Geavanceerde detectie van bedreigingen met UEBA (User and Entity Behavior Analytics) in Microsoft Sentinel

Artikel
04/05/2024
Van toepassing op:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Het identificeren van bedreigingen binnen uw organisatie en hun potentiële impact, ongeacht of een aangetaste entiteit of een kwaadwillende insider, altijd een tijdrovend en arbeidsintensief proces is geweest. Door waarschuwingen te bladeren, de puntjes te verbinden en actieve opsporing toe te voegen, worden er enorme hoeveelheden tijd en moeite opgestoken met minimale retournaties en de mogelijkheid van geavanceerde bedreigingen om de detectie te omzeilen. Met name ongrijpbare bedreigingen, zoals zero-day, targeted en geavanceerde permanente bedreigingen, kunnen het gevaarlijkst zijn voor uw organisatie, waardoor hun detectie steeds belangrijker wordt.

De UEBA-functie in Microsoft Sentinel elimineert de drudgery van de workloads van uw analisten en de onzekerheid van hun inspanningen en levert hoogwaardige, bruikbare intelligentie, zodat ze zich kunnen concentreren op onderzoek en herstel.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Alle voordelen van UEBA zijn beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal.

Wat is UEBA (User and Entity Behavior Analytics)?

Omdat Microsoft Sentinel logboeken en waarschuwingen verzamelt van alle verbonden gegevensbronnen, analyseert microsoft deze en bouwt het basislijngedragsprofielen van de entiteiten van uw organisatie (zoals gebruikers, hosts, IP-adressen en toepassingen) in de tijd en de horizon van de peergroep. Met behulp van verschillende technieken en machine learning-mogelijkheden kan Microsoft Sentinel vervolgens afwijkende activiteiten identificeren en u helpen bepalen of een asset is aangetast. Niet alleen dat, maar het kan ook de relatieve gevoeligheid van bepaalde activa bepalen, peergroepen van assets identificeren en de mogelijke impact van een bepaalde gecompromitteerde asset evalueren (de 'straal van de blast'). Gewapend met deze informatie kunt u effectief prioriteit geven aan uw onderzoek en incidentafhandeling.

UEBA-analysearchitectuur

Architectuur voor analyse van entiteitsgedrag

Beveiligingsgestuurde analyses

Microsoft Sentinel is geïnspireerd op het paradigma van Gartner voor UEBA-oplossingen en biedt een 'buiten-in'-benadering op basis van drie referentieframes:

Use cases: Door prioriteit te geven aan relevante aanvalsvectoren en scenario's op basis van beveiligingsonderzoek dat is afgestemd op het MITRE ATT&CK-framework van tactieken, technieken en subtechnieken die verschillende entiteiten als slachtoffers, daders of draaipunten in de kill chain plaatsen; Microsoft Sentinel richt zich specifiek op de meest waardevolle logboeken die elke gegevensbron kan bieden.
Gegevensbronnen: Microsoft Sentinel selecteert zorgvuldig gegevensbronnen van derden om gegevensbronnen te leveren die overeenkomen met onze bedreigingsscenario's.
Analyse: Met behulp van verschillende ML-algoritmen (Machine Learning) identificeert Microsoft Sentinel afwijkende activiteiten en presenteert het bewijs duidelijk en beknopt in de vorm van contextuele verrijkingen, waarvan enkele voorbeelden hieronder worden weergegeven.

Microsoft Sentinel presenteert artefacten die uw beveiligingsanalisten helpen een duidelijk inzicht te krijgen in afwijkende activiteiten in context en in vergelijking met het basislijnprofiel van de gebruiker. Acties die door een gebruiker (of een host of een adres) worden uitgevoerd, worden contextueel geëvalueerd, waarbij een 'true'-resultaat een geïdentificeerde anomalie aangeeft:

over geografische locaties, apparaten en omgevingen.
over tijd- en frequentieperioden (vergeleken met de eigen geschiedenis van de gebruiker).
in vergelijking met het gedrag van peers.
in vergelijking met het gedrag van de organisatie.

De gebruikersentiteitsgegevens die Microsoft Sentinel gebruikt om de gebruikersprofielen te bouwen, zijn afkomstig van uw Microsoft Entra-id (en/of uw on-premises Active Directory, nu in preview). Wanneer u UEBA inschakelt, wordt uw Microsoft Entra-id gesynchroniseerd met Microsoft Sentinel, waarbij de gegevens in een interne database worden opgeslagen die zichtbaar is via de tabel IdentityInfo .

In Microsoft Sentinel in Azure Portal voert u een query uit op de tabel IdentityInfo in Log Analytics op de pagina Logboeken .
In het geïntegreerde platform voor beveiligingsbewerkingen in Microsoft Defender voert u een query uit op deze tabel in Geavanceerde opsporing.

Nu in preview kunt u ook uw on-premises Active Directory-gebruikersentiteitsgegevens synchroniseren met behulp van Microsoft Defender for Identity.

Zie UEBA (User and Entity Behavior Analytics) inSchakelen in Microsoft Sentinel voor meer informatie over het inschakelen van UEBA en het synchroniseren van gebruikersidentiteiten.

Scoren

Elke activiteit wordt gescoord met 'Onderzoekprioriteitsscore', die de waarschijnlijkheid bepalen van een specifieke gebruiker die een specifieke activiteit uitvoert, op basis van gedragsleer van de gebruiker en hun peers. Activiteiten geïdentificeerd als de meest abnormale ontvangst van de hoogste scores (op een schaal van 0-10).

Bekijk hoe gedragsanalyse wordt gebruikt in Microsoft Defender voor Cloud Apps voor een voorbeeld van hoe dit werkt.

Meer informatie over entiteiten in Microsoft Sentinel en bekijk de volledige lijst met ondersteunde entiteiten en id's.

Entiteitspagina's

Informatie over entiteitspagina's vindt u nu op entiteitspagina's in Microsoft Sentinel.

Query's uitvoeren op analysegegevens voor gedrag

Met behulp van KQL kunnen we een query uitvoeren op de tabel BehaviorAnalytics .

Als we bijvoorbeeld alle gevallen willen vinden van een gebruiker die zich niet kon aanmelden bij een Azure-resource, waarbij de gebruiker voor het eerst verbinding wilde maken vanuit een bepaald land/bepaalde regio en verbindingen vanuit dat land/die regio ongebruikelijk zijn, zelfs voor de peers van de gebruiker, kunnen we de volgende query gebruiken:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

In Microsoft Sentinel in Azure Portal voert u een query uit op de tabel BehaviorAnalytics in Log Analytics op de pagina Logboeken .
In het geïntegreerde platform voor beveiligingsbewerkingen in Microsoft Defender voert u een query uit op deze tabel in Geavanceerde opsporing.

Metagegevens van gebruikerspeeringen - tabel en notebook

Metagegevens van gebruikerspeeringen bieden belangrijke context in bedreigingsdetectie, bij het onderzoeken van een incident en bij het opsporen van een mogelijke bedreiging. Beveiligingsanalisten kunnen de normale activiteiten van de peers van een gebruiker observeren om te bepalen of de activiteiten van de gebruiker ongebruikelijk zijn in vergelijking met die van zijn of haar collega's.

Microsoft Sentinel berekent en rangschikt de peers van een gebruiker op basis van het Microsoft Entra-beveiligingsgroepslidmaatschap van de gebruiker, adressenlijst, enzovoort, en slaat de peers rang 1-20 op in de tabel UserPeerAnalytics . In de onderstaande schermopname ziet u het schema van de tabel UserPeerAnalytics en worden de acht beste peers van de gebruiker Kendall Collins weergegeven. Microsoft Sentinel gebruikt het algoritme term frequency-inverse document frequency (TF-IDF) om de weegschaal te normaliseren voor het berekenen van de rang: hoe kleiner de groep, hoe hoger het gewicht.

Schermafbeelding van de metagegevenstabel van gebruikerspeeringen

U kunt het Jupyter-notebook in de GitHub-opslagplaats van Microsoft Sentinel gebruiken om de metagegevens van gebruikerspeeringen te visualiseren. Zie het notebook Begeleide analyse - Metagegevens van gebruikersbeveiliging voor gedetailleerde instructies voor het gebruik van het notebook.

Notitie

De tabel UserAccessAnalytics is afgeschaft.

Opsporingsquery's en verkenningsquery's

Microsoft Sentinel biedt kant-en-klare een set opsporingsquery's, verkenningsquery's en de werkmap User and Entity Behavior Analytics , die is gebaseerd op de tabel BehaviorAnalytics . Deze hulpprogramma's bevatten verrijkte gegevens, gericht op specifieke use cases, die duiden op afwijkend gedrag.

Zie voor meer informatie:

Naarmate verouderde verdedigingshulpprogramma's verouderd raken, kunnen organisaties zo'n enorme en poreuze digitale activa hebben dat het onbeheerbaar wordt om een uitgebreid beeld te krijgen van het risico en de houding van hun omgeving. Door sterk te vertrouwen op reactieve inspanningen, zoals analyses en regels, kunnen slechte actoren leren hoe ze deze inspanningen kunnen omzeilen. Hier komt UEBA om te spelen, door methodologieën en algoritmen voor risicoscores te bieden om erachter te komen wat er echt gebeurt.

Volgende stappen

In dit document hebt u geleerd over de analysemogelijkheden van Microsoft Sentinel voor entiteitsgedrag. Zie de volgende artikelen voor praktische hulp bij de implementatie en om de inzichten te gebruiken die u hebt opgedaan:

Analyse van entiteitsgedrag inSchakelen in Microsoft Sentinel.
Bekijk de lijst met afwijkingen die zijn gedetecteerd door de UEBA-engine.
Incidenten onderzoeken met UEBA-gegevens.
Beveiligingsrisico's opsporen.

Zie ook de naslaginformatie over Microsoft Sentinel UEBA voor meer informatie.