在 Microsoft Sentinel 中啟用使用者和實體行為分析 (UEBA)
在上一個部署步驟中,您已啟用保護系統所需的 Microsoft Sentinel 安全性內容。 在本文中,您將瞭解如何啟用和使用 UEBA 功能來簡化分析程式。 本文是 Microsoft Sentinel 的部署指南的一部分。
當 Microsoft Sentinel 從其所有連接的資料來源收集記錄和警示時,就會加以分析,並跨時間和對等群組層級建立組織實體 (例如使用者、主機、IP 位址和應用程式) 的基準行為設定檔。 Microsoft Sentinel 接著可以使用各種技術和機器學習功能來識別異常活動,並協助您判斷資產是否已遭入侵。 深入瞭解 UEBA。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
若要啟用或停用此功能(不需要這些必要條件才能使用此功能):
您的用戶必須獲指派租使用者中的 Microsoft Entra ID Global 管理員 istrator 或 Security 管理員 istrator 角色。
您的用戶必須至少獲派下列 其中一個 Azure 角色 (深入瞭解 Azure RBAC):
- 工作區或資源群組層級的 Microsoft Sentinel 參與者 。
- 資源群組或訂用帳戶層級的Log Analytics 參與者 。
您的工作區不得套用任何 Azure 資源鎖定。 深入瞭解 Azure 資源鎖定。
注意
- 不需要任何特殊授權,即可將 UEBA 功能新增至 Microsoft Sentinel,而且使用它不需要額外費用。
- 不過,由於 UEBA 會產生新的數據,並將它儲存在 UEBA 在 Log Analytics 工作區中建立的新數據表中, 因此會收取額外的數據記憶體費用 。
如何啟用用戶和實體行為分析
- Azure 入口網站 中的 Microsoft Sentinel 使用者,請遵循 [Azure 入口網站] 索引標籤中的指示。
- Microsoft Sentinel 的使用者是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分,請遵循 [Defender 入口網站] 索引卷標的指示。
移至 [ 實體行為設定 ] 頁面。
使用這三種方式中的任何一種,即可進入 [實體行為 設定] 頁面:
從 Microsoft Sentinel 導覽功能表中選取 [實體行為 ],然後從頂端功能表欄選取 [ 實體行為設定 ]。
從 Microsoft Sentinel 導覽功能表中選取 [設定],選取 [設定] 索引卷標,然後在 [實體行為分析] 展開器底下,選取 [設定 UEBA]。
從 [Microsoft Defender 全面偵測回應 數據連接器] 頁面中,選取 [移至 UEBA 組態頁面] 連結。
在 [ 實體行為組態 ] 頁面上,將切換開關切換為 [開啟]。
標記您要同步處理用戶實體與 Microsoft Sentinel 之 Active Directory 來源類型旁的複選框。
- Active Directory 內部部署 (預覽)
- Microsoft Entra ID
若要從 內部部署的 Active Directory 同步用戶實體,您的 Azure 租使用者必須上線至 適用於身分識別的 Microsoft Defender(獨立或作為 Microsoft Defender 全面偵測回應 的一部分),而且您必須在 Active Directory 域控制器上安裝 MDI 感測器。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 必要條件。
標記您要啟用 UEBA 之數據源旁的複選框。
注意
在現有資料源清單下方,您會看到尚未連線的 UEBA 支援資料源清單。
啟用 UEBA 之後,當您連接新的數據源時,可以選擇在支援 UEBA 的情況下,直接從數據連接器窗格啟用 UEBA。
選取套用。 如果您透過 [實體行為 ] 頁面存取此頁面,則會傳回該頁面。
下一步
在本文中,您已瞭解如何在 Microsoft Sentinel 中啟用和設定使用者和實體行為分析 (UEBA)。 如需 UEBA 的詳細資訊: