Microsoft Sentinel UEBA для AWS: расширенное обнаружение

Введение

Microsoft расширяет возможности Microsoft Sentinel UEBA, чтобы усилить обнаружение угроз в AWS с помощью более богатой поведенческой аналитики. Для команд security operations, управляющих гибридными и multi-cloud средами, это важно, поскольку события AWS CloudTrail теперь поступают со встроенным контекстом, который может ускорить расследования и повысить качество обнаружения.

Вместо того чтобы полагаться на сложные запросы KQL, статические пороговые значения или вручную поддерживаемые базовые модели, защитники могут использовать заранее вычисленные UEBA-инсайты, чтобы быстрее выявлять подозрительное поведение в активности AWS.

Что нового в Microsoft Sentinel UEBA для AWS

Microsoft добавила более широкую поддержку UEBA для multi-cloud и источников данных identity, включая AWS, GCP, Okta и дополнительные журналы аутентификации. Для AWS ключевые улучшения включают:

• Больше поведенческих обогащений AWS для событий CloudTrail на этапе ingestion
• Бинарные инсайты, такие как:
  • Первое появление географии
  • Необычный ISP
  • Нетипичное действие
  • Аномальный объём операций
• Поддержка таблицы BehaviorAnalytics для активности AWS с отображением инсайтов по пользователю, устройству и активности
• Таблица Anomalies с шестью встроенными обнаружениями аномалий AWS на основе моделей machine learning Microsoft
• Интеграция с Defender portal для отображения аномалий UEBA на страницах пользовательских сущностей и в графах инцидентов

Microsoft называет этот подход binary feature stacking, когда аналитики объединяют простые поведенческие индикаторы true/false, чтобы быстро выявлять активность злоумышленников, которая иначе могла бы затеряться среди обычных операций AWS.

Почему это важно для команд безопасности

Расследования в AWS часто зависят от сырых журналов CloudTrail и пользовательской логики, чтобы определить, действительно ли поведение является подозрительным. Этот процесс может занимать много времени и быть дорогостоящим, особенно в быстро меняющихся облачных средах.

С Sentinel UEBA администраторы и аналитики получают:

• Более быстрый triage оповещений AWS
• Меньшую зависимость от вручную созданных KQL-базовых моделей
• Лучший контекст как для human, так и для non-human identities
• Более последовательное обнаружение аномалий в гибридных и multi-cloud инфраструктурах

Обновление особенно полезно для SOC-команд, которые хотят снизить усталость от оповещений и при этом улучшить видимость рискованных действий AWS, таких как необычные входы в систему, изменения привилегий IAM или ранее невиданные user agent.

Ключевые детали реализации

Поведенческий контекст AWS появляется в двух основных таблицах:

BehaviorAnalytics

Это основная поверхность расследования для активности AWS, обогащённой UEBA. Она включает такие поля, как EventSource, ActivityType и ActionType, а также динамические поля инсайтов, такие как UserInsights, DeviceInsights и ActivityInsights.

Anomalies

Эта таблица содержит предварительно обученные обнаружения аномалий Microsoft для AWS. Записи включают:

• Сопоставления MITRE ATT&CK
• AnomalyScore
• AnomalyReasons
• Связанные поведенческие обогащения

Что IT- и security-администраторам делать дальше

• Проверьте текущие обнаружения AWS CloudTrail в Sentinel
• Определите правила аналитики, которые зависят от тяжёлой логики базовых моделей
• Протестируйте обогащения UEBA в таблицах BehaviorAnalytics и Anomalies
• Используйте hunting-workflows в Defender portal, чтобы быстрее расследовать пользовательские аномалии
• Обновите SOC-плейбуки, чтобы использовать заранее вычисленный поведенческий контекст AWS

Для организаций, защищающих AWS наряду со средами Microsoft, это обновление может упростить detection engineering и повысить эффективность реагирования.