Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önceki dağıtım adımında, sistemlerinizi korumak için ihtiyacınız olan Microsoft Sentinel güvenlik içeriğini etkinleştirmişsiniz. Bu makalede, analiz sürecini kolaylaştırmak için UEBA özelliğini etkinleştirmeyi ve kullanmayı öğreneceksiniz. Bu makale, Microsoft Sentinel dağıtım kılavuzunun bir parçasıdır.
Microsoft Sentinel tüm bağlı veri kaynaklarından günlükleri ve uyarıları toplarken, bunları analiz eder ve zaman ve eş grup ufku genelinde kuruluşunuzun varlıklarının (kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi) temel davranış profillerini oluşturur. Microsoft Sentinel, çeşitli teknikleri ve makine öğrenmesi özelliklerini kullanarak anormal etkinlikleri tanımlayabilir ve bir varlığın gizliliğinin tehlikeye atılıp aşılmadığını belirlemenize yardımcı olabilir. UEBA hakkında daha fazla bilgi edinin.
Not
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Önemli
Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmayan müşteriler de dahil olmak üzere Microsoft Defender portalında genel olarak kullanılabilir.
Temmuz 2026'dan itibaren Azure portalında Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilecek ve yalnızca Defender portalında Microsoft Sentinel'i kullanacaktır. Temmuz 2025'den itibaren birçok yeni müşteri otomatik olarak eklenir ve Defender portalına yönlendirilir.
Azure portalında Hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel'in Azure portalını kullanımdan kaldırma.
Önkoşullar
Bu özelliği etkinleştirmek veya devre dışı bırakmak için (bu önkoşulların özelliği kullanması gerekmez):
Kullanıcınızın kiracınızdaki Microsoft Entra ID Güvenlik Yöneticisi rolüne veya eşdeğer izinlere atanması gerekir.
Kullanıcınıza aşağıdaki Azure rollerinden en az biri atanmalıdır (Azure RBAC hakkında daha fazla bilgi edinin):
- Çalışma alanı veya kaynak grubu düzeylerinde Microsoft Sentinel Katkıda Bulunanı .
- Kaynak grubu veya abonelik düzeylerinde Log Analytics Katkıda Bulunanı .
Çalışma alanınızda azure kaynak kilitleri uygulanmamalıdır. Azure kaynak kilitleme hakkında daha fazla bilgi edinin.
Not
- Microsoft Sentinel'e UEBA işlevselliği eklemek için özel lisans gerekmez ve bunu kullanmanın ek bir maliyeti yoktur.
- Ancak UEBA yeni veriler oluşturduğundan ve bunu Log Analytics çalışma alanınızda UEBA tarafından oluşturulan yeni tablolarda depoladığından ek veri depolama ücretleri uygulanır.
Kullanıcı ve Varlık Davranış Analizini etkinleştirme
- Azure portalında Microsoft Sentinel kullanıcıları, Azure portalı sekmesindeki yönergeleri izleyin.
- Microsoft Defender portalının bir parçası olarak Microsoft Sentinel kullanıcıları, Defender portalı sekmesindeki yönergeleri izleyin.
Varlık davranışı yapılandırma sayfasına gidin.
Varlık davranışı yapılandırma sayfasına ulaşmak için şu üç yoldan birini kullanın:
Microsoft Sentinel gezinti menüsünde Varlık davranışı'nı ve ardından üst menü çubuğundan Varlık davranışı ayarları'nı seçin.
Microsoft Sentinel gezinti menüsünden Ayarlar'ı seçin, Ayarlar sekmesini seçin, ardından Varlık davranışı analizi genişleticisinin altında UEBA Ayarla'yı seçin.
Microsoft Defender XDR veri bağlayıcısı sayfasındaN UEBA yapılandırma sayfasına git bağlantısını seçin.
Varlık davranışı yapılandırması sayfasında UEBA özelliğini aç seçeneğini açın.
Kullanıcı varlıklarını Microsoft Sentinel ile eşitlemek istediğiniz dizin hizmetlerini seçin.
- Şirket içi Active Directory (Önizleme)
- Microsoft Entra ID
Kullanıcı varlıklarını şirket içi Active Directory'den eşitlemek için Azure kiracınızı Kimlik için Microsoft Defender'a (tek başına veya Microsoft Defender XDR'nin bir parçası olarak) eklemeli ve Active Directory etki alanı denetleyicinizde MDI algılayıcısı yüklü olmalıdır. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender önkoşulları.
Tüm uygun veri kaynaklarını bağlamak için Tüm veri kaynaklarını bağla'yı seçin veya listeden belirli veri kaynaklarını seçin.
Bu veri kaynaklarını yalnızca Defender ve Azure portallarından etkinleştirebilirsiniz:
- Oturum Açma Günlükleri
- Denetim Günlükleri
- Azure Etkinliği
- Güvenlik Olayları
Bu veri kaynaklarını yalnızca Defender portalından etkinleştirebilirsiniz (önizleme):
- AAD Yönetilen Kimlik Oturum Açma günlükleri (Microsoft Entra Id)
- AAD Hizmet Sorumlusu Oturum Açma günlükleri (Microsoft Entra Id)
- AWS CloudTrail
- Cihaz Oturum Açma Olayları
- Okta CL
- GCP Denetim Günlükleri
UEBA veri kaynakları ve anomalileri hakkında daha fazla bilgi için bkz. Microsoft Sentinel UEBA başvurusu ve UEBA anomalileri.
Not
UEBA'yı etkinleştirdikten sonra, UEBA için desteklenen veri kaynaklarını bu makalede açıklandığı gibi doğrudan veri bağlayıcısı bölmesinden veya Defender portalı Ayarlar sayfasından etkinleştirebilirsiniz.
Bağlan seçeneğini seçin.
Sentinel çalışma alanınızda anomali algılamayı etkinleştirin:
- Microsoft Defender portalı gezinti menüsünden Ayarlar>Microsoft Sentinel>SIEM çalışma alanları'nı seçin.
- Yapılandırmak istediğiniz çalışma alanını seçin.
- Çalışma alanı yapılandırma sayfasında Anomaliler'i seçin ve Anomalileri Algıla'yı açın.
Sonraki adımlar
Bu makalede, Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizi'nin (UEBA) nasıl etkinleştirileceğini ve yapılandırileceğini öğrendiniz. UEBA hakkında daha fazla bilgi için: