Öğretici: UEBA verileri ile olayları araştırın

  • Makale
  • Okumak için 6 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Bu makalede, düzenli araştırma iş akışlarınızda Kullanıcı varlık davranışı analizlerini (UEBA) kullanmaya yönelik genel yöntemler ve örnek yordamlar açıklanmaktadır.

Önemli

Bu makaledeki belirtilen özellikler Şu anda önizlemededir. beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.

Not

Bu öğretici, bir üst müşteri görevi için senaryo tabanlı yordamlar sağlar: UEBA verileriyle araştırma. Daha fazla bilgi için bkz. Microsoft Sentinel ile olayları araştırma.

Önkoşullar

Araştırmalarınızın içinde UEBA verilerini kullanabilmeniz için, Microsoft Sentinel 'de Kullanıcı ve varlık davranış analizlerini (ueba) etkinleştirmenizgerekir.

UEBA 'yi etkinleştirdikten sonra bir hafta boyunca makine tarafından desteklenen öngörüleri aramaya başlayın.

Varlık verilerinde proaktif ve rutin aramalar çalıştırın

Daha fazla araştırma için müşteri adayları oluşturmak üzere Kullanıcı etkinliği aracılığıyla normal, öngörülü aramalar yapmanızı öneririz.

Verilerinizi sorgulamak için Microsoft Sentinel Kullanıcı ve varlık davranış analizi çalışma kitabını kullanabilirsiniz; örneğin:

  • En iyi riskli kullanıcılar, bozukluklar veya ekli olaylar
  • Belirli kullanıcılar üzerindeki veriler, konunun gerçekten tehlikede olup olmadığını veya kullanıcının profilinden kaynaklanan eylem nedeniyle bir Insider tehdidi olup olmadığını belirlemektir.

Ayrıca, bu işlem dışı eylemleri UEBA çalışma kitabında yakalayın ve anormal etkinlikler ve potansiyel olmayan uygulamalar bulmak için bunları kullanın.

Anormal oturum açma araştır

Örneğin, aşağıdaki adımlar, daha önce hiç kullanmayacağı bir VPN 'ye bağlanan bir kullanıcının araştırılmasını izler, bu da anormal bir etkinliktir.

  1. Sentinel çalışma kitapları alanında Kullanıcı ve varlık davranışı Analizi çalışma kitabını arayıp açın.

  2. Tabloları araştırmak için üst kullanıcıların adlarını araştırmak ve seçmek üzere belirli bir Kullanıcı adı arayın.

  3. Seçili kullanıcıyla ilişkili olayları ve anormallikleri görüntülemek için olay dökümü ve anomali döküm tablolarında aşağı doğru ilerleyin.

  4. Anomali 'de, bir arada başarılı oturum açma adı gibi, araştırmak için tabloda gösterilen ayrıntıları gözden geçirin. Örnek:

    Adım Description
    Sağ taraftaki açıklamaya göz önünde Her anomali, Mitre ATT&CK Bilgi Bankası'nda daha fazla bilgi edinmek için bir bağlantıya sahip bir açıklama içerir.
    Örnek:

    İlk erişim _
    _the duyurusu, ağınıza ulaşmaya çalışıyor. *
    ilk erişim, bir ağ içinde ilk ve daha eskisini kazanmak için çeşitli giriş vektörlerini kullanan tekniklerin oluşur. Bir kanthold sağlamak için kullanılan teknikler, hedefe yönelik kimlik avı ve genel kullanıma yönelik Web sunucularında zayıflığı içerir. İlk erişim aracılığıyla kazanılan ıthold 'ler, geçerli hesap ve dış uzak hizmetlerin kullanımı gibi devam eden erişime izin verebilir veya parola değiştirme nedeniyle sınırlı bir kullanım olabilir. *
    Açıklama sütunundaki metni aklınızda Anomali satırında, daha fazla açıklama görüntülemek için sağa kaydırın. Tam metni görüntülemek için bağlantıyı seçin. Örnek:

    Duyuru işlemleri, kimlik bilgileri erişim tekniklerini kullanarak belirli bir kullanıcı veya hizmet hesabının kimlik bilgilerini çalabilir veya Ilk erişim elde etmek amacıyla sosyal mühendisler aracılığıyla keşif sürecinde kimlik bilgilerini yakalayabilir. Örneğin, APT33, ilk erişim için geçerli hesapları kullandı. Aşağıdaki sorgu, bir kullanıcı tarafından daha önce hiç bağlanmadığı yeni bir coğrafi konumdan bir kullanıcı tarafından gerçekleştirilen başarılı oturum açma işleminin bir çıkışını oluşturur ve eşlerinden hiçbiri de yoktur.
    Kullanıcısınsıghts verilerine göz önünde Hesap görünen adı ve hesap nesne KIMLIĞI gibi Kullanıcı Insight verilerini görüntülemek için anomali satırında daha sağa kaydırın. Sağdaki tüm verileri görüntülemek için metni seçin.
    Kanıt verilerine göz önünde Anomali satırında daha sağa kaydırarak anomali için kanıt verilerini görüntüleyin. Sağ tarafta bulunan ve aşağıdaki alanlar gibi tüm verileri görüntülemek için metni seçin:

    - ActionUncommonlyPerformedByUser
    - UncommonHighVolumeOfActions
    - FirstTimeUserConnectedFromCountry
    - CountryUncommonlyConnectedFromAmongPeers
    - Firsttimeuserconnectedviaiss
    - Ipuncommonlyusedadmongpeers
    - CountryUncommonlyConnectedFromInTenant
    - Ipuncommonlyusedintenant

Kullanıcı etkinliğinin şüpheli olup olmadığını ve daha fazla işlem gerektirip gerektirmediğini öğrenmek için Kullanıcı ve varlık davranışı Analizi çalışma kitabında bulunan verileri kullanın.

Hatalı pozitifleri çözümlemek için UEBA verilerini kullanma

Bazen, bir araştırmada yakalanan bir olay hatalı pozitif bir değer olabilir.

Aynı saat içinde hem New York hem de Londra 'dan bir uygulama veya portalda oturum açan bir kullanıcı gibi, yanlış pozitif bir pozitif örnek, mümkün olmayan seyahat etkinliğinin algılanmasından oluşur. Microsoft Sentinel, mümkün olmayan bir yolculuğu bir anomali olarak araştırırken, kullanıcıyla ilgili bir araştırma, kullanıcının gerçekten olduğu yerde bir alternatif konum ile bir VPN kullanıldığını açıklığa kavuşturmayı açığa çıkabilir.

Yanlış bir pozitif çözümleme

Örneğin, imkansız bir seyahat olayı için, bir VPN 'nin kullanıldığını doğruladıktan sonra olaydan Kullanıcı varlığı sayfasına gidin. Yakalanan konumların kullanıcının yaygın olarak bilinen konumlarına dahil edilip edilmediğini öğrenmek için görüntülenen verileri kullanın.

Örnek:

Bir olayın Kullanıcı varlığı sayfasını açın.

Kullanıcı varlığı sayfası da olay sayfasından ve araştırma grafiğindenbağlanır.

İpucu

Olayla ilişkili belirli bir kullanıcı için Kullanıcı varlık sayfasındaki verileri onayladıktan sonra, kullanıcının eşlerinin genellikle aynı konumlardan da bağlanıp bağlanmadığını anlamak için Microsoft Sentinel arama alanına gidin. Bu durumda, bu bilgi, yanlış pozitif bir daha bile daha güçlü bir durum yapar.

Hunme alanında anormal coğrafi konum oturum açma sorgusunu çalıştırın. Daha fazla bilgi için bkz. Microsoft Sentinel ile tehditler Için Hunt.

Identityınfo verilerini analiz kurallarınızın içine ekleyin (Genel Önizleme)

Saldırganlar genellikle kuruluşun kendi Kullanıcı ve hizmet hesaplarını kullanırken, Kullanıcı kimliği ve ayrıcalıkları dahil bu kullanıcı hesaplarıyla ilgili veriler, analist için bir araştırma sürecinde çok önemlidir.

Analiz kurallarınızı, kullanım örneklerine uyacak, hatalı pozitif sonuçları azaltmaya ve büyük olasılıkla araştırma sürecinizi hızlandırmaya yönelik olarak ayarlamak için ıdentityınfo tablosundan veri ekleyin.

Örnek:

  • BT departmanı dışındaki birisi tarafından bir sunucuya erişildiğinde tetiklenen bir uyarı Içindeki ıdentityınfo tablosuyla güvenlik olaylarını ilişkilendirmek için:

    SecurityEvent
| where EventID in ("4624","4672")
| where Computer == "My.High.Value.Asset"
| join kind=inner  (
    IdentityInfo
    | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.SubjectUserSid == $right.AccountSID
| where Department != "IT"

  • Bir uygulamaya belirli bir güvenlik grubunun üyesi olmayan birisi tarafından erişildiğinde tetiklenen bir uyarı içindeki ıdentityınfo TABLOSUYLA Azure AD oturum açma günlüklerini ilişkilendirmek için:

    SigninLogs
| where AppDisplayName == "GithHub.Com"
| join kind=inner  (
    IdentityInfo
    | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.UserId == $right.AccountObjectId
| where GroupMembership !contains "Developers"

Identityınfo tablosu, Kullanıcı meta verileri, Grup bilgileri ve her kullanıcıya atanan Azure AD rolleri gibi Kullanıcı profili verilerinizin bir anlık görüntüsünü oluşturmak IÇIN Azure AD çalışma alanınız ile eşitlenir. Daha fazla bilgi için bkz. ueba zenginleştirmeleri başvurusunda ıdentityınfo tablosu .

Parola spreyi ve zıpkınla kimlik avı girişimlerini tanımla

Multi-Factor Authentication (MFA) etkin olmadan, Kullanıcı kimlik bilgileri, parola spreyi veya zıpkınla kimlik avlama denemelerinde saldırıları tehlikeye atan saldırganlar tarafından savunmasızdır.

UEBA içgörüleri ile bir parola püskürtme olayı araştırın

Örneğin, UEBA içgörüleri ile bir parola ilaç olayını araştırmak için, daha fazla bilgi edinmek için aşağıdakileri yapabilirsiniz:

  1. Olayda, sol alt taraftaki hesapları, makineleri ve bir saldırıya karşı hedeflenmiş olabilecek diğer veri noktalarını görüntülemek için Araştır ' ı seçin.

    Verilere göz atarak, görece çok sayıda oturum açma hatalarıyla bir yönetici hesabı görebilirsiniz. Bu şüpheli olsa da, hesabı daha fazla onay olmadan kısıtlamak istemeyebilirsiniz.

  2. haritadaki yönetici kullanıcı varlığını seçin ve ardından sağ tarafta Analizler ' yi seçerek, zaman içinde oturum açma işlemleri gibi daha fazla ayrıntı bulun.

  3. Sağ tarafta bilgi ' yi seçin ve daha fazla ayrıntıya geçmek için Kullanıcı varlığı sayfasına gitmek üzere tüm ayrıntıları görüntüle ' yi seçin.

    Örneğin, bu kullanıcının ilk olası parola püskürtme olayı olup olmadığını ve hataların anormal olup olmadığını anlamak için kullanıcının oturum açma geçmişini izleyin.

İpucu

Ayrıca, bir kuruluşun tüm anormal oturum açma işlemlerini izlemek için anormal oturum açma başarısız oturum açma sorgusunu da çalıştırabilirsiniz. Olası parola spreyi saldırılarına karşı araştırmalar başlatmak için sorgudaki sonuçları kullanın.

URL kaldırma (Genel Önizleme)

Microsoft Sentinel 'e alınan günlüklerde URL 'Ler olduğunda, bu URL 'Ler önceliklendirme işleminin hızlandırılmasına yardımcı olmak üzere otomatik olarak kaldırılır.

Araştırma grafiğinde, önceden oluşturulmamış URL için bir düğüm ve aşağıdaki ayrıntılar yer alır:

  • Detoülke Verdict. Üst düzey, mantıksal belirleme, Detonation. Örneğin, kötü , tarafın kötü amaçlı yazılımı veya kimlik avı içeriğini barındırıldığı anlamına gelir.
  • Detoülke Sonlandırıcı URL 'si. Özgün URL 'den tüm yeniden yönlendirmelerin ardından son, gözlemlenen giriş sayfası URL 'SI.
  • Detoülke ekran görüntüsü. Uyarının tetiklendiği sırada sayfanın nasıl göründüğünü gösteren ekran görüntüsü. Büyütmek istediğiniz ekran görüntüsünü seçin.

Örnek:

Araştırma grafiğinde gösterilen örnek URL.

İpucu

Günlüklerinizin URL 'Lerini görmüyorsanız, güvenli Web ağ geçitleri, Web proxy 'leri, güvenlik duvarları veya eski KIMLIKLER/IP 'ler için tehdit günlüğü olarak da bilinen URL günlüğü 'nün etkin olup olmadığını denetleyin.

Ayrıca, daha fazla araştırma için Microsoft Sentinel 'e özgü ilgi çekici URL 'Lere yönelik özel Günlükler de oluşturabilirsiniz.

Sonraki adımlar

UEBA, araştırmalar ve arama hakkında daha fazla bilgi edinin: