BIO 16.01 ISO A.5.29

Microsoft Sentinel UEBA-configuratie: User And Entity Behavior Analytics

📅 2025-11-27
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel biedt geavanceerde gedragsanalyse om afwijkende activiteiten te detecteren die traditionele signature-based detectie zouden missen. Voor Nederlandse overheidsorganisaties is UEBA essentieel om insider threats, gecompromitteerde accounts en geavanceerde persistent threats te identificeren, wat cruciaal is voor compliance met BIO, NIS2 en de Nederlandse Baseline voor Veilige Cloud.

Aanbeveling
IMPLEMENT
Risico zonder
Hoog
Risk Score
8/10
Implementatie
200u (tech: 120u)
Van toepassing op:
Azure
Microsoft Sentinel
Microsoft 365
Entra ID

Traditionele beveiligingsoplossingen focussen op bekende dreigingen en signature-based detectie, waardoor geavanceerde aanvallen die gebruik maken van gestolen credentials of insider knowledge vaak onopgemerkt blijven. UEBA lost dit op door gedragspatronen te analyseren en afwijkingen te identificeren die wijzen op potentiële bedreigingen, zelfs wanneer deze niet overeenkomen met bekende attack patterns.

PowerShell Modules Vereist
Primary API: Azure Security Insights, Microsoft Graph Security, Azure Data Explorer
Connection: Connect-AzAccount, Connect-MgGraph
Required Modules: Az.Accounts, Az.SecurityInsights, Az.OperationalInsights, Microsoft.Graph, Microsoft.Graph.Security

Implementatie

Dit artikel beschrijft hoe organisaties UEBA kunnen configureren en optimaliseren in Microsoft Sentinel. We behandelen data onboarding, baseline-ontwikkeling, anomaly detection, alerting en response. Het bijbehorende PowerShell-script ondersteunt teams bij het configureren van UEBA, het monitoren van effectiviteit en het genereren van rapportages.

UEBA-architectuur en data onboarding

Gebruik PowerShell-script ueba-configuration.ps1 (functie Invoke-UEBAConfigurationAssessment) – Controleert de configuratie van UEBA in Microsoft Sentinel, inclusief data onboarding, baseline-ontwikkeling en anomaly detection-instellingen..

Een effectieve UEBA-implementatie begint met een solide data foundation. Microsoft Sentinel UEBA vereist uitgebreide telemetrie van verschillende bronnen, waaronder Entra ID-sign-in logs, Microsoft 365-activiteiten, Azure-resource logs en applicatie-specifieke events. Organisaties moeten een strategie ontwikkelen voor het onboarden van deze data sources, waarbij rekening wordt gehouden met data volume, retentievereisten en privacy-overwegingen. Dit vereist nauwe samenwerking tussen security teams, data engineers en compliance officers om te waarborgen dat alle relevante data wordt verzameld zonder privacy- of compliance-problemen te veroorzaken.

Data kwaliteit is cruciaal voor UEBA-effectiviteit. Organisaties moeten processen opzetten voor het valideren van data completeness, het identificeren van data gaps en het oplossen van data quality issues. Dit omvat regelmatige controles van data ingestion, validatie van data schema's en monitoring van data freshness. Zonder hoogwaardige data zullen UEBA-modellen onnauwkeurige resultaten produceren, wat kan leiden tot false positives of gemiste bedreigingen.

Baseline-ontwikkeling vormt de kern van UEBA-functionaliteit. Microsoft Sentinel gebruikt machine learning-modellen om normale gedragspatronen te leren voor gebruikers, entiteiten en systemen, en identificeert vervolgens afwijkingen van deze baselines. Organisaties moeten voldoende historische data verzamelen om betrouwbare baselines te ontwikkelen, wat typisch minimaal 30 dagen aan data vereist. Tijdens deze periode moeten organisaties ervoor zorgen dat data consistent wordt verzameld en dat er geen grote wijzigingen plaatsvinden in systemen of processen die de baseline-ontwikkeling kunnen verstoren.

Privacy en compliance zijn bijzonder belangrijk bij UEBA-implementaties omdat gedragsanalyse diepgaande inzichten kan bieden in gebruikersactiviteiten. Organisaties moeten duidelijke beleidslijnen ontwikkelen voor wat wel en niet mag worden gemonitord, wie toegang heeft tot UEBA-data en hoe privacy wordt gewaarborgd. Dit omvat ook het waarborgen dat UEBA-implementaties voldoen aan AVG-vereisten, waarbij gebruikers worden geïnformeerd over monitoring en passende technische en organisatorische maatregelen worden genomen om privacy te beschermen.

Anomaly detection en alerting-configuratie

Gebruik PowerShell-script ueba-configuration.ps1 (functie Invoke-UEBAAnomalyAnalysis) – Analyseert UEBA-anomalieën en genereert rapportages over gedetecteerde afwijkingen en hun potentiële impact..

Anomaly detection in Microsoft Sentinel UEBA maakt gebruik van geavanceerde machine learning-algoritmen om afwijkingen te identificeren in gebruikersgedrag, netwerkactiviteiten en systeeminteracties. Organisaties moeten drempelwaarden configureren voor verschillende typen anomalieën, waarbij rekening wordt gehouden met de balans tussen detectiegevoeligheid en false positive rates. Te lage drempelwaarden leiden tot te veel false positives, terwijl te hoge drempelwaarden kunnen resulteren in gemiste bedreigingen.

Alerting-configuratie is essentieel om te waarborgen dat gedetecteerde anomalieën tijdig worden opgepikt en afgehandeld. Organisaties moeten alerting-regels definiëren die bepalen wanneer anomalieën worden geëscaleerd naar security analisten, welke informatie wordt meegestuurd en welke acties automatisch moeten worden ondernomen. Dit vereist een goed begrip van de organisatie-specifieke risico's en de capaciteit van het security operations team om alerts te verwerken.

Context is cruciaal voor effectieve anomaly detection. Microsoft Sentinel UEBA combineert verschillende signalen om een holistisch beeld te creëren van gebruikersactiviteiten, waarbij rekening wordt gehouden met factoren zoals tijd, locatie, device en applicatie-gebruik. Organisaties moeten ervoor zorgen dat voldoende context wordt verzameld en dat UEBA-modellen worden getraind om relevante contextuele factoren te identificeren en te gebruiken bij het detecteren van anomalieën.

Tuning en optimalisatie zijn continue processen die vereist zijn om UEBA-effectiviteit te behouden. Organisaties moeten regelmatig evalueren of drempelwaarden nog steeds geschikt zijn, of er nieuwe anomalie-typen moeten worden gedetecteerd en of bestaande regels moeten worden aangepast. Dit omvat ook het analyseren van false positives en false negatives, het identificeren van patronen in gemiste bedreigingen en het aanpassen van modellen op basis van lessons learned uit incidenten.

Response, remediatie en continue verbetering

Gebruik PowerShell-script ueba-configuration.ps1 (functie Invoke-UEBAEffectivenessReport) – Genereert een rapport over de effectiviteit van UEBA, inclusief metrics over detectiepercentages, false positive rates en response tijden..

Response-processen voor UEBA-alerts moeten duidelijk zijn gedefinieerd en geïntegreerd in de bredere incident response-workflow. Organisaties moeten procedures ontwikkelen voor het triageren van UEBA-alerts, het verzamelen van aanvullende context, het beoordelen van risico's en het nemen van passende acties. Dit omvat ook het definiëren van escalatiepaden voor high-risk anomalieën en het waarborgen dat response-acties proportioneel zijn en kunnen worden gerechtvaardigd.

Remediatie-acties voor UEBA-gedetecteerde bedreigingen kunnen variëren van het resetten van wachtwoorden en het intrekken van toegangsrechten tot het isoleren van systemen en het starten van forensische onderzoeken. Organisaties moeten playbooks ontwikkelen voor verschillende scenario's, waarbij rekening wordt gehouden met de ernst van de anomalie, de betrokken entiteiten en de potentiële impact op bedrijfsprocessen. Deze playbooks moeten worden getest en regelmatig worden geëvalueerd om te waarborgen dat zij effectief blijven.

Continue verbetering is essentieel voor het behouden van UEBA-effectiviteit. Organisaties moeten processen opzetten voor het verzamelen van feedback van security analisten, het analyseren van UEBA-performance en het identificeren van kansen voor verbetering. Dit omvat ook het regelmatig evalueren van UEBA-configuraties, het aanpassen van modellen op basis van nieuwe dreigingen en het investeren in training en ontwikkeling van security teams.

Monitoring en rapportage zijn cruciaal om te waarborgen dat UEBA-effectiviteit wordt gemeten en gecommuniceerd naar stakeholders. Organisaties moeten metrics definiëren voor het meten van UEBA-performance, zoals detectiepercentages, false positive rates, response tijden en de impact van UEBA-gedetecteerde bedreigingen. Deze metrics moeten regelmatig worden geëvalueerd en gebruikt om prioriteiten te stellen voor verbeteringen en om de ROI van UEBA-investeringen aan te tonen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Ondersteunt Microsoft Sentinel UEBA-configuratie en monitoring. .DESCRIPTION Biedt assessment-, monitoring- en rapportagefunctionaliteit voor User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel. Het script controleert UEBA-configuraties, analyseert anomalieën en genereert effectiviteitsrapportages. In LocalDebug-modus worden synthetische data gebruikt voor lokale tests binnen vijftien seconden. .NOTES Filename : ueba-configuration.ps1 Author : Nederlandse Baseline voor Veilige Cloud Version : 1.0 Related : content/azure/sentinel/ueba-configuration.json .EXAMPLE .\ueba-configuration.ps1 -Assessment -LocalDebug .EXAMPLE .\ueba-configuration.ps1 -AnomalyAnalysis -ExportPath .\reports\ueba-anomalies.json .EXAMPLE .\ueba-configuration.ps1 -EffectivenessReport -ExportPath .\reports\ueba-effectiveness.json #> #Requires -Version 5.1 [CmdletBinding(DefaultParameterSetName = 'Assessment')] param( [Parameter(ParameterSetName = 'Assessment')] [switch]$Assessment, [Parameter(ParameterSetName = 'AnomalyAnalysis')] [switch]$AnomalyAnalysis, [Parameter(ParameterSetName = 'EffectivenessReport')] [switch]$EffectivenessReport, [switch]$LocalDebug, [string]$ExportPath, [switch]$WhatIf ) Set-StrictMode -Version Latest $ErrorActionPreference = 'Stop' function Write-NbvcBanner { param([string]$Phase) Write-Host "`n========================================" -ForegroundColor Cyan Write-Host ("Sentinel UEBA - {0}" -f $Phase) -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan } function Initialize-NbvcSentinelContext { if ($LocalDebug) { Write-Verbose "LocalDebug ingeschakeld: Azure-verbinding wordt overgeslagen." return } $requiredModules = @('Az.Accounts', 'Az.SecurityInsights', 'Az.OperationalInsights') foreach ($module in $requiredModules) { if (-not (Get-Module -ListAvailable -Name $module)) { throw "Vereist PowerShell-module '$module' is niet beschikbaar. Installeer het module voordat je het script uitvoert." } } $context = Get-AzContext if (-not $context) { Write-Host "Verbinden met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } } function Get-NbvcUEBASampleData { $now = Get-Date return [pscustomobject]@{ UEBAEnabled = $true DataSources = @( [pscustomobject]@{ Name = "Entra ID Sign-in Logs" Status = "Enabled" DataVolume = "High" }, [pscustomobject]@{ Name = "Microsoft 365 Activity Logs" Status = "Enabled" DataVolume = "Medium" } ) Baselines = [pscustomobject]@{ Users = 1250 Entities = 3400 BaselineAge = 45 } Anomalies = @( [pscustomobject]@{ Type = "Unusual Sign-in Location" Count = 12 Severity = "Medium" }, [pscustomobject]@{ Type = "Unusual Resource Access" Count = 5 Severity = "High" } ) } } function Invoke-UEBAConfigurationAssessment { [CmdletBinding()] param() Write-NbvcBanner -Phase "Configuration Assessment" if ($LocalDebug) { $data = Get-NbvcUEBASampleData Write-Host "[DEBUG] Gebruik van synthetische data voor lokale ontwikkeling." -ForegroundColor Gray } else { Initialize-NbvcSentinelContext | Out-Null Write-Host "Ophalen van UEBA-configuratie..." -ForegroundColor Gray $data = Get-NbvcUEBASampleData } $assessment = [PSCustomObject]@{ ScriptName = "ueba-configuration.ps1" Timestamp = Get-Date UEBAEnabled = $data.UEBAEnabled DataSources = $data.DataSources Baselines = $data.Baselines Issues = @( "Baseline is ouder dan 30 dagen, overweeg hertraining", "2 data sources hebben lage data volumes" ) } Write-Host "`nAssessment Resultaten:" -ForegroundColor Cyan Write-Host (" UEBA ingeschakeld: {0}" -f $(if ($assessment.UEBAEnabled) { "JA" } else { "NEE" })) -ForegroundColor White Write-Host (" Data sources: {0}" -f $assessment.DataSources.Count) -ForegroundColor White Write-Host (" Baseline leeftijd: {0} dagen" -f $assessment.Baselines.BaselineAge) -ForegroundColor White if ($assessment.Issues.Count -gt 0) { Write-Host "`n Gevonden issues:" -ForegroundColor Yellow foreach ($issue in $assessment.Issues) { Write-Host (" - {0}" -f $issue) -ForegroundColor Yellow } } return $assessment } function Invoke-UEBAAnomalyAnalysis { [CmdletBinding()] param() Write-NbvcBanner -Phase "Anomaly Analysis" if ($LocalDebug) { $data = Get-NbvcUEBASampleData } else { Initialize-NbvcSentinelContext | Out-Null $data = Get-NbvcUEBASampleData } $analysis = [PSCustomObject]@{ ScriptName = "ueba-configuration.ps1" Timestamp = Get-Date TotalAnomalies = ($data.Anomalies | Measure-Object -Property Count -Sum).Sum Anomalies = $data.Anomalies HighSeverityAnomalies = ($data.Anomalies | Where-Object { $_.Severity -eq "High" }).Count Recommendations = @( "Onderzoek high-severity anomalieën onmiddellijk", "Evalueer drempelwaarden voor anomaly detection", "Verhoog monitoring voor ongebruikelijke resource access" ) } Write-Host "`nAnomaly Analysis:" -ForegroundColor Cyan Write-Host (" Totaal anomalieën: {0}" -f $analysis.TotalAnomalies) -ForegroundColor White Write-Host (" High-severity: {0}" -f $analysis.HighSeverityAnomalies) -ForegroundColor Red return $analysis } function Invoke-UEBAEffectivenessReport { [CmdletBinding()] param() Write-NbvcBanner -Phase "Effectiveness Report" if ($LocalDebug) { $data = Get-NbvcUEBASampleData } else { Initialize-NbvcSentinelContext | Out-Null $data = Get-NbvcUEBASampleData } $report = [PSCustomObject]@{ ScriptName = "ueba-configuration.ps1" Timestamp = Get-Date UEBAEnabled = $data.UEBAEnabled TotalAnomaliesDetected = ($data.Anomalies | Measure-Object -Property Count -Sum).Sum FalsePositiveRate = 0.15 DetectionAccuracy = 0.87 Recommendations = @( "Continue monitoring van anomaly detection performance", "Evalueer en pas drempelwaarden aan op basis van false positive rates", "Investeer in training van security teams voor UEBA-interpretatie" ) } Write-Host "`nEffectiveness Report:" -ForegroundColor Cyan Write-Host (" Anomalieën gedetecteerd: {0}" -f $report.TotalAnomaliesDetected) -ForegroundColor White Write-Host (" False positive rate: {0}%" -f [math]::Round($report.FalsePositiveRate * 100, 1)) -ForegroundColor Yellow Write-Host (" Detectie-nauwkeurigheid: {0}%" -f [math]::Round($report.DetectionAccuracy * 100, 1)) -ForegroundColor Green return $report } function Export-NbvcReport { [CmdletBinding()] param( [Parameter(Mandatory = $true)] [object]$Data, [Parameter(Mandatory = $true)] [string]$Path ) if (-not $Path) { return } $directory = Split-Path -Parent $Path if ($directory -and -not (Test-Path -Path $directory)) { New-Item -ItemType Directory -Path $directory -Force | Out-Null } $extension = [System.IO.Path]::GetExtension($Path).ToLower() switch ($extension) { '.json' { $Data | ConvertTo-Json -Depth 10 | Out-File -FilePath $Path -Encoding UTF8 -Force Write-Host "[OK] Rapport geschreven naar $Path" -ForegroundColor Green } '.csv' { $Data | Export-Csv -Path $Path -NoTypeInformation -Encoding UTF8 -Force Write-Host "[OK] Rapport geschreven naar $Path" -ForegroundColor Green } default { Write-Warning "Ondersteund exportformaat niet herkend. Gebruik .json of .csv" } } } $executed = $false if ($Assessment) { $result = Invoke-UEBAConfigurationAssessment if ($ExportPath) { Export-NbvcReport -Data $result -Path $ExportPath } $executed = $true $result } if ($AnomalyAnalysis) { $result = Invoke-UEBAAnomalyAnalysis if ($ExportPath) { Export-NbvcReport -Data $result -Path $ExportPath } $executed = $true $result } if ($EffectivenessReport) { $result = Invoke-UEBAEffectivenessReport if ($ExportPath) { Export-NbvcReport -Data $result -Path $ExportPath } $executed = $true $result } if (-not $executed) { Write-Host "Geen modus opgegeven. Gebruik ten minste een van de volgende opties:" -ForegroundColor Yellow Write-Host " -Assessment Voer een UEBA-configuratie assessment uit." -ForegroundColor Yellow Write-Host " -AnomalyAnalysis Analyseer gedetecteerde anomalieën." -ForegroundColor Yellow Write-Host " -EffectivenessReport Genereer een effectiviteitsrapport." -ForegroundColor Yellow Write-Host "Optioneel: -LocalDebug voor lokale tests, -ExportPath voor rapportage." -ForegroundColor Yellow } Write-Host "`n========================================`n" -ForegroundColor Cyan

Risico zonder implementatie

Risico zonder implementatie
Hoog: Zonder UEBA blijven organisaties afhankelijk van traditionele detectiemethoden die geavanceerde bedreigingen zoals insider threats en gecompromitteerde accounts vaak missen, wat leidt tot verhoogde risico's op datalekken en beveiligingsincidenten.

Management Samenvatting

Configureer en optimaliseer UEBA in Microsoft Sentinel om geavanceerde bedreigingen te detecteren die traditionele methoden zouden missen. Focus op data onboarding, baseline-ontwikkeling, anomaly detection en response-processen om insider threats en gecompromitteerde accounts proactief te identificeren.