Microsoft Sentinel 中的進階威脅偵測與使用者和實體行為分析 (UEBA)
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
識別組織內部的威脅及其潛在影響,無論是遭入侵的實體還是惡意內部人員,一直是耗時且耗用大量人力的程式。 篩選警示、連接點和主動搜捕,都會加總以最少的傳回花費大量時間和精力,以及複雜的威脅可能只是逃避探索。 特別是難以捉摸的威脅,例如零時差、針對性和進階持續性威脅,對貴組織而言是最危險的,使得其偵測變得更重要。
Microsoft Sentinel 中的 UEBA 功能可消除分析師工作負載的繁雜,以及其工作的不確定性,並提供高逼真度、可採取動作的情報,讓他們可以專注於調查和補救。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
UEBA 的所有優點都可在 Microsoft Defender 入口網站的統一安全性作業平臺中取得。
什麼是用戶和實體行為分析 (UEBA)?
當 Microsoft Sentinel 從其所有連線的數據源收集記錄和警示時,它會分析這些記錄和警示,並跨時間與對等群組範圍建立貴組織實體的基準行為配置檔(例如使用者、主機、IP 位址和應用程式)。 Microsoft Sentinel 接著可以使用各種技術和機器學習功能來識別異常活動,並協助您判斷資產是否已遭入侵。 不僅如此,還可以找出特定資產的相對敏感度、識別資產的對等群組,並評估任何給定遭入侵資產的潛在影響 (其「影響半徑」)。 有了此資訊,您就可以有效地設定調查和事件處理的優先順序。
UEBA 分析架構
安全性導向分析
Microsoft Sentinel 受到 UEBA 解決方案的範例啟發,根據三個參考框架,提供「外部」方法:
使用案例: 根據符合 MITRE ATT&CK 策略、技術和子技術的 MITRE ATT&CK 架構,將各種實體作為受害者、肇事者或殺人鏈中樞紐點的相關攻擊媒介和案例進行優先順序:Microsoft Sentinel 特別著重於每個數據源所能提供的最有價值的記錄。
資料來源:雖然最重要的是支援 Azure 資料來源,但是 Microsoft Sentinel 會體貼地選取協力廠商資料來源,以提供符合我們威脅案例的資料。
分析: 使用各種機器學習 (ML) 演算法,Microsoft Sentinel 會識別異常活動,並以內容豐富的形式清楚且簡潔地呈現證據,其中一些範例如下所示。
Microsoft Sentinel 提供的成品可協助您的安全性分析師清楚了解內容中的異常活動,以及與使用者的基準設定檔比較。 使用者 (或主機或位址) 所執行的動作會經過內容評估,其中的 "true" 結果會指出已識別的異常:
- 跨地理位置、裝置和環境。
- 跨時間和頻率層級 (相較於使用者自己的歷程記錄)。
- 相較於對等的行為。
- 相較於組織的行為。
Microsoft Sentinel 用來建置其使用者配置檔的使用者實體資訊來自您的 Microsoft Entra ID(以及/或您的 內部部署的 Active Directory,現在為預覽版)。 當您啟用 UEBA 時,它會將您的 Microsoft Entra 識別碼與 Microsoft Sentinel 同步處理,並將資訊儲存在透過 IdentityInfo 數據表可見的內部資料庫中。
- 在 Azure 入口網站 的 Microsoft Sentinel 中,您可以在 [記錄] 頁面上查詢 Log Analytics 中的 IdentityInfo 數據表。
- 在 Microsoft Defender 的統一安全性作業平臺中,您會在進階搜捕中查詢此數據表。
現在處於預覽狀態,您也可以使用 適用於身分識別的 Microsoft Defender 同步處理 內部部署的 Active Directory 用戶實體資訊。
請參閱 在 Microsoft Sentinel 中啟用使用者和實體行為分析 (UEBA),以瞭解如何啟用 UEBA 並同步處理使用者身分識別。
評分
每個活動都會以「調查優先順序分數」進行評分,根據使用者及其對等的行為學習,決定特定使用者執行特定活動的機率。 被識別為最異常的活動會獲得最高的分數 (0-10 的分數)。
如需運作方式的範例,請參閱 適用於雲端的 Microsoft Defender Apps 中的行為分析。
深入瞭解 Microsoft Sentinel 中的實體,並查看支援實體和標識碼的完整清單。
實體頁面
您現在可以在 Microsoft Sentinel 中的實體頁面找到實體頁面的相關信息。
查詢行為分析數據
使用 KQL,我們可以查詢 BehaviorAnalytics 數據表。
例如– 如果我們想要尋找無法登入 Azure 資源之使用者的所有案例,也就是使用者第一次嘗試從指定國家/地區連線,而且即使使用者的對等使用者,來自該國家/地區的連線也並不常見,我們可以使用下列查詢:
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
- 在 Azure 入口網站 的 Microsoft Sentinel 中,您可以在 [記錄] 頁面上查詢 Log Analytics 中的 BehaviorAnalytics數據表。
- 在 Microsoft Defender 的統一安全性作業平臺中,您會在進階搜捕中查詢此數據表。
使用者對等元數據 - 數據表和筆記本
使用者對等的元數據提供威脅偵測、調查事件,以及搜捕潛在威脅的重要內容。 安全性分析師可以觀察使用者對等的正常活動,以判斷用戶的活動是否與他或她的同儕相比異常。
Microsoft Sentinel 會根據使用者的 Microsoft Entra 安全組成員資格、郵件清單等 cetera 來計算並排名使用者的對等,並將對等排名為 1-20 的對等儲存在 UserPeerAnalytics 數據表中。 下列螢幕快照顯示UserPeerAnalytics數據表的架構,並顯示使用者Kendall Collins的前八名對等。 Microsoft Sentinel 會使用 frequency-inverse 文件頻率 (TF-IDF) 演算法,將重量正規化以計算排名:群組越小,權數越高。
您可以使用 Microsoft Sentinel GitHub 存放庫中提供的 Jupyter Notebook ,將使用者對等元數據可視化。 如需如何使用筆記本的詳細指示,請參閱 引導式分析 - 使用者安全性元數據 筆記本。
注意
UserAccessAnalytics 數據表已被取代。
搜捕查詢和探索查詢
Microsoft Sentinel 提供一組現成的搜捕查詢、探索查詢,以及以 BehaviorAnalytics 數據表為基礎的使用者和實體行為分析活頁簿。 這些工具呈現豐富數據,著重於特定使用案例,指出異常行為。
如需詳細資訊,請參閱
隨著舊版防禦工具的過時,組織可能會有如此龐大且多孔的數字資產,因此無法全面瞭解其環境可能面臨的風險和態勢。 嚴重依賴反應式努力,例如分析和規則,可讓不良執行者瞭解如何逃避這些努力。 這是 UEBA 要發揮的地方,提供風險評分方法和演算法來找出實際發生的情況。
下一步
在本檔中,您已瞭解 Microsoft Sentinel 的實體行為分析功能。 如需實作的實際指引,以及使用您取得的深入解析,請參閱下列文章:
如需詳細資訊,另請參閱 Microsoft Sentinel UEBA 參考。