重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
Microsoft Sentinel 中的用户和实体行为分析(UEBA)通过分析连接数据源的日志和警报,为组织内的实体构建基线行为模型,例如用户、主机、IP 地址和应用程序。 使用机器学习,UEBA 可识别可能指示已泄露资产的异常活动。
可以启用用户和实体行为分析:
- 在Microsoft Sentinel 工作区设置中:为工作区启用 UEBA,并选择在 Microsoft Defender 门户或 Azure 门户中连接的数据源。 本文介绍如何启用 UEBA 并配置数据源。
有关 UEBA 的详细信息,请参阅 使用实体行为分析识别威胁。
先决条件
若要启用或禁用此功能(使用该功能不需要满足以下先决条件):
用户必须分配有租户中的 Microsoft Entra ID 安全管理员角色或等效的权限。
必须至少为用户分配以下“Azure 角色”之一(了解有关 Azure RBAC 的详细信息):
- 工作区或资源组级别的“Microsoft Sentinel 参与者”。
- 资源组或订阅级别的“Log Analytics 参与者”。
工作区不得应用任何 Azure 资源锁。 了解有关 Azure 资源锁的详细信息。
注意
- 无需特殊许可证即可将 UEBA 功能添加到 Microsoft Sentinel,并且使用它无需额外付费。
- 但是,由于 UEBA 生成新数据并将其存储在 UEBA 在 Log Analytics 工作区中创建的新表中, 因此会产生额外的数据存储费用 。
从工作区设置启用 UEBA
若要从 Microsoft Sentinel 工作区设置启用 UEBA,请执行以下作:
转到“实体行为配置”页。
使用以下三种方法之一访问“实体行为配置”页:
从 Microsoft Sentinel 导航菜单中选择“实体行为”,然后从顶部菜单栏中选择“实体行为设置”。
从 Microsoft Sentinel 导航菜单中选择“设置”,选择“设置”选项卡,然后在“实体行为分析”展开器下,选择“设置 UEBA”。
在“实体行为配置”页面上,切换“启用 UEBA 功能”为开启状态。
选择要与 Microsoft Sentinel 同步用户实体的目录服务。
- 本地 Active Directory(预览)
- Microsoft Entra ID
若要从本地 Active Directory 同步用户实体,必须将 Azure 租户加入 Microsoft Defender for Identity,并且必须在 Active Directory 域控制器上安装 MDI 传感器。 有关详细信息,请参阅 Microsoft Defender for Identity 先决条件。
选择“ 连接所有数据源 ”以连接所有符合条件的数据源,或从列表中选择特定数据源。
只能启用这些数据源:
- 登录日志
- 审核日志
- Azure 活动
- 安全事件
有关 UEBA 数据源和异常的详细信息,请参阅 Microsoft Sentinel UEBA 参考。
注意
启用 UEBA 后,可以直接从数据连接器窗格为 UEBA 启用受支持的数据源,如本文所述。
选择 连接。
后续步骤
本文介绍了如何在 Microsoft Sentinel 中启用并配置用户和实体行为分析 (UEBA)。 有关 UEBA 的详细信息: