Aracılığıyla paylaş

Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizini (UEBA) Etkinleştirme

  • Şunlara uygulanır: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel'deki Kullanıcı ve Varlık Davranışı Analizi (UEBA), bağlı veri kaynaklarından gelen günlükleri ve uyarıları analiz ederek kuruluşunuzun kullanıcı, konak, IP adresi ve uygulama gibi varlıklarının temel davranış profillerini oluşturur. UEBA, makine öğrenmesini kullanarak güvenliği aşılmış bir varlığı gösterebilecek anormal etkinlikleri tanımlar.

Kullanıcı ve Varlık Davranış Analizi'ni iki şekilde etkinleştirebilirsiniz. Her ikisi de aynı sonuçla:

  • Microsoft Sentinel çalışma alanı ayarlarından: Çalışma alanınız için UEBA'yı etkinleştirin ve Microsoft Defender portalında veya Azure portalında hangi veri kaynaklarının bağlanacaklarını seçin.
  • Desteklenen veri bağlayıcılarından: Microsoft Defender portalında UEBA tarafından desteklenen veri bağlayıcılarını yapılandırırken UEBA'yı etkinleştirin.

Bu makalede, Microsoft Sentinel çalışma alanı ayarlarınızdan ve desteklenen veri bağlayıcılarından UEBA'yı etkinleştirme ve veri kaynaklarını yapılandırma işlemleri açıklanmaktadır.

UEBA hakkında daha fazla bilgi için bkz. Varlık davranışı analiziyle tehditleri tanımlama.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önemli

Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmayan müşteriler de dahil olmak üzere Microsoft Defender portalında genel olarak kullanılabilir.

Temmuz 2026'dan itibaren Azure portalında Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilecek ve yalnızca Defender portalında Microsoft Sentinel'i kullanacaktır. Temmuz 2025'den itibaren birçok yeni müşteri otomatik olarak eklenir ve Defender portalına yönlendirilir.

Azure portalında Hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel'in Azure portalını kullanımdan kaldırma.

Önkoşullar

Bu özelliği etkinleştirmek veya devre dışı bırakmak için (bu önkoşulların özelliği kullanması gerekmez):

  • Kullanıcınızın kiracınızdaki Microsoft Entra ID Güvenlik Yöneticisi rolüne veya eşdeğer izinlere atanması gerekir.

  • Kullanıcınıza aşağıdaki Azure rollerinden en az biri atanmalıdır (Azure RBAC hakkında daha fazla bilgi edinin):

    • Çalışma alanı veya kaynak grubu düzeylerinde Microsoft Sentinel Katkıda Bulunanı .
    • Kaynak grubu veya abonelik düzeylerinde Log Analytics Katkıda Bulunanı .

  • Çalışma alanınızda azure kaynak kilitleri uygulanmamalıdır. Azure kaynak kilitleme hakkında daha fazla bilgi edinin.

Not

  • Microsoft Sentinel'e UEBA işlevselliği eklemek için özel lisans gerekmez ve bunu kullanmanın ek bir maliyeti yoktur.
  • Ancak UEBA yeni veriler oluşturduğundan ve bunu Log Analytics çalışma alanınızda UEBA tarafından oluşturulan yeni tablolarda depoladığından ek veri depolama ücretleri uygulanır.

Çalışma alanı ayarlarından UEBA'yı etkinleştirme

Microsoft Sentinel çalışma alanı ayarlarınızdan UEBA'yı etkinleştirmek için:

  1. Varlık davranışı yapılandırma sayfasına gidin.

    Varlık davranışı yapılandırma sayfasına ulaşmak için şu üç yoldan birini kullanın:

    • Microsoft Sentinel gezinti menüsünde Varlık davranışı'nı ve ardından üst menü çubuğundan Varlık davranışı ayarları'nı seçin.

    • Microsoft Sentinel gezinti menüsünden Ayarlar'ı seçin, Ayarlar sekmesini seçin, ardından Varlık davranışı analizi genişleticisinin altında UEBA Ayarla'yı seçin.

    • Microsoft Defender XDR veri bağlayıcısı sayfasındaN UEBA yapılandırma sayfasına git bağlantısını seçin.

  2. Varlık davranışı yapılandırması sayfasında UEBA özelliğini aç seçeneğini açın.

    UEBA yapılandırma ayarlarının ekran görüntüsü.

  3. Kullanıcı varlıklarını Microsoft Sentinel ile eşitlemek istediğiniz dizin hizmetlerini seçin.

    • Şirket içi Active Directory (Önizleme)
    • Microsoft Entra ID

    Kullanıcı varlıklarını şirket içi Active Directory'den eşitlemek için Azure kiracınızı Kimlik için Microsoft Defender'a (tek başına veya Microsoft Defender XDR'nin bir parçası olarak) eklemeli ve Active Directory etki alanı denetleyicinizde MDI algılayıcısı yüklü olmalıdır. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender önkoşulları.

  4. Tüm uygun veri kaynaklarını bağlamak için Tüm veri kaynaklarını bağla'yı seçin veya listeden belirli veri kaynaklarını seçin.

    Bu veri kaynaklarını yalnızca Defender ve Azure portallarından etkinleştirebilirsiniz:

    • Oturum Açma Günlükleri
    • Denetim Günlükleri
    • Azure Etkinliği
    • Güvenlik Olayları

    Bu veri kaynaklarını yalnızca Defender portalından etkinleştirebilirsiniz (önizleme):

    • AAD Yönetilen Kimlik Oturum Açma günlükleri (Microsoft Entra Id)
    • AAD Hizmet Sorumlusu Oturum Açma günlükleri (Microsoft Entra Id)
    • AWS CloudTrail
    • Cihaz Oturum Açma Olayları
    • Okta CL
    • GCP Denetim Günlükleri

    UEBA veri kaynakları ve anomalileri hakkında daha fazla bilgi için bkz. Microsoft Sentinel UEBA başvurusu ve UEBA anomalileri.

    Not

    UEBA'yı etkinleştirdikten sonra, UEBA için desteklenen veri kaynaklarını bu makalede açıklandığı gibi doğrudan veri bağlayıcısı bölmesinden veya Defender portalı Ayarlar sayfasından etkinleştirebilirsiniz.

  5. Bağlan seçeneğini seçin.

  6. Microsoft Sentinel çalışma alanınızda anomali algılamayı etkinleştirin:

    1. Microsoft Defender portalı gezinti menüsünden Ayarlar>Microsoft Sentinel>SIEM çalışma alanları'nı seçin.
    2. Yapılandırmak istediğiniz çalışma alanını seçin.
    3. Çalışma alanı yapılandırma sayfasında Anomaliler'i seçin ve Anomalileri Algıla'yı açın.

Desteklenen bağlayıcılardan UEBA'yı etkinleştirme

Microsoft Defender portalında desteklenen veri bağlayıcılarından UEBA'yı etkinleştirmek için:

  1. Microsoft Defender portalı gezinti menüsünden Microsoft Sentinel > Yapılandırma > Verileri bağlayıcıları'nı seçin.

  2. UEBA destekleyen bir UEBA desteklenen veri bağlayıcısı seçin. UEBA tarafından desteklenen veri bağlayıcıları ve tabloları hakkında daha fazla bilgi için bkz. Microsoft Sentinel UEBA başvurusu.

  3. Veri bağlayıcısı bölmesinde Bağlayıcı sayfasını aç'ı seçin.

  4. Bağlayıcı ayrıntıları sayfasında Gelişmiş seçenekler'i seçin.

  5. UEBA'yı Yapılandır'ın altında, UEBA için etkinleştirmek istediğiniz tabloları açın.

    Veri bağlayıcısında UEBA yapılandırmasının ekran görüntüsü.

Microsoft Sentinel veri bağlayıcılarını yapılandırma hakkında daha fazla bilgi için bkz. Veri bağlayıcılarını kullanarak veri kaynaklarını Microsoft Sentinel'e bağlama.

UEBA davranış katmanını etkinleştirme (Önizleme)

UEBA davranış katmanı, birden çok veri kaynağında gözlemlenen zenginleştirilmiş etkinlik özetleri oluşturur. Uyarılardan veya anomalilerden farklı olarak, davranışlar riski belirtmek zorunda değildir - verilerinizi araştırmalar, tehdit avı ve algılama için geliştirerek en iyi duruma getiren bir soyutlama katmanı oluştururlar.

UEBA davranış katmanı ve nasıl etkinleştirileceği hakkında daha fazla bilgi için bkz. Microsoft Sentinel'de UEBA davranış katmanını etkinleştirme.

Sonraki adımlar

Bu makalede, Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizi'nin (UEBA) nasıl etkinleştirileceğini ve yapılandırileceğini öğrendiniz. UEBA hakkında daha fazla bilgi için:

UEBA ile tehditleri tanımlama

  • Last updated on