veya hizmet sorumlusu hesabı, hedef varlık ise kaynak varlığın erişimi olan kaynaktır. Erişim düzeyi ve erişim türü değerleri, hedef varlığın erişim denetimi modeline bağlıdır. Alex'in Contoso Hotels Kiracısı Azure aboneliğine Katkıda Bulunan erişimine sahip olduğunu görüyorsunuz. Aboneliğin erişim denetimi modeli Azure RBAC'dir.

Kullanıcı erişimi analiz tablosu ekranlı

İzin analizi verilerini görselleştirmek için Microsoft Sentinel GitHub deposundaki Jupyter not defterini (yukarıda bahsedilen not defteri) kullanabilirsiniz. Not defterini kullanma hakkında ayrıntılı yönergeler için Destekli Analiz - Kullanıcı Güvenlik Meta Verileri not defterine bakın.

Avlanma sorguları ve araştırma sorguları

Microsoft Sentinel, BehaviorAnalytics tablosuna dayanan bir dizi avlanma sorgusu, keşif sorgusu ve Kullanıcı ve Varlık Davranışı Analizi çalışma kitabı sağlar. Bu araçlar, anormal davranışları gösteren belirli kullanım örneklerine odaklanan zenginleştirilmiş veriler sunar.

Daha fazla bilgi için bkz.

Eski savunma araçları artık kullanılamaz hale geldi, kuruluşlar o kadar büyük ve muazzam bir dijital var ki, riskle ilgili kapsamlı bir resim elde etmek ve ortamlarının karşı karşıya olduğu duruş için yönetimsiz hale geliyor olabilir. Analiz ve kurallar gibi reaktif çalışmalara yoğun bir şekilde güvenmek, kötü aktörlerin bu çabalardan nasıl kaçınarak kurtularak bunu öğrenmesine olanak sağlar. Burada UEBA, neler olduğunu anlamaları için risk puanlama yöntemleri ve algoritmalar sağlayarak devreye gelir.

Sonraki adımlar

Bu belgede, Microsoft Sentinel'in varlık davranışı analizi özellikleri hakkında bilgi edinebilirsiniz. Uygulamayla ilgili pratik rehberlik ve elde edinilen içgörüleri kullanmak için aşağıdaki makalelere bakın:

Daha fazla bilgi için bkz. Microsoft Sentinel UEBA zenginleştirmeleri başvurusu.