Partilhar via


Deteção avançada de ameaças com a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Identificar ameaças dentro de sua organização e seu impacto potencial, seja uma entidade comprometida ou um insider mal-intencionado, sempre foi um processo demorado e trabalhoso. Peneirar alertas, conectar os pontos e caçar ativamente somam enormes quantidades de tempo e esforço despendidos com retornos mínimos, e a possibilidade de ameaças sofisticadas simplesmente escapando da descoberta. Ameaças particularmente evasivas, como ameaças persistentes de dia zero, direcionadas e avançadas, podem ser as mais perigosas para sua organização, tornando sua deteção ainda mais crítica.

O recurso UEBA no Microsoft Sentinel elimina o trabalho pesado das cargas de trabalho de seus analistas e a incerteza de seus esforços, e oferece inteligência acionável de alta fidelidade, para que eles possam se concentrar na investigação e na remediação.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Todos os benefícios da UEBA estão disponíveis no portal Microsoft Defender.

O que é User and Entity Behavior Analytics (UEBA)?

À medida que o Microsoft Sentinel coleta logs e alertas de todas as suas fontes de dados conectadas, ele os analisa e cria perfis comportamentais de linha de base das entidades da sua organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte do grupo de pares. Usando uma variedade de técnicas e recursos de aprendizado de máquina, o Microsoft Sentinel pode identificar atividades anômalas e ajudá-lo a determinar se um ativo foi comprometido. Não só isso, mas também pode descobrir a sensibilidade relativa de ativos específicos, identificar grupos pares de ativos e avaliar o impacto potencial de qualquer ativo comprometido (seu "raio de explosão"). Armado com essas informações, você pode efetivamente priorizar sua investigação e tratamento de incidentes.

Arquitetura analítica da UEBA

Arquitetura de análise de comportamento de entidade

Análise orientada para a segurança

Inspirado pelo paradigma do Gartner para soluções UEBA, o Microsoft Sentinel oferece uma abordagem "de fora para dentro", baseada em três quadros de referência:

  • Casos de uso: Priorizando vetores e cenários de ataque relevantes com base em pesquisas de segurança alinhadas com a estrutura MITRE ATT&CK de táticas, técnicas e subtécnicas que colocam várias entidades como vítimas, perpetradores ou pontos de pivô na cadeia de matança; O Microsoft Sentinel se concentra especificamente nos logs mais valiosos que cada fonte de dados pode fornecer.

  • Fontes de dados: Embora ofereça suporte principalmente a fontes de dados do Azure, o Microsoft Sentinel seleciona cuidadosamente fontes de dados de terceiros para fornecer dados que correspondam aos nossos cenários de ameaça.

  • Análise : Usando vários algoritmos de aprendizado de máquina (ML), o Microsoft Sentinel identifica atividades anômalas e apresenta evidências de forma clara e concisa na forma de enriquecimentos contextuais, alguns exemplos dos quais aparecem abaixo.

    Abordagem de análise de comportamento de fora para dentro

O Microsoft Sentinel apresenta artefatos que ajudam seus analistas de segurança a obter uma compreensão clara das atividades anômalas no contexto e em comparação com o perfil de linha de base do usuário. As ações executadas por um usuário (ou um host, ou um endereço) são avaliadas contextualmente, onde um resultado "verdadeiro" indica uma anomalia identificada:

  • em localizações geográficas, dispositivos e ambientes.
  • através de horizontes temporais e de frequência (em comparação com o histórico do próprio utilizador).
  • em comparação com o comportamento dos pares.
  • em comparação com o comportamento da organização. Contexto da entidade

As informações da entidade do usuário que o Microsoft Sentinel usa para criar seus perfis de usuário vêm da sua ID do Microsoft Entra (e/ou do Ative Directory local, agora em Visualização). Quando você habilita o UEBA, ele sincroniza sua ID do Microsoft Entra com o Microsoft Sentinel, armazenando as informações em um banco de dados interno visível através da tabela IdentityInfo .

  • No Microsoft Sentinel no portal do Azure, você consulta a tabela IdentityInfo no Log Analytics na página Logs .
  • No portal do Defender, você consulta esta tabela em Caça avançada.

Agora, na visualização, você também pode sincronizar suas informações de entidade de usuário do Ative Directory local, usando o Microsoft Defender for Identity.

Consulte Habilitar a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel para saber como habilitar o UEBA e sincronizar identidades de usuário.

Classificação

Cada atividade é pontuada com "Pontuação de Prioridade de Investigação" – que determina a probabilidade de um usuário específico realizar uma atividade específica, com base na aprendizagem comportamental do usuário e de seus pares. As atividades identificadas como as mais anormais recebem as pontuações mais elevadas (numa escala de 0 a 10).

Veja como a análise de comportamento é usada no Microsoft Defender for Cloud Apps para obter um exemplo de como isso funciona.

Saiba mais sobre entidades no Microsoft Sentinel e consulte a lista completa de entidades e identificadores suportados.

Páginas de entidades

Informações sobre páginas de entidade agora podem ser encontradas em Páginas de entidade no Microsoft Sentinel.

Consultando dados de análise de comportamento

Usando o KQL, podemos consultar a tabela BehaviorAnalytics .

Por exemplo, se quisermos encontrar todos os casos de um usuário que não conseguiu entrar em um recurso do Azure, onde foi a primeira tentativa do usuário de se conectar de um determinado país/região, e as conexões desse país/região são incomuns mesmo para os pares do usuário, podemos usar a seguinte consulta:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
  • No Microsoft Sentinel no portal do Azure, você consulta a tabela BehaviorAnalytics no Log Analytics na página Logs .
  • No portal do Defender, você consulta esta tabela em Caça avançada.

Metadados de pares de usuários - tabela e bloco de anotações

Os metadados dos pares de utilizadores fornecem um contexto importante na deteção de ameaças, na investigação de um incidente e na procura de uma ameaça potencial. Os analistas de segurança podem observar as atividades normais dos colegas de um usuário para determinar se as atividades do usuário são incomuns em comparação com as de seus pares.

O Microsoft Sentinel calcula e classifica os pares de um usuário, com base na associação do grupo de segurança Microsoft Entra do usuário, na lista de endereçamento, etc., e armazena os pares classificados de 1 a 20 na tabela UserPeerAnalytics . A captura de tela abaixo mostra o esquema da tabela UserPeerAnalytics e exibe os oito melhores pares classificados do usuário Kendall Collins. O Microsoft Sentinel usa o termo algoritmo de frequência de documento inversa (TF-IDF) para normalizar a pesagem para calcular a classificação: quanto menor o grupo, maior o peso.

Captura de ecrã da tabela de metadados de pares de utilizadores

Você pode usar o bloco de anotações Jupyter fornecido no repositório GitHub do Microsoft Sentinel para visualizar os metadados de pares de usuário. Para obter instruções detalhadas sobre como usar o bloco de anotações, consulte o bloco de anotações Análise guiada - Metadados de segurança do usuário.

Nota

A tabela UserAccessAnalytics foi preterida.

Consultas de caça e consultas de exploração

O Microsoft Sentinel fornece pronto para uso um conjunto de consultas de caça, consultas de exploração e a pasta de trabalho do User and Entity Behavior Analytics , que se baseia na tabela BehaviorAnalytics . Essas ferramentas apresentam dados enriquecidos, focados em casos de uso específicos, que indicam comportamento anômalo.

Para obter mais informações, consulte:

À medida que as ferramentas de defesa legadas se tornam obsoletas, as organizações podem ter um patrimônio digital tão vasto e poroso que se torna incontrolável obter uma imagem abrangente do risco e da postura que seu ambiente pode estar enfrentando. Depender fortemente de esforços reativos, como análises e regras, permite que os agentes mal-intencionados aprendam a escapar desses esforços. É aqui que a UEBA entra em jogo, fornecendo metodologias de pontuação de risco e algoritmos para descobrir o que realmente está acontecendo.

Próximos passos

Neste documento, você aprendeu sobre os recursos de análise de comportamento de entidade do Microsoft Sentinel. Para obter orientações práticas sobre implementação e para usar os insights obtidos, consulte os seguintes artigos:

Para obter mais informações, consulte também a referência do Microsoft Sentinel UEBA.