在 Microsoft Sentinel 中使用用户和实体行为分析（UEBA）进行高级威胁检测

检测组织中的异常行为通常是复杂且耗时的。 Microsoft Sentinel 的用户和实体行为分析（UEBA）通过不断学习数据来呈现有意义的异常，从而简化这一挑战，帮助分析人员更有效地检测和调查潜在威胁。

本文介绍了 Microsoft Sentinel 用户和实体行为分析（UEBA）的内容，其工作原理，如何加入 UEBA，以及如何使用 UEBA 检测和调查异常以增强您的威胁检测能力。

UEBA 的工作原理

Microsoft Sentinel UEBA 使用机器学习为用户、主机、IP 地址、应用程序和其他实体生成动态行为配置文件。 然后，它通过将当前活动与已建立的基线进行比较来检测异常，帮助安全团队识别威胁，例如 被入侵的帐户、 内部攻击和 横向移动。

当 Microsoft Sentinel 从连接的源接收数据时，UEBA 开始应用:

• 用于检测偏差的行为建模
• 同侪组分析和爆炸半径评估，以评估异常活动的影响

UEBA 将 风险分数 分配给异常行为，并考虑到关联的实体、异常的严重性和上下文，包括：

• 地理位置、设备和环境的偏差
• 与实体的历史行为相比，随时间和活动频率的变化
• 与对等组相比的差异
• 与组织范围行为模式的偏差

此图显示了如何启用 UEBA，以及 UEBA 如何分析数据并分配 风险分数 来确定调查优先级：

有关 UEBA 表的详细信息，请参阅 使用 UEBA 数据调查异常。

UEBA 本机集成到 Microsoft Sentinel 中，为安全运营团队和嵌入式体验提供无缝体验，从而增强威胁调查和响应。

启用 UEBA 以创建行为配置文件并检测异常

充分利用 UEBA 的高级威胁检测功能：

1. 在 Microsoft Sentinel 中启用 UEBA，并连接关键数据源，例如Microsoft Entra ID 和 Office 365。 有关详细信息，请参阅 “启用实体行为分析”。

2. 安装 UEBA Essentials 解决方案，这是由Microsoft安全专家精心策划和维护的数十个预构建搜寻查询的集合。 该解决方案包括跨 Azure 和 Amazon Web Services（AWS）的多云异常情况检测查询。 安装解决方案有助于快速开始使用 UEBA 数据进行威胁搜寻和调查，而不是从头开始构建这些检测功能。

   有关安装 Microsoft Sentinel 解决方案的信息，请参阅 安装或更新Microsoft Sentinel 解决方案。

3. 将 UEBA 见解集成到 工作簿、事件工作流和搜寻查询中，以最大化其跨 SOC 工作流的价值。

使用 UEBA 数据调查异常

Microsoft Sentinel 跨多个表存储 UEBA 见解，每个表针对不同的目的进行了优化。 分析人员通常将这些表中的数据关联起来，以调查端到端异常行为。

此表概述了每个 UEBA 表中的数据：

此屏幕截图展示了 UserPeerAnalytics 表中的数据示例，其中包含用户 Kendall Collins 排名最高的八位同行。 Sentinel 使用 TF-IDF 算法在计算对等排名时规范化权重。 较小的组具有更高的权重。

有关 UEBA 数据的更多详细信息以及如何使用它，请参阅：

• 有关所有与 UEBA 相关的表和字段的详细信息，请参阅UEBA 手册。

UEBA 评分

UEBA 提供两个分数来帮助安全团队有效地确定调查优先级并检测异常：

例如，当用户首次执行 Azure 操作时：

• 调查优先级分数： 高，因为它是第一次事件。
• 异常评分：低，因为偶尔出现的首次Azure操作很常见，本质上不是风险。

虽然这些分数用于不同的目的，但你预计会有一些关联。 高异常分数通常与高调查优先级保持一致，但并非总是如此。 每个评分都能为分层检测提供独特的见解。

后续步骤

有关 UEBA 实现和用法的实用指南，请参阅：

• 启用 Microsoft Sentinel 中的实体行为分析。
• 利用 UEBA 数据分析调查事件。
• UEBA 参考。
• 搜寻安全威胁。