Security

Microsoft Sentinel UEBA breidt AWS-detectie uit

3 min leestijd

Samenvatting

Microsoft Sentinel UEBA voegt nu rijkere gedragsanalyses toe voor AWS CloudTrail-data, waardoor beveiligingsteams ingebouwde context krijgen, zoals geografie voor de eerste keer, ongebruikelijke ISP, afwijkende acties en een abnormaal aantal bewerkingen. De update helpt verdedigers verdachte AWS-activiteit sneller te detecteren en vermindert de noodzaak voor complexe KQL-baselines en handmatige verrijking.

Hulp nodig met Security?Praat met een expert

Introductie

Microsoft breidt Microsoft Sentinel UEBA uit om AWS-dreigingsdetectie te versterken met rijkere gedragsanalyses. Voor security operations-teams die hybride en multi-cloudomgevingen beheren, is dit belangrijk omdat AWS CloudTrail-gebeurtenissen nu met ingebouwde context binnenkomen die onderzoeken kan versnellen en de detectiekwaliteit kan verbeteren.

In plaats van te vertrouwen op complexe KQL-query's, statische drempelwaarden of handmatig onderhouden baselines, kunnen verdedigers vooraf berekende UEBA-inzichten gebruiken om verdacht gedrag in AWS-activiteit sneller te identificeren.

Wat is er nieuw in Microsoft Sentinel UEBA voor AWS

Microsoft heeft bredere UEBA-ondersteuning toegevoegd voor multi-cloud- en identiteitsgegevensbronnen, waaronder AWS, GCP, Okta en meer verificatielogs. Specifiek voor AWS omvatten de belangrijkste verbeteringen:

  • Meer AWS-gedragsverrijkingen voor CloudTrail-gebeurtenissen tijdens ingestie
  • Binaire inzichten zoals:
    • Geografie voor de eerste keer
    • Ongebruikelijke ISP
    • Afwijkende actie
    • Abnormaal aantal bewerkingen
  • BehaviorAnalytics-tabel-ondersteuning voor AWS-activiteit, met inzichten voor gebruikers, apparaten en activiteit
  • Anomalies-tabel met zes ingebouwde AWS-anomaliedetecties uit de machine learning-modellen van Microsoft
  • Defender portal-integratie voor het tonen van UEBA-anomalieën op gebruikersentiteitspagina's en in incidentgrafieken

Microsoft noemt deze aanpak binary feature stacking, waarbij analisten eenvoudige true/false-gedragsindicatoren combineren om snel aanvallersactiviteit te herkennen die anders in normale AWS-bewerkingen zou kunnen opgaan.

Waarom dit belangrijk is voor securityteams

AWS-onderzoeken zijn vaak afhankelijk van onbewerkte CloudTrail-logs en aangepaste logica om te bepalen of gedrag daadwerkelijk verdacht is. Dat proces kan tijdrovend en kostbaar zijn, vooral in snel veranderende cloudomgevingen.

Met Sentinel UEBA krijgen beheerders en analisten:

  • Snellere triage van AWS-waarschuwingen
  • Minder afhankelijkheid van handmatig ontworpen KQL-baselines
  • Betere context voor zowel menselijke als niet-menselijke identiteiten
  • Consistentere anomaliedetectie in hybride en multi-cloudomgevingen

De update is vooral nuttig voor SOC-teams die alert fatigue willen verminderen en tegelijk de zichtbaarheid willen verbeteren in risicovolle AWS-acties, zoals ongebruikelijke aanmeldingen, IAM-privilegewijzigingen of niet eerder geziene user agents.

Belangrijke implementatiedetails

De AWS-gedragscontext verschijnt in twee hoofdtabellen:

BehaviorAnalytics

Dit is het belangrijkste onderzoeksoppervlak voor met UEBA verrijkte AWS-activiteit. Het bevat velden zoals EventSource, ActivityType en ActionType, plus dynamische inzichtvelden zoals UserInsights, DeviceInsights en ActivityInsights.

Anomalies

Deze tabel bevat de vooraf getrainde anomaliedetecties van Microsoft voor AWS. Records bevatten:

  • MITRE ATT&CK-toewijzingen
  • AnomalyScore
  • AnomalyReasons
  • Gerelateerde gedragsverrijkingen

Wat IT- en securitybeheerders nu moeten doen

  • Controleer huidige AWS CloudTrail-detecties in Sentinel
  • Identificeer analyseregels die afhankelijk zijn van zware baselinelogica
  • Test UEBA-verrijkingen in de tabellen BehaviorAnalytics en Anomalies
  • Gebruik hunting-workflows in Defender portal om gebruikersanomalieën sneller te onderzoeken
  • Werk SOC-playbooks bij om gebruik te maken van vooraf berekende AWS-gedragscontext

Voor organisaties die AWS naast Microsoft-omgevingen beveiligen, kan deze update detectie-engineering vereenvoudigen en de efficiëntie van respons verbeteren.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
Microsoft SentinelUEBAAWSCloudTrailthreat detection

Gerelateerde artikelen

Security

Microsoft AI-beveiliging tegen nieuwe AI-dreigingen

Microsoft zegt dat AI versnelt hoe kwetsbaarheden worden gevonden en misbruikt, waardoor verdedigers minder tijd hebben om te reageren. Als reactie breidt het bedrijf AI-gestuurde kwetsbaarheidsdetectie, exposure management en Defender-gebaseerde beveiliging uit, en toont het ook een nieuwe multi-model scanoplossing voor klanten in juni 2026.

Security

Detectie van infiltrerende IT-medewerkers

Microsoft heeft detectiestrategieën beschreven om dreigingsactoren gelieerd aan Noord-Korea te identificeren die zich voordoen als remote IT-medewerkers om organisaties te infiltreren. De richtlijnen richten zich op het correleren van signalen uit HR SaaS, identiteit, e-mail, conferencing en Microsoft 365, zodat security- en HR-teams verdachte kandidaten vóór en na onboarding kunnen herkennen.

Security

Opportunistische cyberaanvallen: Microsofts aanpak

Microsoft roept organisaties op om opportunistische cyberaanvallen moeilijker te maken door credentials te verwijderen, publieke aanvalsvlakken te verkleinen en veilige platformpatronen te standaardiseren. De richtlijnen zijn vooral relevant voor teams die Azure-, Dynamics 365- en Power Platform-workloads op schaal beheren, waar inconsistente architecturen en blootgestelde secrets laterale beweging voor aanvallers eenvoudiger kunnen maken.

Security

{{Cross-tenant Teams-imitatieaanval playbook}}

{{Microsoft heeft een menselijke intrusieketen beschreven waarbij aanvallers cross-tenant Microsoft Teams-chats gebruiken om zich voor te doen als helpdeskmedewerkers en gebruikers te misleiden om externe toegang te verlenen via tools zoals Quick Assist. Deze campagne is belangrijk omdat legitieme samenwerking, externe ondersteuning en beheertools worden gecombineerd om laterale verplaatsing, persistentie en data-exfiltratie mogelijk te maken, terwijl het lijkt op normale IT-activiteit.}}

Security

Microsoft Defender predictive shielding stopt AD-aanvallen

Microsoft beschreef hoe predictive shielding in Defender een Active Directory-domeincompromis kan indammen door blootgestelde accounts met hoge bevoegdheden te beperken voordat aanvallers gestolen referenties opnieuw gebruiken. Deze mogelijkheid helpt beveiligingsteams laterale beweging te verminderen en het responsgat te dichten tijdens snel verlopende identiteitsaanvallen.

Security

Sapphire Sleet macOS-inbraak: Defender-inzichten

Microsoft Threat Intelligence beschreef een op macOS gerichte campagne van Sapphire Sleet die social engineering en valse software-updates gebruikt in plaats van kwetsbaarheden uit te buiten. De aanvalsketen steunt op door gebruikers gestarte AppleScript- en Terminal-uitvoering om ingebouwde macOS-bescherming te omzeilen, waardoor gelaagde verdediging, gebruikersbewustzijn en endpointdetectie extra belangrijk zijn.