Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nel passaggio precedente della distribuzione è stato abilitato il contenuto di sicurezza di Microsoft Sentinel necessario per proteggere i sistemi. Questo articolo illustra come abilitare e usare la funzionalità UEBA per semplificare il processo di analisi. Questo articolo fa parte della Guida alla distribuzione per Microsoft Sentinel.
Poiché Microsoft Sentinel raccoglie log e avvisi da tutte le origini dati connesse, li analizza e crea profili comportamentali di base delle entità dell'organizzazione (ad esempio utenti, host, indirizzi IP e applicazioni) nel tempo e nell'orizzonte del gruppo peer. Usando varie tecniche e funzionalità di Machine Learning, Microsoft Sentinel può quindi identificare le attività anomale e determinare se un asset è compromesso. Altre informazioni su UEBA.
Note
Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Importante
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.
A partire da luglio 2026, tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono eseguiti automaticamente l'onboarding e reindirizzati al portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza unificata delle operazioni di sicurezza offerte da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: ritiro del portale di Azure di Microsoft Sentinel per una maggiore sicurezza.
Prerequisiti
Per abilitare o disabilitare questa funzionalità (questi prerequisiti non sono necessari per usare la funzionalità):
L'utente deve essere assegnato al ruolo di amministratore della sicurezza di Microsoft Entra ID nel tenant o nelle autorizzazioni equivalenti.
Al tuo utente deve essere assegnato almeno uno dei seguenti ruoli di Azure (Ulteriori informazioni su Azure RBAC):
- Collaboratore di Microsoft Sentinel a livello di area di lavoro o gruppo di risorse.
- Collaboratore Log Analytics a livello di gruppo di risorse o sottoscrizione.
All'area di lavoro non devono essere applicati blocchi delle risorse di Azure. Altre informazioni sul blocco delle risorse di Azure.
Note
- Non è necessaria alcuna licenza speciale per aggiungere funzionalità UEBA a Microsoft Sentinel e non sono previsti costi aggiuntivi per l'uso.
- Tuttavia, poiché UEBA genera nuovi dati e li archivia in nuove tabelle create da UEBA nell'area di lavoro Log Analytics, vengono applicati costi aggiuntivi per l'archiviazione dei dati .
Come abilitare l'analisi del comportamento degli utenti e delle entità
- Gli utenti di Microsoft Sentinel nel portale di Azure seguano le istruzioni nella scheda del portale di Azure.
- Gli utenti di Microsoft Sentinel nel contesto del portale di Microsoft Defender seguono le istruzioni nella scheda Portale di Defender.
Vai alla pagina Configurazione comportamento entità.
Usare uno dei tre modi seguenti per accedere alla pagina di configurazione del comportamento dell'entità :
Selezionare Comportamento entità dal menu di spostamento di Microsoft Sentinel, quindi selezionare Impostazioni comportamento entità dalla barra dei menu in alto.
Selezionare Impostazioni dal menu di spostamento di Microsoft Sentinel, selezionare la scheda Impostazioni , quindi nell'espansore Analisi comportamento entità selezionare Imposta UEBA.
Nella pagina del connettore dati XDR di Microsoft Defender selezionare il collegamento Vai alla pagina di configurazione UEBA .
Nella pagina Configurazione comportamento entità attivare attiva la funzionalità UEBA.
Selezionare i servizi directory da cui sincronizzare le entità utente con Microsoft Sentinel.
- Active Directory locale (anteprima)
- Microsoft Entra ID
Per sincronizzare le entità utente da Active Directory locale, è necessario eseguire l'onboarding del tenant di Azure in Microsoft Defender per identità (autonomo o come parte di Microsoft Defender XDR) ed è necessario che il sensore MDI sia installato nel controller di dominio di Active Directory. Per altre informazioni, vedere Prerequisiti di Microsoft Defender per identità.
Selezionare le origini dati in cui si vuole abilitare UEBA.
È possibile abilitare queste origini dati solo da Defender e dai portali di Azure:
- Log di accesso
- Registri di audit
- Attività di Azure
- Eventi di sicurezza
È possibile abilitare queste origini dati solo dal portale di Defender (anteprima):
- Log di accesso dell'identità gestita di AAD (MICROSOFT Entra ID)
- Log di accesso dell'entità servizio AAD (ID Microsoft Entra)
- AWS CloudTrail
- Eventi di accesso del dispositivo
- Okta CL
- Log di controllo GCP
Per altre informazioni su origini dati e anomalie UEBA, vedere Le anomalie ueba e le anomalie UEBA di Microsoft Sentinel.
Note
Dopo aver abilitato UEBA, è possibile abilitare le origini dati supportate per UEBA direttamente dal riquadro del connettore dati o dalla pagina Impostazioni del portale di Defender, come descritto in questo articolo.
Selezionare Connetti.
Abilitare il rilevamento anomalie nell'area di lavoro di Sentinel:
- Dal menu di spostamento del portale di Microsoft Defender selezionare Impostazioni aree>di lavoro SIEM diMicrosoft Sentinel>.
- Selezionare l'area di lavoro da configurare.
- Nella pagina di configurazione dell'area di lavoro selezionare Anomalie e attivare /disattivare Rileva anomalie.
Passaggi successivi
In questo articolo si è appreso come abilitare e configurare l’analisi del comportamento degli utenti e delle entità (UEBA) in Microsoft Sentinel. Per altre informazioni su UEBA: