Microsoft Sentinel UEBA: lepsze wykrywanie AWS

Wprowadzenie

Microsoft rozwija Microsoft Sentinel UEBA, aby wzmocnić wykrywanie zagrożeń w AWS dzięki bogatszej analityce behawioralnej. Dla zespołów security operations zarządzających środowiskami hybrydowymi i multi-cloud ma to znaczenie, ponieważ zdarzenia AWS CloudTrail są teraz dostarczane z wbudowanym kontekstem, który może przyspieszyć dochodzenia i poprawić jakość wykrywania.

Zamiast polegać na złożonych zapytaniach KQL, statycznych progach lub ręcznie utrzymywanych bazach odniesienia, obrońcy mogą korzystać z wcześniej obliczonych insightów UEBA, aby szybciej identyfikować podejrzane zachowania w aktywności AWS.

Co nowego w Microsoft Sentinel UEBA dla AWS

Microsoft dodał szerszą obsługę UEBA dla źródeł danych multi-cloud i tożsamości, w tym AWS, GCP, Okta i większej liczby logów uwierzytelniania. W przypadku AWS kluczowe ulepszenia obejmują:

• Więcej wzbogaceń behawioralnych AWS dla zdarzeń CloudTrail na etapie ingestii
• Binarne insighty takie jak:
  • Pierwsza lokalizacja geograficzna
  • Nietypowy ISP
  • Nietypowe działanie
  • Nienormalny wolumen operacji
• Obsługę tabeli BehaviorAnalytics dla aktywności AWS, udostępniającą insighty dotyczące użytkownika, urządzenia i aktywności
• Tabelę Anomalies z sześcioma wbudowanymi detekcjami anomalii AWS opartymi na modelach machine learning Microsoftu
• Integrację z Defender portal do prezentowania anomalii UEBA na stronach encji użytkownika i na grafach incydentów

Microsoft określa to podejście jako binary feature stacking, w ramach którego analitycy łączą proste wskaźniki behawioralne typu true/false, aby szybko wykrywać aktywność atakujących, która w innym przypadku mogłaby zlewać się z normalnymi operacjami AWS.

Dlaczego to ważne dla zespołów bezpieczeństwa

Dochodzenia w AWS często opierają się na surowych logach CloudTrail i niestandardowej logice, aby ustalić, czy dane zachowanie jest rzeczywiście podejrzane. Taki proces może być czasochłonny i kosztowny, szczególnie w szybko zmieniających się środowiskach chmurowych.

Dzięki Sentinel UEBA administratorzy i analitycy zyskują:

• Szybszy triage alertów AWS
• Mniejsze uzależnienie od ręcznie tworzonych baz odniesienia KQL
• Lepszy kontekst zarówno dla tożsamości ludzkich, jak i nie-ludzkich
• Bardziej spójne wykrywanie anomalii w środowiskach hybrydowych i multi-cloud

Ta aktualizacja jest szczególnie przydatna dla zespołów SOC, które chcą ograniczyć alert fatigue, jednocześnie poprawiając widoczność ryzykownych działań w AWS, takich jak nietypowe logowania, zmiany uprawnień IAM czy wcześniej niewidziane user agenty.

Kluczowe szczegóły wdrożenia

Kontekst behawioralny AWS pojawia się w dwóch głównych tabelach:

BehaviorAnalytics

To główna powierzchnia dochodzeniowa dla aktywności AWS wzbogaconej przez UEBA. Obejmuje pola takie jak EventSource, ActivityType i ActionType, a także dynamiczne pola insightów, takie jak UserInsights, DeviceInsights i ActivityInsights.

Anomalies

Ta tabela zawiera wstępnie wytrenowane detekcje anomalii AWS od Microsoftu. Rekordy obejmują:

• Mapowania MITRE ATT&CK
• AnomalyScore
• AnomalyReasons
• Powiązane wzbogacenia behawioralne

Co administratorzy IT i bezpieczeństwa powinni zrobić dalej

• Przejrzeć obecne detekcje AWS CloudTrail w Sentinel
• Zidentyfikować reguły analityczne, które opierają się na ciężkiej logice baz odniesienia
• Przetestować wzbogacenia UEBA w tabelach BehaviorAnalytics i Anomalies
• Korzystać z workflowów huntingowych w Defender portal, aby szybciej badać anomalie użytkowników
• Zaktualizować playbooki SOC, aby wykorzystać wcześniej obliczony kontekst behawioralny AWS

Dla organizacji zabezpieczających AWS obok środowisk Microsoft ta aktualizacja może uprościć detection engineering i poprawić efektywność reagowania.