Abilita Analisi del comportamento di utenti ed entità (UEBA) in Microsoft Sentinel

User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel analizza i log e gli avvisi provenienti da origini dati connesse per creare profili comportamentali di base delle entità dell'organizzazione, ad esempio utenti, host, indirizzi IP e applicazioni. Usando Machine Learning, UEBA identifica un'attività anomala che potrebbe indicare un asset compromesso.

È possibile abilitare UEBA e configurare le origini dati direttamente dalla scheda UEBA. Vedere Accedere a UEBA dalla scheda UEBA.

Questo articolo illustra come abilitare UEBA e configurare le origini dati nelle impostazioni dell'area di lavoro di Microsoft Sentinel e dai connettori dati supportati.

Per altre informazioni su UEBA, vedere Identificare le minacce con l'analisi del comportamento delle entità.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud del governo degli Stati Uniti, vedere le tabelle Microsoft Sentinel in Disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Prerequisiti

Per abilitare o disabilitare Analisi del comportamento dell'utente e dell'entità (UEBA) (questi prerequisiti non sono necessari per l'uso di UEBA):

  • L'utente deve essere assegnato al ruolo di Microsoft Entra ID Security Administrator nel tenant o disporre di autorizzazioni equivalenti.

  • All'utente deve essere assegnato almeno uno dei seguenti ruoli di Azure (controllo degli accessi in base al ruolo di Azure):

    • Proprietario a livello di gruppo di risorse o superiore.
    • Collaboratore a livello di gruppo di risorse o superiore.
    • (Privilegi minimi) Microsoft Sentinel Contributor a livello di area di lavoro o superiore e Log Analytics Contributor a livello di gruppo di risorse o superiore.
  • All'area di lavoro non devono essere applicati blocchi di risorse Azure. Per ulteriori informazioni, vedere blocco delle risorse di Azure.

Nota

  • Non è necessaria alcuna licenza speciale per aggiungere funzionalità UEBA a Microsoft Sentinel e non sono previsti costi aggiuntivi per l'uso.
  • Tuttavia, poiché UEBA genera nuovi dati e lo archivia in nuove tabelle create da UEBA nell'area di lavoro Log Analytics, si applicano addebiti aggiuntivi per l'archiviazione dei dati .

Accedere a UEBA dalla scheda UEBA

Per accedere alla pagina di configurazione del comportamento dell'entità :

  1. Dal menu di navigazione del portale di Microsoft Defender, selezionare Sistema>Impostazioni>Microsoft Sentinel.
  2. Selezionare la scheda UEBA .

Schermata della scheda UEBA.

Configurare UEBA

Per configurare UEBA nella pagina Configurazione comportamento entità , seguire questa procedura:

  1. Nella pagina Configurazione del comportamento dell'entità, attivare Attiva funzionalità UEBA.

    Screenshot delle impostazioni di configurazione UEBA.

  2. Selezionare i servizi directory da cui si desidera sincronizzare le entità utente con Microsoft Sentinel.

    • Active Directory locale
    • Microsoft Entra ID

    Per sincronizzare gli oggetti utente da Active Directory locale, è necessario effettuare l'onboarding del tenant Azure in Microsoft Defender per identità, in modalità autonoma o come parte di Microsoft Defender XDR, e nel controller di dominio di Active Directory deve essere installato il sensore MDI. Per altre informazioni, vedi prerequisiti per Microsoft Defender per identità.

  3. Selezionare Connetti tutte le origini dati per connettere tutte le origini dati idonee oppure selezionare origini dati specifiche dall'elenco.

    È possibile abilitare queste origini dati solo dai portali Defender e Azure:

    • Log di accesso
    • Log di audit
    • Attività Azure
    • Eventi di sicurezza

    È possibile abilitare queste origini dati solo dal portale di Defender:

    • Log di accesso dell'identità gestita di AAD (Microsoft Entra ID)
    • Log di accesso dell'entità servizio AAD (Microsoft Entra ID)
    • AWS CloudTrail
    • Eventi di accesso del dispositivo
    • Okta CL
    • Log di controllo GCP

    Per altre informazioni sulle origini dati UEBA e sulle anomalie, vedere Microsoft Sentinel informazioni di riferimento UEBA e anomalie UEBA.

    Nota

    Dopo aver abilitato UEBA, è possibile abilitare le origini dati supportate per UEBA direttamente dal riquadro del connettore dati o dalla pagina impostazioni del portale di Defender.

  4. Selezionare Connetti.

  5. Abilitare il rilevamento anomalie nell'area di lavoro Microsoft Sentinel:

    1. Dal menu di navigazione del portale Microsoft Defender selezionare Impostazioni>Microsoft Sentinel>Aree di lavoro SIEM.
    2. Selezionare l'area di lavoro da configurare.
    3. Nella pagina di configurazione dell'area di lavoro selezionare Anomalie e attivare/disattivare Rileva anomalie.

Installare la soluzione UEBA Essentials (facoltativo)

La soluzione UEBA Essentials è una raccolta di decine di query di ricerca predefinite curate e gestite da esperti di sicurezza Microsoft. La soluzione include query multicloud per il rilevamento delle anomalie in Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e Okta.

Installare la soluzione per iniziare rapidamente a eseguire ricerche e indagini sulle minacce usando i dati UEBA, anziché creare queste funzionalità di rilevamento da zero.

Per altre informazioni, vedere Installare o aggiornare soluzioni Microsoft Sentinel.

Abilitare il livello comportamenti UEBA

Il livello comportamenti UEBA genera riepiloghi arricchiti dell'attività osservata in più origini dati. A differenza di avvisi o anomalie, i comportamenti non indicano necessariamente il rischio: creano un livello di astrazione che ottimizza i dati per le indagini, la ricerca e il rilevamento migliorando chiarezza, contesto e correlazione.

Per altre informazioni sul livello dei comportamenti UEBA e su come abilitarlo, vedere Abilitare il livello dei comportamenti UEBA in Microsoft Sentinel.

Passaggi successivi

Informazioni su come analizzare le anomalie UEBA e usare i dati UEBA nelle indagini: