AI tegen AI (deel 2): Wat is UEBA in Microsoft Sentinel en waarom je het nodig hebt
In mijn eerdere blog AI tegen AI beschreef ik hoe aanvallers steeds vaker kunstmatige intelligentie inzetten om onder de radar te blijven. Phishing wordt slimmer, aanvallen worden subtieler en misbruik van legitieme accounts is inmiddels de norm. In deze blog zoomen we in op een van de belangrijkste verdedigingsmechanismen aan de kant van het Blue Team: User and Entity Behavior Analytics, of UEBA in het kort.
Want als aanvallers AI gebruiken om zich als "normaal" gedrag te vermommen, hoe detecteer je dat dan nog?
De verschuiving: van inbraak naar inloggen
Traditionele cybersecurity draait al tijden om het detecteren van afwijkingen: malware-signatures, bekende aanvalspatronen en hard geconfigureerde detectieregels. Maar moderne aanvallen zien er anders uit.
Hackers breken niet meer in. Ze loggen in.
Met gestolen credentials, OAuth-tokens of misbruik van serviceaccounts bewegen aanvallers zich door omgevingen alsof ze legitieme gebruikers zijn. Voor klassieke SIEM-detectieregels ziet dit er vaak valide uit:
- Het gaat hier om een authentieke gebruiker
- Er wordt gebruikgemaakt van een geldige MFA
- Het gebruikte apparaat is valide
En toch gaat het mis.
Hier begint het speelveld van AI tegen AI - waarbij verdedigers niet langer kijken wat iemand doet, maar hoe dat gedrag zich verhoudt tot normaal gebruik.
Hackers breken niet meer in. Ze loggen in.
Met gestolen credentials, OAuth-tokens of misbruik van serviceaccounts bewegen aanvallers zich door omgevingen alsof ze legitieme gebruikers zijn. Voor klassieke SIEM-detectieregels ziet dit er vaak valide uit:
- Het gaat hier om een authentieke gebruiker
- Er wordt gebruikgemaakt van een geldige MFA
- Het gebruikte apparaat is valide
En toch gaat het mis.
Hier begint het speelveld van AI tegen AI - waarbij verdedigers niet langer kijken wat iemand doet, maar hoe dat gedrag zich verhoudt tot normaal gebruik.
Wat is UEBA?
In plaats van vaste regels gebruikt UEBA machine learning om gedrag te analyseren over tijd.Het systeem bouwt een baseline op van normaal gedrag voor:
- Gebruikers
- Apparaten
- Serviceaccounts
- Applicaties en workloads
Zodra gedrag statistisch afwijkt van die baseline, wordt het als verdacht gemarkeerd.
UEBA kijkt hierbij niet naar één losse actie, maar naar de complete context en het patroon.
Voorbeelden:
- Een gebruiker logt altijd in vanuit Nederland, maar plotseling consequent vanuit meerdere continenten.
- Een valide gebruiker logt in vanaf zijn Entra joined device. Even later wordt het token van deze sessie gebruikt vanaf een andere user agent en vanuit een andere locatie.
- Een account downloadt ineens veel meer data dan normaal.
- Een servicetoken wordt buiten zijn gebruikelijke tijd en scope ingezet.
Dus geen rule-based alert, maar een gedragsafwijking.
- Gebruikers
- Apparaten
- Serviceaccounts
- Applicaties en workloads
Zodra gedrag statistisch afwijkt van die baseline, wordt het als verdacht gemarkeerd.
UEBA kijkt hierbij niet naar één losse actie, maar naar de complete context en het patroon.
Voorbeelden:
- Een gebruiker logt altijd in vanuit Nederland, maar plotseling consequent vanuit meerdere continenten.
- Een valide gebruiker logt in vanaf zijn Entra joined device. Even later wordt het token van deze sessie gebruikt vanaf een andere user agent en vanuit een andere locatie.
- Een account downloadt ineens veel meer data dan normaal.
- Een servicetoken wordt buiten zijn gebruikelijke tijd en scope ingezet.
Dus geen rule-based alert, maar een gedragsafwijking.
UEBA binnen Microsoft Sentinel
Microsoft Sentinel integreert UEBA diep in het platform. Het is geen losse module, maar onderdeel van analyses, incidenten, threat hunting en risicoscores.
De eerste signalen dat er iets misgaat komen vaak via Microsoft Entra ID Protection, bijvoorbeeld door risicovolle aanmeldingen of verdachte accountactiviteit. UEBA in Microsoft Sentinel gaat vervolgens een stap verder door dit signaal in context te plaatsen en te verrijken met gedragsanalyse over tijd.
Zo combineert Sentinel data uit onder andere:
- Microsoft Entra ID
- Microsoft Defender XDR
- Azure Activity Logs
- Endpoint- en netwerktelemetrie
Waar Entra ID Protection kijkt naar individuele identity-events, verbindt UEBA deze aan breder gebruikers- en entiteitsgedrag binnen de gehele omgeving. Sentinel fungeert daarbij als het centrale platform waar identity-risico's, UEBA-inzichten en andere securitysignalen samenkomen. Met behulp van machine learning bouwt Sentinel automatisch gedragsprofielen en kent het risicoscores toe aan gebruikers en entiteiten. Deze modellen leren continu bij. Gedrag dat structureel verandert (bijvoorbeeld door een nieuwe functie of werklocatie) wordt automatisch meegenomen in de baseline.
De eerste signalen dat er iets misgaat komen vaak via Microsoft Entra ID Protection, bijvoorbeeld door risicovolle aanmeldingen of verdachte accountactiviteit. UEBA in Microsoft Sentinel gaat vervolgens een stap verder door dit signaal in context te plaatsen en te verrijken met gedragsanalyse over tijd.
Zo combineert Sentinel data uit onder andere:
- Microsoft Entra ID
- Microsoft Defender XDR
- Azure Activity Logs
- Endpoint- en netwerktelemetrie
Waar Entra ID Protection kijkt naar individuele identity-events, verbindt UEBA deze aan breder gebruikers- en entiteitsgedrag binnen de gehele omgeving. Sentinel fungeert daarbij als het centrale platform waar identity-risico's, UEBA-inzichten en andere securitysignalen samenkomen. Met behulp van machine learning bouwt Sentinel automatisch gedragsprofielen en kent het risicoscores toe aan gebruikers en entiteiten. Deze modellen leren continu bij. Gedrag dat structureel verandert (bijvoorbeeld door een nieuwe functie of werklocatie) wordt automatisch meegenomen in de baseline.
Waarom UEBA perfect past in 'AI tegen AI'
Aanvallers gebruiken AI om:
- Phishingaanvallen realistischer te maken
- Gedrag aan te passen aan het doelwit
- Activiteiten te spreiden om zo lang mogelijk onopgemerkt te blijven
UEBA gebruikt AI om:
- Subtiele afwijkingen te herkennen
- Context toe te voegen aan logdata
- Signalering te baseren op waarschijnlijkheid, niet op zekerheid
Dit is het fundamentele verschil.
Waar aanvallers AI inzetten om detectie van malafide activiteiten te minimaliseren, gebruikt het Blue Team AI om die activiteiten alsnog betekenis te geven.
UEBA kijkt niet: "Is dit fout?"
UEBA vraagt: "Is dit logisch, gezien alles wat we weten?"
- Phishingaanvallen realistischer te maken
- Gedrag aan te passen aan het doelwit
- Activiteiten te spreiden om zo lang mogelijk onopgemerkt te blijven
UEBA gebruikt AI om:
- Subtiele afwijkingen te herkennen
- Context toe te voegen aan logdata
- Signalering te baseren op waarschijnlijkheid, niet op zekerheid
Dit is het fundamentele verschil.
Waar aanvallers AI inzetten om detectie van malafide activiteiten te minimaliseren, gebruikt het Blue Team AI om die activiteiten alsnog betekenis te geven.
UEBA kijkt niet: "Is dit fout?"
UEBA vraagt: "Is dit logisch, gezien alles wat we weten?"
Wat detecteert UEBA beter dan klassieke SIEM-regels?
Daar waar traditionele detectie faalt, blinkt UEBA uit in scenario's van:
- Gecompromitteerde accounts - vooral bij MFA-fatigue en token-diefstal.
- Insider threats - bewust of onbewust misbruik van rechten, vaak verspreid over tijd.
- Lateral movement - gedrag dat op zichzelf legitiem kan zijn, maar afwijkt van het patroon.
- Misbruik van serviceaccounts - niet-persoonsgebonden accounts worden vaak nauwelijks gemonitord, maar beschikken regelmatig over extra rechten.
In al deze gevallen geldt: de actie klopt, het gedrag wijkt af.
- Gecompromitteerde accounts - vooral bij MFA-fatigue en token-diefstal.
- Insider threats - bewust of onbewust misbruik van rechten, vaak verspreid over tijd.
- Lateral movement - gedrag dat op zichzelf legitiem kan zijn, maar afwijkt van het patroon.
- Misbruik van serviceaccounts - niet-persoonsgebonden accounts worden vaak nauwelijks gemonitord, maar beschikken regelmatig over extra rechten.
In al deze gevallen geldt: de actie klopt, het gedrag wijkt af.
UEBA en incident response in Sentinel
In Microsoft Sentinel worden UEBA-signalen niet los gepresenteerd. Ze:
- Verrijken bestaande alerts
- Verhogen of verlagen de prioriteit van incidenten
- Geven context aan SOC-analisten
Een analist ziet niet alleen wat er gebeurde, maar ook:
- Hoe ongebruikelijk dit is
- Ten opzichte van wie
- Ten opzichte van historisch gedrag
Dit verlaagt alert fatigue en verhoogt de kwaliteit van beslissingen - cruciaal in een SOC waar AI-gedreven aanvallen snelheid vereisen.
- Verrijken bestaande alerts
- Verhogen of verlagen de prioriteit van incidenten
- Geven context aan SOC-analisten
Een analist ziet niet alleen wat er gebeurde, maar ook:
- Hoe ongebruikelijk dit is
- Ten opzichte van wie
- Ten opzichte van historisch gedrag
Dit verlaagt alert fatigue en verhoogt de kwaliteit van beslissingen - cruciaal in een SOC waar AI-gedreven aanvallen snelheid vereisen.
Wat UEBA niet is
UEBA wordt vaak verkeerd begrepen. Het is geen vervanging voor goede logging, want zonder betrouwbare en uitgebreide logbronnen is gedragsanalyse onmogelijk. Ook schend je met UEBA geen privacy: het analyseert gedragspatronen en context, niet de inhoud van communicatie. Als laatste is UEBA geen "magic button" die securityproblemen automatisch oplost. Een doordachte configuratie, duidelijke governance en een solide architectuur blijven essentieel. UEBA versterkt detectie en inzicht, maar vervangt nooit fundamentele ontwerpkeuzes of Zero Trust-principes.
UEBA als fundament binnen Zero Trust en cloud security
In Zero Trust geldt: "Never trust, always verify."
Maar verificatie stopt niet bij inloggen.
In hybride en cloudomgevingen, met:
- SaaS
- Remote work
- API's
- AI-agents
- Non-human identities
... is continu gedrag verifiëren onmisbaar.
UEBA vormt daarmee een brug tussen:
- Identiteit
- Detectie
- AI-ondersteunde verdediging
Precies waar het Blue Team het verschil kan maken en zo dat ene malafide account kan uitschakelen, voordat het alle verzamelde data exfiltreert.
Maar verificatie stopt niet bij inloggen.
In hybride en cloudomgevingen, met:
- SaaS
- Remote work
- API's
- AI-agents
- Non-human identities
... is continu gedrag verifiëren onmisbaar.
UEBA vormt daarmee een brug tussen:
- Identiteit
- Detectie
- AI-ondersteunde verdediging
Precies waar het Blue Team het verschil kan maken en zo dat ene malafide account kan uitschakelen, voordat het alle verzamelde data exfiltreert.
Conclusie: verdedig AI met AI
In een wereld waar aanvallers AI inzetten om normale gebruikers na te bootsen, is gedragsanalyse pure noodzaak. UEBA in Microsoft Sentinel laat zien hoe AI defensief kan worden ingezet om het speelveld weer in balans te brengen. Niet door onnodig veel alerts te genereren, maar door slimmer te kijken naar wat logisch is en daarop te monitoren.
Dat is waar AI tegen AI uiteindelijk om draait.
Benieuwd wat UEBA in Microsoft Sentinel voor jouw organisatie kan betekenen? Neem contact met ons op.
Dat is waar AI tegen AI uiteindelijk om draait.
Benieuwd wat UEBA in Microsoft Sentinel voor jouw organisatie kan betekenen? Neem contact met ons op.