Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
Microsoft Sentinel 中的用户和实体行为分析(UEBA)通过分析连接数据源的日志和警报,为组织内的实体构建基线行为模型,例如用户、主机、IP 地址和应用程序。 使用机器学习,UEBA 可识别可能指示已泄露资产的异常活动。
可以启用用户和实体行为分析:
- 在Microsoft Sentinel 工作区设置中:为工作区启用 UEBA,并选择在 Microsoft Defender 门户或 Azure 门户中连接的数据源。 本文介绍如何启用 UEBA 并配置数据源。
有关 UEBA 的详细信息,请参阅 使用实体行为分析识别威胁。
先决条件
若要启用或禁用此功能(使用该功能不需要满足以下先决条件):
用户必须在租户中被分配一个 Microsoft Entra ID 安全管理员角色或等效权限。
必须至少为用户分配以下“Azure 角色”之一(了解有关 Azure RBAC 的详细信息):
- 资源组级别或更高级别的所有者。
- 资源组级别或更高层级的参与者。
- (最低特权)工作区级别或更高级别的 Microsoft Sentinel 贡献者 和资源组级别或更高级别的 Log Analytics 贡献者。
工作区不得应用任何 Azure 资源锁。 了解有关 Azure 资源锁的详细信息。
注意
- 无需特殊许可证即可将 UEBA 功能添加到 Microsoft Sentinel,并且使用它无需额外付费。
- 但是,由于 UEBA 生成新数据并将其存储在 UEBA 在 Log Analytics 工作区中创建的新表中, 因此会产生额外的数据存储费用 。
从工作区设置启用 UEBA
若要从 Microsoft Sentinel 工作区设置启用 UEBA,请执行以下作:
转到“实体行为配置”页。
使用以下三种方法之一访问“实体行为配置”页:
从 Microsoft Sentinel 导航菜单中选择“实体行为”,然后从顶部菜单栏中选择“实体行为设置”。
从 Microsoft Sentinel 导航菜单中选择“设置”,选择“设置”选项卡,然后在“实体行为分析”展开器下,选择“设置 UEBA”。
在“实体行为配置”页面上,切换“启用 UEBA 功能”为开启状态。
选择要与 Microsoft Sentinel 同步用户实体的目录服务。
- 本地环境中的 Active Directory(预览)
- Microsoft Entra ID
若要从本地 Active Directory 同步用户实体,必须将 Azure 租户加入 Microsoft Defender for Identity,并且必须在 Active Directory 域控制器上安装 MDI 传感器。 有关详细信息,请参阅 Microsoft Defender for Identity 先决条件。
选择“ 连接所有数据源 ”以连接所有符合条件的数据源,或从列表中选择特定数据源。
只能启用这些数据源:
- 登录日志
- 审核日志
- Azure 活动
- 安全事件
有关 UEBA 数据源和异常的详细信息,请参阅 Microsoft Sentinel UEBA 参考。
注意
启用 UEBA 后,可以直接从数据连接器窗格为 UEBA 启用受支持的数据源,如本文所述。
选择 连接。
安装 UEBA Essentials 解决方案(可选)
UEBA Essentials 解决方案是由Microsoft安全专家精心策划和维护的数十个预构建搜寻查询的集合。 该解决方案包括跨 Azure、Amazon Web Services(AWS)和 Okta 的多云异常情况检测查询。
安装解决方案以快速开始使用 UEBA 数据进行威胁搜寻和调查,而不是从头开始构建这些检测功能。
有关详细信息,请参阅 安装或更新Microsoft Sentinel 解决方案。
后续步骤
了解如何调查 UEBA 异常情况并在调查中使用 UEBA 数据: