Kullanıcı ve Varlık Davranışı Analizi (UEBA) ile gelişmiş tehditleri Azure Sentinel

Önemli

  • UEBA ve Varlık Sayfaları özellikleri artık tüm coğrafi bölgelerde ve bölgelerde Azure Sentinel Genel Kullanılabilirlik'tedir.

  • IP adresi varlığı şu anda ÖNIZLE'dedir. Beta, önizleme veya başka bir sürümde henüz genel kullanılabilirlik aşamasında olan Azure özellikleri için geçerli olan ek yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Kullanıcı ve Varlık Davranışı Analizi (UEBA) nedir?

Güvenliği tehlikeye atılmış bir varlık veya kötü amaçlı bir içeriden olsun, kuruluş içindeki tehditleri ve olası etkilerini belirlemek her zaman yoğun bir süreçti. Uyarıların üzerinden geçerek, noktaları birbirine bağlayarak ve etkin tehdit avcılığı yapmak çok büyük miktarlarda zaman ve çaba harcanarak çok az getiri elde edildi ve karmaşık tehditlerin keşfedilen bir durumla karşı karşıya olma olasılığı ortaya çıktı. Özellikle sıfır gün, hedefli ve gelişmiş kalıcı tehditler gibi zor tehditler, sizin için en tehlikeli tehdit olabilir ve bu da bunların algılanması açısından daha kritik hale geliyor.

Azure Sentinel'daki UEBA özelliği, analistlerin iş yüklerinden elde edecekleri verimleri ve çalışmalarından elde edecekleri belirsizlikleri ortadan kaldırıyor ve araştırma ve düzeltmeye odaklanacak yüksek doğruluk, eyleme değiştirilebilir zeka sağlar.

Azure Sentinel tüm bağlı veri kaynaklarından günlükleri ve uyarıları toplayan bu günlükleri analiz eder ve zaman ve eş grup ufuklarında, kuruluş varlıklarına (kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi) temel davranış profillerini derlemeye devam eder. Azure Sentinel, çeşitli teknikler ve makine öğrenimi özelliklerini kullanarak anormal etkinlikleri tanımlayabilir ve bir varlığın tehlikede olup olmadığını belirlemenize yardımcı olur. Yalnızca bu, belirli varlıkların göreli hassasiyetini belirleyebilir, varlık gruplarını tanımlayabilir ve belirli bir güvenliği aşılmış varlıkların olası etkisini ("değerlendirme yarıçapı") değerlendirebilir. Bu bilgilerle birlikte araştırmanıza ve olay işleme göre önceliklendirmenize etkin bir şekilde öncelik verebilirsiniz.

UEBA analiz mimarisi

Varlık davranışı analitik mimarisi

Güvenlik odaklı analiz

Vartner 'ın UEBA çözümleri için paradigması sayesinde Azure Sentinel, üç başvuru çerçevesine göre "dışarıdan" bir yaklaşım sağlar:

  • Kullanım örnekleri: İlgili saldırı vektörlerine ve senaryolarına dayalı güvenlik araştırmalarını temel alarak, çeşitli varlıkları her bir kurbana, bir, bir veya sonlandırma zincirindeki Özet noktaları olarak yerleştiren, tekniklerin ve alt tekniklerin, MITTIK ATT&CK çerçevesiyle hizalı güvenlik araştırması Azure Sentinel, her bir veri kaynağının sağlayabildiği en değerli günlüklere odaklanır.

  • Veri kaynakları: İlk ve Azure veri kaynaklarını desteklerken, Azure Sentinel, tehdit senaryolarımızla eşleşen verileri sağlamak için üçüncü taraf veri kaynaklarını seçer.

  • Analiz: Azure Sentinel, çeşitli makine öğrenimi (ML) algoritmaları kullanarak anormal etkinlikleri tanımlar ve açık ve öz yanı sıra bağlamsal zenginler biçiminde, aşağıda gösterilen bazı örnekler sunar.

    Davranış analizi dış yerinde yaklaşım

Azure Sentinel, Güvenlik analistlerinin bağlamdaki anormal etkinlikleri net bir şekilde öğrenme ve kullanıcının temel profiliyle karşılaştırılmasının yanı sıra yapıları sunar. Bir Kullanıcı (veya bir konak ya da bir adres) tarafından gerçekleştirilen eylemler, "true" sonucunun tanımlanan bir anomali olduğunu gösterdiği bağlamsal olarak değerlendirilir:

  • coğrafi konumlar, cihazlar ve ortamlar üzerinde.

  • zaman ve sıklık ufukları (kullanıcının kendi geçmişiyle karşılaştırıldığında).

  • , eşlerin davranışıyla karşılaştırıldığında.

  • kuruluşun davranışıyla karşılaştırıldığında.

    Varlık bağlamı

Puanlama

Her etkinlik , kullanıcının ve eşlerinin davranışsal öğrenmesi temel alarak belirli bir kullanıcının belirli bir etkinliği gerçekleştirme olasılığını belirleyen "Araştırma Öncelik Puanı" ile puanlandı. En anormal olarak tanımlanan etkinlikler en yüksek puanları alır (0-10 ölçeğinde).

Bunun nasıl çalıştığını görmek için Microsoft Cloud App Security analizinin nasıl çalıştığını öğrenin.

Varlık Sayfaları

Azure Sentinel hakkında daha fazla bilgi edinmek ve desteklenen varlıkların ve tanımlayıcıların tam listesine bakın.

Varlık aramasında, uyarıda veya araştırmada bir kullanıcı veya konak varlığıyla (IP adresi varlıkları önizlemededir) karşılaştığınız zaman, varlığı seçerek varlık sayfasını (bu varlıkla ilgili yararlı bilgilerle dolu bir veri sayfası) görüntüleyebilirsiniz. Bu sayfada bulunacak bilgi türleri varlıkla ilgili temel olguları, bu varlıkla ilgili önemli olayların zaman çizelgesini ve varlığın davranışıyla ilgili içgörüleri içerir.

Varlık sayfaları üç bölümden oluşur:

  • Sol tarafta, Azure Active Directory, Azure İzleyici, Azure Defender, CEF/Syslog ve Microsoft 365 Defender gibi veri kaynaklarından toplanan varlık tanımlama bilgileri bulunur.

  • Orta panelde uyarılar, yer işaretleri ve etkinlikler gibi varlıkla ilgili önemli olayların grafik ve metinsel zaman çizelgesi gösterilir. Etkinlikler, Log Analytics'in önemli olaylarının toplamalarıdır. Bu etkinlikleri algılayan sorgular Microsoft güvenlik araştırma ekipleri tarafından geliştirilmiştir ve artık seçtiğiniz etkinlikleri algılamak için kendi özel sorgularınızı eklemeye devam edersiniz.

  • Sağ tarafta yer alan panel, varlıkla ilgili davranış içgörüleri sunar. Bu içgörüler anomalileri ve güvenlik tehditlerini hızla tanımlamaya yardımcı olur. Bu içgörüler Microsoft güvenlik araştırma ekipleri tarafından geliştirilmiştir ve anomali algılama modellerini temel alınarak geliştirilmiştir.

Not

IP adresi varlık sayfası (şimdi önizlemede), Microsoft Threat Intelligence hizmeti tarafından sağlanan coğrafi konum verilerini içerir. Bu hizmet, coğrafi konum verilerini Microsoft çözümlerini ve üçüncü taraf satıcıları ve iş ortaklarından birleştirir. Daha sonra, veriler bir güvenlik olayı bağlamında analiz ve araştırma için kullanılabilir.

Zaman çizelgesi

Varlık sayfaları zaman çizelgesi

Zaman çizelgesi, varlık sayfasının Azure Sentinel 'de davranış analizinin katkılarının önemli bir parçasıdır. Varlıkla ilgili olaylar hakkında bir hikaye sunar ve varlığın etkinliğini belirli bir zaman çerçevesinde anlamanıza yardımcı olur.

Birkaç önceden ayarlanmış seçenek arasından ( son 24 saat) veya özel olarak tanımlanmış zaman dilimine ayarlanmış zaman aralığını seçebilirsiniz. Ayrıca, zaman çizelgesindeki bilgileri belirli olay veya uyarı türleriyle sınırlayan filtreler ayarlayabilirsiniz.

Aşağıdaki öğe türleri zaman çizelgesine dahildir:

  • Uyarılar-varlığın eşlenmiş bir varlık olarak tanımlandığı tüm uyarılar. Kuruluşunuzun analiz kurallarını kullanarak özel uyarılaroluşturduğuna sahip olması durumunda kuralların varlık eşlemesinin düzgün şekilde yapıldığından emin olun.

  • Yer işaretleri-sayfada gösterilen belirli varlığı içeren tüm yer işaretleri.

  • Etkinlikler-varlıkla ilgili önemli olaylarının toplamı. Çok çeşitli etkinlikler otomatik olarak toplanır ve artık bu bölümü, kendi seçtiğiniz etkinlikleri ekleyerek özelleştirebilirsiniz .

Varlık öngörüleri

Varlık öngörüleri, analistlerinizin daha verimli ve etkili bir şekilde araştırılması için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır Öngörüler, varlık sayfasının bir parçası olarak sunulur ve ana bilgisayarlar ve kullanıcılar hakkında tablo verileri ve grafikler biçiminde değerli güvenlik bilgileri sağlar. Burada bilgilere sahip olmanız, Log Analytics için gezinti yapmanız gerekmediği anlamına gelir. Öngörüler oturum açma bilgileri, grup eklemeleri, anormal olaylar ve daha fazlası ile ilgili verileri ve anormal davranışları algılamak için gelişmiş ML algoritmalarını içerir.

Öngörüler aşağıdaki veri kaynaklarını temel alınarak örün:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Azure AD)
  • SigninLogs (Azure AD)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Azure Sentinel UEBA)
  • Sinyal (Azure İzleyici Aracısı)
  • CommonSecurityLog (Azure Sentinel)
  • ThreatIntelligenceIndicators (Azure Sentinel)

Varlık sayfalarını kullanma

Varlık sayfaları birden çok kullanım senaryosunun parçası olacak şekilde tasarlanmıştır ve olay yönetiminden, araştırma grafiğinden, yer işaretlerinden veya Azure Sentinel ana menüsündeki Varlık davranışı analizi altındaki varlık arama sayfasından erişilebilir.

Varlık sayfası kullanım örnekleri

Varlık sayfası bilgileri, Azure Sentinel UEBAzenginleştirmeleri başvurusunda ayrıntılı olarak açıklanan BehaviorAnalytics tablosunda depolanır.

Davranış analizi verilerini sorgulama

KQL kullanarakDavranış Analizi Tablosu'nı sorgulayabilirsiniz.

Örneğin, kullanıcının belirli bir ülkede ilk kez bağlantı kurma girişimi olduğu bir Azure kaynağında oturum açması başarısız olan bir kullanıcının tüm durumlarını bulmak ve bu ülkenin bağlantıları kullanıcının eşleri için bile çok nadirdir, aşağıdaki sorguyu kullanabiliriz:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where FirstTimeUserConnectedFromCountry == True
| where CountryUncommonlyConnectedFromAmongPeers == True

Kullanıcı eşleri meta verileri - tablo ve not defteri

Kullanıcı eşleri meta verileri tehdit algılamalarında, bir olayı araştırmada ve olası bir tehdidin avlanmasında önemli bağlam sağlar. Güvenlik analistleri, kullanıcının etkinliklerinin kendi eşleriyle karşılaştırıldığında olağan dışı olup olmadığını tespit etmek üzere kullanıcının eşlerinin normal etkinliklerini gözlemleyebilirsiniz.

Azure Sentinel, kullanıcının Azure AD güvenlik grubu üyeliğine, posta listesine, et cetera 'ya bağlı olarak bir kullanıcının eşlerini hesaplar ve sıralar ve derecelendirilen 1-20 eşlerini Userpeeranalytics tablosuna depolar. Aşağıdaki ekran görüntüsünde, UserPeerAnalytics tablosunun şeması gösterilmektedir ve Kullanıcı kendinin en üst sekiz dereceli eşlerini görüntüler. Azure Sentinel, dereceyi hesaplamak için ağırlığı normalleştirmek üzere Sıklık-ters belge sıklığı (TF-IDF) algoritmasını kullanır: grubun daha küçük olması, ağırlığa göre daha yükseği.

Kullanıcı eşleri Meta veri tablosu ekran görüntüsü

Kullanıcı eşi meta verilerini görselleştirmek için Azure Sentinel GitHub deposunda sunulan Jupyter Not defterini kullanabilirsiniz. Not defterini kullanma hakkında ayrıntılı yönergeler için bkz. Kılavuzlu analiz-Kullanıcı güvenliği meta verileri Not defteri.

İzin Analizi-tablo ve Not defteri

İzin analizi, bir saldırgan tarafından kurumsal bir varlığın güvenliğinin tehlikeye atması olasılığını belirlemesine yardımcı olur. Bu etki, varlığın "envanter" yarıçapını de bilinir. Güvenlik analistleri, bu bilgileri, araştırmalar ve olay işleme önceliklerini belirlemek için kullanabilir.

Azure Sentinel, kullanıcının doğrudan veya gruplar ya da hizmet sorumluları aracılığıyla erişebileceği Azure aboneliklerini değerlendirerek, belirli bir kullanıcı tarafından Azure kaynakları için tutulan doğrudan ve geçişli erişim haklarını belirler. Bu bilgilerin yanı sıra kullanıcının Azure AD güvenlik grubu üyeliğinin tam listesi, UserAccessAnalytics tablosunda depolanır. Aşağıdaki ekran görüntüsünde, UserAccessAnalytics tablosundaki bir örnek satır gösterilmektedir ve Kullanıcı Alex Johnson. Kaynak varlık Kullanıcı veya hizmet sorumlusu hesabıdır ve hedef varlık , kaynak varlığın erişimi olan kaynaktır. Erişim düzeyi ve erişim türü değerleri, hedef varlığın erişim denetimi modeline bağlıdır. Alex'in Contoso Hotels Kiracısı Azure aboneliğine Katkıda Bulunan erişimine sahip olduğunu görüyorsunuz. Aboneliğin erişim denetimi modeli Azure RBAC'dir.

Kullanıcı erişimi analiz tablosu ekranlı

İzin analizi verilerini görselleştirmek için GitHub deposundaki Jupyter not defterini (yukarıda bahsedilen not defterinin aynısı) Azure Sentinel kullanabilirsiniz. Not defterini kullanma hakkında ayrıntılı yönergeler için Destekli Analiz - Kullanıcı Güvenlik Meta Verileri not defterine bakın.

Avlanma sorguları ve araştırma sorguları

Azure Sentinel, BehaviorAnalytics tablosuna dayanan bir dizi avlanma sorgusu, keşif sorgusu ve Kullanıcı ve Varlık Davranışı Analizi çalışma kitabı sağlar. Bu araçlar, anormal davranışları gösteren belirli kullanım örneklerine odaklanan zenginleştirilmiş veriler sunar.

Daha fazla bilgi için bkz.

Eski savunma araçları eski hale geldiça, kuruluşlar o kadar büyük ve muazzam bir dijital varlıklara sahip olabilir ki, riskle ilgili kapsamlı bir resim elde etmek ve ortamlarının karşı karşıya olduğu duruş için yönetimsiz hale gelir. Analiz ve kurallar gibi reaktif çalışmalara yoğun bir şekilde güvenmek, kötü aktörlerin bu çabalardan nasıl kaçınarak kurtularak bunu öğrenmesine olanak sağlar. Burada UEBA, neler olduğunu anlamaları için risk puanlama yöntemleri ve algoritmalar sağlayarak devreye gelir.

Sonraki adımlar

Bu belgede, Azure Sentinel davranış analizi özellikleri hakkında bilgi edinebilirsiniz. Uygulamayla ilgili pratik rehberlik ve elde edinilen içgörüleri kullanmak için aşağıdaki makalelere bakın:

Daha fazla bilgi için bkz. Azure Sentinel UEBA zenginleştirmeleri başvurusu.