(UEBA) Identifikace pokročilých hrozeb pomocí analýzy chování uživatelů a entit
Identifikace hrozeb ve vaší organizaci a jejich potenciálního dopadu – ať už jde o ohroženou entitu nebo osobu se zlými úmysly – byla vždy časově a pracně náročná. Probíjení výstrah, propojení bodů a aktivní proaktivní vyhledávání sčítají obrovské množství času a úsilí vynaloženého s minimálními výnosy a možnost, že sofistikované hrozby se jednoduše vyhýbá zjišťování. Zvlášť neuchopivé hrozby, jako jsou cílové a pokročilé trvalé hrozby, můžou být pro vaši organizaci zvlášť nebezpečné, takže jejich detekce je o to důležitější.
Funkce UEBA ve službě Microsoft Sentinel eliminuje dřinou z úloh analytiků a nejistotu z jejich úsilí a poskytuje vysoce věrné a akční informace, aby se mohli soustředit na šetření a nápravu.
Co
je analýza chování uživatelů a entit (UEBA)?
Služba Microsoft Sentinel shromažďuje protokoly a výstrahy ze všech připojených
zdrojů dat a analyzuje je a sestavuje základní profily chování entit vaší
organizace (jako jsou uživatelé, hostitelé, IP adresy a aplikace) napříč časovým
horizontem a horizontem skupin partnerů. Pomocí různých technik a možností
strojového učení pak může služba Microsoft Sentinel identifikovat neobvyklé
aktivity a pomoct vám určit, jestli nedošlo k ohrožení zabezpečení prostředku.
Nejen to, ale může také zjistit relativní citlivost konkrétních prostředků,
identifikovat partnerské skupiny prostředků a vyhodnotit potenciální dopad
jakéhokoli ohroženého prostředku (jeho "poloměr výbuchu"). S těmito informacemi
můžete efektivně určit prioritu vyšetřování a řešení incidentů.
Architektura analýzy UEBA
Architektura analýzy chování entit
Analýzy řízené zabezpečením
Služba Microsoft Sentinel, inspirovaná paradigmatem společnosti Gartner pro
řešení UEBA, poskytuje přístup "zvenku", který vychází ze tří referenčních
rámců:
Případy použití: Stanovením priorit pro relevantní vektory útoku a scénáře založené na výzkumu zabezpečení v souladu s architekturou MITRE ATT&CK taktik, technik a dílčích technik, které do kill chainu umístí různé entity jako oběti, pachatele nebo klíčové body; Microsoft Sentinel se zaměřuje konkrétně na nejcennější protokoly, které může každý zdroj dat poskytnout.
Zdroje dat: Přestože microsoft Sentinel v první řadě podporuje zdroje dat Azure, promyšleně vybírá zdroje dat třetích stran a poskytuje data, která odpovídají našim scénářům hrozeb.
Analytics: Pomocí různých algoritmů strojového učení identifikuje služba Microsoft Sentinel neobvyklé aktivity a jasně a výstižně prezentuje důkazy ve formě kontextových obohacení. Některé příklady jsou uvedené níže.
Přístup k analýze chování mimo přístup
Microsoft Sentinel představuje artefakty, které pomáhají analytikům zabezpečení jasně porozumět neobvyklým aktivitám v kontextu a v porovnání se základním profilem uživatele. Akce prováděné uživatelem (nebo hostitelem nebo adresou) se vyhodnocují kontextově, přičemž výsledek "true" značí identifikovanou anomálii:
napříč geografickými umístěními, zařízeními a prostředími.
napříč časovými a frekvenčními horizonty (v porovnání s vlastní historií
uživatele).
v porovnání s chováním partnerů.
v porovnání s chováním organizace. Kontext entity
Informace o entitách uživatelů, které služba Microsoft Sentinel používá k
vytváření svých profilů uživatelů, pocházejí z vaší služby Azure Active
Directory (a/nebo z vašeho místní Active Directory, nyní ve verzi Preview). Když
povolíte UEBA, synchronizuje azure Active Directory se službou Microsoft
Sentinel a uloží informace do interní databáze viditelné v tabulce IdentityInfo
v Log Analytics.
Teď můžete ve verzi Preview synchronizovat také informace o entitě uživatele místní Active Directory pomocí Microsoft Defender for Identity.
Informace o povolení rozhraní UEBA a synchronizaci identit uživatelů najdete v tématu Povolení analýzy chování uživatelů a entit (UEBA) ve službě Microsoft Sentinel .
Vyhodnocování
Každá aktivita se vyhodnotuje pomocí skóre priority šetření, které určuje
pravděpodobnost, že konkrétní uživatel provede určitou aktivitu, a to na základě
učení uživatele a jeho kolegů. Aktivity identifikované jako nejvíce neobvyklé
získají nejvyšší skóre (na škále od 0 do 10).
Podívejte se, jak se analýza chování používá v Microsoft Defender for Cloud Apps, kde najdete příklad toho, jak to funguje.
Přečtěte si další informace o entitách ve službě Microsoft Sentinel a podívejte se na úplný seznam podporovaných entit a identifikátorů.
Stránky entit
Informace o stránkách entit teď najdete v tématu Zkoumání entit pomocí stránek
entit ve službě Microsoft Sentinel.
Dotazování na data analýzy chování
Pomocí KQL můžeme dotazovat tabulku analýzy chování.
Pokud například chceme najít všechny případy, kdy se uživateli nepodařilo přihlásit k prostředku Azure, kdy došlo k prvnímu pokusu uživatele o připojení z dané země nebo oblasti a připojení z této země nebo oblasti jsou neobvyklá i pro partnerské vztahy uživatele, můžeme použít následující dotaz:
Kusto
Kopírovat
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
Metadata partnerských uzlů uživatelů – tabulka a poznámkový blok
Metadata partnerských vztahů uživatelů poskytují důležitý kontext při detekci
hrozeb, při vyšetřování incidentu a při proaktivním vyhledávání potenciální
hrozby. Analytici zabezpečení můžou sledovat běžné aktivity partnerských vztahů
uživatele a určit, jestli jsou aktivity uživatele neobvyklé v porovnání s
aktivitami jeho partnerů.
Microsoft Sentinel vypočítá a seřadí partnerské vztahy uživatele na základě Azure AD členství uživatele ve skupině zabezpečení, seznamu adresátů atd. a uloží partnerské vztahy s hodnocením 1–20 v tabulce UserPeerAnalytics. Následující snímek obrazovky ukazuje schéma tabulky UserPeerAnalytics a zobrazuje osm nejlépe hodnocených partnerských uzlů uživatele Kendall Collins. Služba Microsoft Sentinel používá k normalizaci vážení pro výpočet pořadí algoritmus tf-IDF ( frekvence inverzní frekvence ): čím menší je skupina, tím vyšší je váha.
Snímek obrazovky s tabulkou metadat partnerských uzlů uživatelů
K vizualizaci metadat partnerských uzlů uživatelů můžete použít poznámkový blok Jupyter , který je k dispozici v úložišti Microsoft Sentinel na GitHubu. Podrobné pokyny k používání poznámkového bloku najdete v poznámkovém bloku Asistovaná analýza – metadata zabezpečení uživatelů .
Analýza oprávnění – tabulka a poznámkový blok
Analýza oprávnění pomáhá určit potenciální dopad ohrožení zabezpečení prostředku
organizace útočníkem. Tento dopad se také označuje jako "poloměr výbuchu"
prostředku. Analytici zabezpečení můžou tyto informace použít k určení priorit
vyšetřování a zpracování incidentů.
Microsoft Sentinel určuje přímá a přenosná přístupová práva daného uživatele k prostředkům Azure vyhodnocením předplatných Azure, ke které má uživatel přístup přímo nebo prostřednictvím skupin nebo instančních objektů. Tyto informace a úplný seznam Azure AD členství uživatele ve skupině zabezpečení se pak uloží do tabulky UserAccessAnalytics. Následující snímek obrazovky ukazuje ukázkový řádek v tabulce UserAccessAnalytics pro uživatele Alex Johnson. Zdrojová entita je účet uživatele nebo instančního objektu a cílová entita je prostředek, ke kterému má zdrojová entita přístup. Hodnoty úrovně přístupu a typu přístupu závisí na modelu řízení přístupu cílové entity. Uvidíte, že Alex má přístup Přispěvatel k tenantovi hotelů Contoso v předplatném Azure. Model řízení přístupu předplatného je Azure RBAC.
Snímek obrazovky s tabulkou analýzy přístupu uživatelů
K vizualizaci analytických dat oprávnění můžete použít poznámkový blok Jupyter (stejný výše uvedený poznámkový blok) z úložiště GitHub služby Microsoft Sentinel. Podrobné pokyny k používání poznámkového bloku najdete v poznámkovém bloku Asistovaná analýza – metadata zabezpečení uživatelů .
Dotazy proaktivního vyhledávání a průzkumné dotazy
Microsoft Sentinel nabízí sadu dotazů proaktivního vyhledávání, průzkumných
dotazů a sešit Analýzy chování uživatelů a entit , který je založený na tabulce
BehaviorAnalytics . Tyto nástroje představují rozšířená data zaměřená na
konkrétní případy použití, která indikují neobvyklé chování.
Další informace naleznete v tématu:
Proaktivní vyhledávání hrozeb s využitím služby Microsoft Sentinel
Vizualizace a monitorování dat
Vzhledem k tomu, že zastaralé nástroje ochrany zastarávají, můžou mít organizace
natolik rozsáhlé a prostupné digitální aktiva, že nebude možné získat komplexní
přehled o riziku a stavu, kterému může jejich prostředí čelit. Spoléhání se do
značné míry na reaktivní úsilí, jako jsou analýzy a pravidla, umožňuje špatným
aktérům naučit se, jak se těmto snahám vyhnout. To je místo, kde hraje UEBA tím,
že poskytuje metodologie a algoritmy vyhodnocování rizik, které zjistí, co se
skutečně děje.