在 Microsoft Sentinel 中启用用户和实体行为分析 (UEBA)

在上一个部署步骤中,你启用了保护系统所需的 Microsoft Sentinel 安全内容。 本文介绍如何启用和使用 UEBA 功能来简化分析过程。 本文是 Microsoft Sentinel 部署指南的一部分。

Microsoft Sentinel 在从所有其连接的数据源中收集日志和警报的同时,还会跨时间和对等组对收集内容进行分析并生成组织实体(例如用户、主机、IP 地址和应用程序)的基线行为概况。 通过使用各种技术和机器学习功能,Microsoft Sentinel 可以识别异常活动,帮助分析师确定资产是否已遭入侵。 详细了解 UEBA

先决条件

启用或禁用此功能(使用此功能不需要这些先决条件):

  • 用户必须分配有租户中的 Microsoft Entra ID 安全管理员角色或等效的权限。

  • 必须至少为用户分配以下“Azure 角色”之一(了解有关 Azure RBAC 的详细信息):

    • 工作区或资源组级别的“Microsoft Sentinel 参与者”。
    • 资源组或订阅级别的“Log Analytics 参与者”。
  • 工作区不得应用任何 Azure 资源锁。 了解有关 Azure 资源锁的详细信息

注意

  • 向 Microsoft Sentinel 添加 UEBA 功能不需要任何特殊许可证,并且使用它没有额外费用。
  • 但是,由于 UEBA 会生成新数据并将其存储在 UEBA 在 Log Analytics 工作区中创建的新表中,因此会收取附加数据存储费用。

如何启用用户和实体行为分析

  1. 转到“实体行为配置”页。

    使用以下三种方法之一访问“实体行为配置”页:

    • 从 Microsoft Sentinel 导航菜单中选择“实体行为”,然后从顶部菜单栏中选择“实体行为设置”。

    • 从 Microsoft Sentinel 导航菜单中选择“设置”,选择“设置”选项卡,然后在“实体行为分析”展开器下,选择“设置 UEBA”。

  2. 在“实体行为配置”页上,切换到“打开”。

    UEBA 配置设置的屏幕截图。

  3. 勾选你想与 Microsoft Sentinel 同步用户实体的 Active Directory 源类型旁边的复选框。

    • 本地 Active Directory(预览)
    • Microsoft Entra ID

    若要从本地 Active Directory 同步用户实体,必须将 Azure 租户加入到 Microsoft Defender for Identity,并且必须在 Active Directory 域控制器上安装 MDI 传感器。 有关详细信息,请参阅 Microsoft Defender for Identity 先决条件

  4. 标记要在其上启用 UEBA 的数据源旁边的复选框。

    注意

    在现有数据源列表下方,你将看到尚未连接的支持 UEBA 的数据源列表。

    启用 UEBA 后,在连接新的数据源时,可以选择直接从“数据连接器”窗格中为 UEBA 启用它们(如果支持 UEBA)。

  5. 选择“应用”。 如果是通过“实体行为”页访问此页,将返回到那里。

后续步骤

本文介绍了如何在 Microsoft Sentinel 中启用并配置用户和实体行为分析 (UEBA)。 有关 UEBA 的详细信息: