Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel na disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Identificar ameaças na organização e o impacto potencial delas (seja uma entidade comprometida ou um agente interno mal-intencionado) sempre foi um processo demorado e trabalhoso. A triagem por meio de alertas, a conexão dos pontos e a busca ativa somam uma enorme quantidade de tempo e esforço gasta com o mínimo retorno e a possibilidade de que ameaças avançadas simplesmente não sejam detectadas. Principalmente ameaças evasivas, como ameaças direcionadas, avançadas e persistentes de dia zero, podem ser as mais perigosas para a organização, fazendo com que a detecção seja mais crítica.
O recurso UEBA no Microsoft Azure Sentinel elimina o trabalho duro das cargas de trabalho dos analistas e as incertezas de seus esforços, além de fornecer inteligência acionável e de alta fidelidade para que eles possam se concentrar na investigação e correção.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.
Todos os benefícios da análise do comportamento de usuários e de entidades estão disponíveis no portal do Microsoft Defender.
O que é UEBA (Análise do Comportamento de Usuários e de Entidades)?
À medida que o Microsoft Azure Sentinel coleta logs e alertas de todas as fontes de dados conectadas, ele os analisa e cria perfis comportamentais de linha de base das entidades da organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte do grupo de pares. Usando várias técnicas e recursos de machine learning, o Microsoft Azure Sentinel consegue identificar atividade anormal e ajudar a determinar se um ativo foi comprometido. Além disso, ele pode determinar a confidencialidade relativa de ativos específicos, identificar grupos de pares de ativos e avaliar o impacto potencial de qualquer ativo comprometido (seu chamado “raio de impacto”). Com essas informações, você pode priorizar efetivamente sua investigação e o tratamento de incidentes.
Arquitetura de análise UEBA
Análise controlada pela segurança
Inspirado pelo paradigma do Gartner para soluções UEBA, o Microsoft Azure Sentinel fornece uma abordagem "de fora para dentro" baseada em três quadros de referência:
Casos de uso: Priorizando vetores e cenários de ataque relevantes com base em pesquisas de segurança alinhadas com a estrutura MITRE ATT&CK de táticas, técnicas e subtécnicas que coloca várias entidades como vítimas, autores ou pontos de pivô na cadeia de ataque; Microsoft Sentinel se concentra especificamente nos logs mais valiosos que cada fonte de dados pode fornecer.
Fontes de dados: Embora, antes de tudo, dê suporte a fontes de dados do Azure, o Microsoft Sentinel seleciona cuidadosamente fontes de dados de terceiros para fornecer dados que correspondam aos nossos cenários de ameaça.
Analytics: Usando vários algoritmos de ML (machine learning), o Microsoft Sentinel identifica atividades anômalas e apresenta evidências de forma clara e concisa na forma de enriquecimentos contextuais, alguns exemplos dos quais aparecem abaixo.
O Microsoft Azure Sentinel apresenta artefatos que ajudam os analistas de segurança a obter uma compreensão clara das atividades anormais no contexto e em comparação ao perfil de linha de base do usuário. Ações realizadas por um usuário (ou um host ou um endereço) são avaliadas contextualmente, onde um resultado "verdadeiro" indica uma anomalia identificada:
- em locais geográficos, dispositivos e ambientes.
- em horizontes de tempo e frequência (em comparação com o próprio histórico do usuário).
- em comparação com o comportamento dos pares.
- em comparação com o comportamento da organização.
As informações de entidade de usuário que o Microsoft Sentinel usa para criar seus perfis de usuário são provenientes da ID do Microsoft Entra (e/ou do Active Directory local, agora em Versão prévia). Quando você habilita o UEBA, ele sincroniza sua ID do Microsoft Entra com o Microsoft Sentinel, armazenando as informações em um banco de dados interno visível por meio da tabela IdentityInfo .
- No Microsoft Sentinel no portal do Azure, você consulta a tabela IdentityInfo no Log Analytics na página Logs .
- No portal do Defender, você consulta essa tabela na busca avançada.
Agora, na versão prévia, você também pode sincronizar suas informações de entidade de usuário Active Directory local usando o Microsoft Defender para Identidade.
Consulte Habilitar UEBA (Análise de Comportamento de Usuário e Entidade) no Microsoft Sentinel para saber como habilitar o UEBA e sincronizar identidades de usuário.
Pontuação
Cada atividade é classificada com a "pontuação de prioridade de investigação", que determina a probabilidade de um determinado usuário realizar uma atividade específica com base no aprendizado comportamental do usuário e de seus pares. As atividades identificadas como as mais anormais recebem as pontuações mais altas (em uma escala de 0 a 10).
Veja como a análise de comportamento é usada no Microsoft Defender para Aplicativos de Nuvem para obter um exemplo de como isso funciona.
Saiba mais sobre entidades no Microsoft Sentinel e veja a lista completa de entidades e identificadores com suporte.
Páginas de entidade
Informações sobre páginas de entidade agora podem ser encontradas em páginas de entidade no Microsoft Sentinel.
Consultando dados de análise de comportamento
Usando KQL, podemos consultar a tabela BehaviorAnalytics .
Por exemplo, se quisermos localizar todos os casos de um usuário que não conseguiu entrar em um recurso do Azure, considerando que era a primeira tentativa do usuário de se conectar de um determinado país/região e que as conexões desse país/região são incomuns mesmo para pares do usuário, poderemos usar a seguinte consulta:
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
- No Microsoft Sentinel no portal do Azure, você consulta a tabela BehaviorAnalytics no Log Analytics na página Logs .
- No portal do Defender, você consulta essa tabela na busca avançada.
Metadados de pares de usuário ‒ tabela e notebook
Os metadados dos pares do usuário fornecem um contexto importante na detecção de ameaças, na investigação de um incidente e na busca de uma ameaça em potencial. Os analistas de segurança podem observar as atividades normais dos pares de um usuário para determinar se as atividades do usuário são incomuns em comparação com as dos colegas.
O Microsoft Sentinel calcula e classifica os pares de um usuário, com base na associação do grupo de segurança do Microsoft Entra, na lista de endereçamento, etc. e armazena os pares classificados de 1 a 20 na tabela UserPeerAnalytics . A captura de tela abaixo mostra o esquema da tabela UserPeerAnalytics e exibe os oito principais pares classificados do usuário Kendall Collins. O Microsoft Sentinel usa o algoritmo frequência do termo-frequência inversa do documento (TF-IDF) para normalizar a ponderação para calcular a classificação: quanto menor o grupo, maior o peso.
Você pode usar o jupyter notebook fornecido no repositório GitHub do Microsoft Sentinel para visualizar os metadados de pares do usuário. Para obter instruções detalhadas sobre como usar o notebook, consulte o notebook Análise Guiada - Metadados de Segurança do Usuário.
Observação
A tabela UserAccessAnalytics foi preterida.
Consultas de busca e de exploração
O Microsoft Sentinel fornece um conjunto pronto para uso de consultas de busca, consultas de exploração e a pasta de trabalho Usuário e Entity Behavior Analytics, que é baseada na tabela BehaviorAnalytics. Essas ferramentas apresentam dados enriquecidos, com foco em casos de uso específicos, que indicam comportamento anormal.
Para obter mais informações, consulte:
Como as ferramentas de defesa herdadas se tornam obsoletas, as organizações podem ter um espaço digital tão amplo e porosos que se torna difícil de controlar para obter uma visão abrangente do risco e da postura que seu ambiente pode estar enfrentando. Depender muito de esforços reativos, como análises e regras, permite que atores ruins aprendam a escapar desses esforços. É aqui o UEBA entra em ação, fornecendo metodologias de pontuação de risco e algoritmos para descobrir o que realmente está acontecendo.
Próximas etapas
Neste documento, você aprendeu sobre os recursos de análise de comportamento de entidades do Microsoft Azure Sentinel. Para obter diretrizes práticas sobre implementação e usar os insights obtidos, confira os seguintes artigos:
- Habilite a análise de comportamento de entidade no Microsoft Sentinel.
- Confira a lista de anomalias detectadas pelo mecanismo UEBA.
- Investigue incidentes com dados da UEBA.
- Caça às ameaças à segurança.
Para obter mais informações, consulte também a referência UEBA do Microsoft Sentinel.