​Microsoft Sentinel （二）实体行为分析配置

UEBA，User and Entity Behavior Analytics，即用户与实体行为分析，主要是以用户和实体为对象，结合规则以及机器学习模型，对用户行为进行分析和异常检测，尽可能快速地感知内部用户的可疑非法行为。

相较于传统的安全设备分析外部威胁系统例如 SOC/SIEM（Security Operations Center/Security Information Event Management,安全运营中心/安全事件管理），UEBA更加聚焦于“异常用户”（即特权账号被盗用）和“用户异常”（即合法的人做不合法的事），其本身对海量告警信息并不关心。UEBA对企业内部威胁的分析场景更有优势，更侧重于关注用户的行为，可以从另一视角去发现问题。通常UEBA会与SIEM联动，针对外部数据和内部数据进行统一侦察分析，实现系统的多维度异常检测，对于将会产生的威胁进行及时告警，规避风险。

UEBA体系架构

​Microsoft Sentinel （二）实体行为分析配置_数据

在Microsoft Sentinel威胁事件调查环节，我们也可以利用UEBA来针对异常进行分析，得到更准确的安全事件结论。要使用UEBA调查，首先需要在Sentinel中开启UEBA的支持：

1          进入Sentinel，依次打开威胁管理->实体行为->实体行为设置。

​Microsoft Sentinel （二）实体行为分析配置_数据_02

2          在设置界面中，进入“配置UEBA”

​Microsoft Sentinel （二）实体行为分析配置_异常检测_03

3          启用UEBA功能，并选择数据源

​Microsoft Sentinel （二）实体行为分析配置_异常检测_04

4          进入实体分析页面，找到威胁最多的一台VM，查看该VM详情

​Microsoft Sentinel （二）实体行为分析配置_异常检测_05

5          使用调查，我们可以很清晰的分析出当前的所有威胁。

​Microsoft Sentinel （二）实体行为分析配置_异常检测_06