Aktivieren der Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) in Microsoft Sentinel

Die Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) in Microsoft Sentinel analysiert Protokolle und Warnungen aus verbundenen Datenquellen, um grundlegende Verhaltensprofile der Entitäten Ihrer organization zu erstellen, z. B. Benutzer, Hosts, IP-Adressen und Anwendungen. Mithilfe von maschinellem Lernen identifiziert UEBA anomale Aktivitäten, die auf eine kompromittierte Ressource hinweisen können.

Sie können UEBA aktivieren und Datenquellen direkt über die Registerkarte UEBA konfigurieren. Siehe Access UEBA auf der Registerkarte "UEBA".

In diesem Artikel wird erläutert, wie Sie UEBA aktivieren und Datenquellen in den Arbeitsbereichseinstellungen von Microsoft Sentinel sowie über unterstützte Datenkonnektoren konfigurieren.

Weitere Informationen zu UEBA finden Sie unter Identifizieren von Bedrohungen mit Entitätsverhaltensanalysen.

Hinweis

Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel-Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Zum Aktivieren oder Deaktivieren der Benutzer- und Entitätsverhaltensanalyse (UEBA) (diese Voraussetzungen sind nicht erforderlich, um UEBA zu verwenden):

  • Ihrem Benutzerkonto muss in Ihrem Mandanten die Microsoft Entra ID-Rolle Sicherheitsadministrator zugewiesen sein, oder es muss über gleichwertige Berechtigungen verfügen.

  • Dem Benutzer muss mindestens eine der folgenden Azure Rollen (Azure RBAC) zugewiesen werden:

    • Besitzer auf Ressourcengruppenebene oder höher.
    • Mitwirkender auf der Ebene der Ressourcengruppe oder höher.
    • (Geringste Rechte) Microsoft Sentinel Mitwirkender auf Arbeitsbereichsebene oder höher und Log Analytics-Mitwirkender auf Ressourcengruppenebene oder höher.
  • Auf Ihren Arbeitsbereich dürfen keine Azure Ressourcensperren angewendet werden. Weitere Informationen finden Sie unter Azure Ressourcensperrung.

Hinweis

  • Zum Hinzufügen von UEBA-Funktionen zu Microsoft Sentinel ist keine spezielle Lizenz erforderlich, und es fallen keine zusätzlichen Kosten für die Verwendung an.
  • Da UEBA jedoch neue Daten generiert und in neuen Tabellen speichert, die UEBA in Ihrem Log Analytics-Arbeitsbereich erstellt, fallen zusätzliche Datenspeicherungsgebühren an.

Greifen Sie über die Registerkarte UEBA auf UEBA zu.

So gelangen Sie zur Seite Entitätsverhaltenskonfiguration:

  1. Wählen Sie im Navigationsmenü des Microsoft Defender Portals die Option Systemeinstellungen>>Microsoft Sentinel aus.
  2. Wählen Sie die Registerkarte UEBA aus.

Screenshot der Registerkarte

Konfigurieren von UEBA

Führen Sie die folgenden Schritte aus, um UEBA auf der Seite Entitätsverhaltenskonfiguration zu konfigurieren:

  1. Schalten Sie auf der Seite Entitätsverhaltenskonfiguration die Option UEBA-Funktion aktivieren ein.

    Screenshot der UEBA-Konfigurationseinstellungen.

  2. Wählen Sie die Verzeichnisdienste aus, aus denen Sie Benutzerentitäten mit Microsoft Sentinel synchronisieren möchten.

    • Active Directory lokal
    • Microsoft Entra-ID

    Um Benutzerentitäten aus lokales Active Directory zu synchronisieren, müssen Sie Ihren Azure Mandanten in Microsoft Defender for Identity integrieren (entweder eigenständig oder als Teil von Microsoft Defender XDR), muss der MDI-Sensor auf Ihrem Active Directory-Domänencontroller installiert sein. Weitere Informationen finden Sie unter Microsoft Defender for Identity Voraussetzungen.

  3. Wählen Sie Alle Datenquellen verbinden aus, um alle berechtigten Datenquellen zu verbinden, oder wählen Sie bestimmte Datenquellen aus der Liste aus.

    Sie können nur diese Datenquellen über das Defender- und das Azure-Portal aktivieren:

    • Anmeldeprotokolle
    • Überwachungsprotokolle
    • Azure-Aktivität
    • Sicherheitsereignisse

    Sie können diese Datenquellen nur über das Defender Portal aktivieren:

    • AAD-Anmeldeprotokolle für verwaltete Identitäten (Microsoft Entra ID)
    • Anmeldeprotokolle des AAD-Dienstprinzipals (Microsoft Entra ID)
    • AWS CloudTrail
    • Geräteanmeldungsereignisse
    • Okta CL
    • GCP-Überwachungsprotokolle

    Weitere Informationen zu UEBA-Datenquellen und -Anomalien finden Sie unter Microsoft Sentinel UEBA-Referenz und UEBA-Anomalien.

    Hinweis

    Nachdem Sie UEBA aktiviert haben, können Sie unterstützte Datenquellen für UEBA direkt über den Datenconnectorbereich oder über die Seite Defender Portaleinstellungen aktivieren.

  4. Wählen Sie Verbinden aus.

  5. Aktivieren Sie die Anomalieerkennung in Ihrem Microsoft Sentinel Arbeitsbereich:

    1. Wählen Sie im Microsoft Defender Navigationsmenü des Portals Einstellungen>Microsoft Sentinel>SIEM-Arbeitsbereiche aus.
    2. Wählen Sie den Arbeitsbereich aus, den Sie konfigurieren möchten.
    3. Wählen Sie auf der Konfigurationsseite des Arbeitsbereichs Anomalies aus und aktivieren Sie Anomalien erkennen.

Installieren der UEBA Essentials-Lösung (optional)

Die UEBA Essentials-Lösung ist eine Sammlung von Dutzenden vordefinierter Hunting-Abfragen, die von Microsoft-Sicherheitsexperten zusammengestellt und verwaltet werden. Die Lösung umfasst Multicloud-Anomalieerkennungsabfragen für Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) und Okta.

Installieren Sie die Lösung, um schnell mit der Bedrohungssuche und Untersuchungen mithilfe von UEBA-Daten zu beginnen, anstatt diese Erkennungsfunktionen von Grund auf neu zu erstellen.

Weitere Informationen finden Sie unter Installieren oder Aktualisieren Microsoft Sentinel Lösungen.

Aktivieren der UEBA-Verhaltensschicht

Die UEBA-Verhaltensschicht generiert angereicherte Zusammenfassungen von Aktivitäten, die über mehrere Datenquellen hinweg beobachtet wurden. Im Gegensatz zu Warnungen oder Anomalien weisen Verhaltensweisen nicht unbedingt auf Risiken hin– sie erstellen eine Abstraktionsebene, die Ihre Daten für Untersuchungen, Suche und Erkennung optimiert, indem sie Die Klarheit, den Kontext und die Korrelation verbessern.

Weitere Informationen zur UEBA-Verhaltensebene und deren Aktivierung finden Sie unter Aktivieren der UEBA-Verhaltensebene in Microsoft Sentinel.

Nächste Schritte

Erfahren Sie, wie Sie UEBA-Anomalien untersuchen und UEBA-Daten in Ihren Untersuchungen verwenden: