Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizini (UEBA) Etkinleştirme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Önceki dağıtım adımında, sistemlerinizi korumak için ihtiyacınız olan Microsoft Sentinel güvenlik içeriğini etkinleştirmişsiniz. Bu makalede, analiz sürecini kolaylaştırmak için UEBA özelliğini etkinleştirmeyi ve kullanmayı öğreneceksiniz. Bu makale, Microsoft Sentinel dağıtım kılavuzunun bir parçasıdır.

Microsoft Sentinel tüm bağlı veri kaynaklarından günlükleri ve uyarıları toplarken, bunları analiz eder ve zaman ve eş grup ufku genelinde kuruluşunuzun varlıklarının (kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi) temel davranış profillerini oluşturur. Microsoft Sentinel, çeşitli teknikleri ve makine öğrenmesi özelliklerini kullanarak anormal etkinlikleri tanımlayabilir ve bir varlığın gizliliğinin tehlikeye atılıp aşılmadığını belirlemenize yardımcı olabilir. UEBA hakkında daha fazla bilgi edinin.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Bu özelliği etkinleştirmek veya devre dışı bırakmak için (bu önkoşulların özelliği kullanması gerekmez):

• Kullanıcınızın kiracınızdaki Microsoft Entra ID Güvenlik Yöneticisi rolüne veya eşdeğer izinlere atanması gerekir.

• Kullanıcınıza aşağıdaki Azure rollerinden en az biri atanmalıdır (Azure RBAC hakkında daha fazla bilgi edinin):

  • Çalışma alanı veya kaynak grubu düzeylerinde Microsoft Sentinel Katkıda Bulunanı .
  • Kaynak grubu veya abonelik düzeylerinde Log Analytics Katkıda Bulunanı .

• Çalışma alanınızda azure kaynak kilitleri uygulanmamalıdır. Azure kaynak kilitleme hakkında daha fazla bilgi edinin.

Not

• Microsoft Sentinel'e UEBA işlevselliği eklemek için özel lisans gerekmez ve bunu kullanmanın ek bir maliyeti yoktur.
• Ancak UEBA yeni veriler oluşturduğundan ve bunları Log Analytics çalışma alanınızda UEBA tarafından oluşturulan yeni tablolarda depoladığından ek veri depolama ücretleri uygulanır.

Kullanıcı ve Varlık Davranış Analizini etkinleştirme

• Azure portalında Microsoft Sentinel kullanıcıları, Azure portalı sekmesindeki yönergeleri izleyin.
• Microsoft Sentinel kullanıcıları, Microsoft Defender portalındaki birleşik güvenlik işlemleri platformunun bir parçası olarak Defender portalı sekmesindeki yönergeleri izleyin.

1. Varlık davranışı yapılandırma sayfasına gidin.

   Azure portalı

   Varlık davranışı yapılandırma sayfasına ulaşmak için şu üç yoldan birini kullanın:

   • Microsoft Sentinel gezinti menüsünde Varlık davranışı'nı ve ardından üst menü çubuğundan Varlık davranışı ayarları'nı seçin.

   • Microsoft Sentinel gezinti menüsünden Ayarlar'ı seçin, Ayarlar sekmesini seçin, ardından Varlık davranışı analizi genişleticisinin altında UEBA Ayarla'yı seçin.

   • Microsoft Defender XDR veri bağlayıcısı sayfasındaN UEBA yapılandırma sayfasına git bağlantısını seçin.

   Defender portalı

   Varlık davranışı yapılandırma sayfasına ulaşmak için:

   1. Microsoft Defender portalı gezinti menüsünden Ayarlar'ı seçin.
   2. Ayarlar sayfasında Microsoft Sentinel'i seçin.
   3. Sonraki menüden Varlık davranışı analizi'ni seçin.
   4. Ardından UEBA'yı Ayarla'yı seçerek Azure portalında Varlık davranışı yapılandırma sayfasıyla yeni bir tarayıcı sekmesi açın.

2. Varlık davranışı yapılandırması sayfasında iki durumlu düğmeyi Açık olarak değiştirin.

   

3. Kullanıcı varlıklarını Microsoft Sentinel ile eşitlemek istediğiniz Active Directory kaynak türlerinin yanındaki onay kutularını işaretleyin.

   • Şirket içi Active Directory (Önizleme)
   • Microsoft Entra ID

   Kullanıcı varlıklarını şirket içi Active Directory eşitlemek için Azure kiracınızın Kimlik için Microsoft Defender (tek başına veya Microsoft Defender XDR'nin bir parçası olarak) ekli olması ve Active Directory etki alanı denetleyicinizde MDI algılayıcısının yüklü olması gerekir. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender önkoşulları.

4. UEBA'yı etkinleştirmek istediğiniz veri kaynaklarının yanındaki onay kutularını işaretleyin.

   Not

   Mevcut veri kaynakları listesinin altında henüz bağlamadığınız UEBA tarafından desteklenen veri kaynaklarının listesini görürsünüz.

   UEBA'yı etkinleştirdikten sonra, yeni veri kaynaklarını bağlarken, UEBA özellikli olmaları durumunda bunları doğrudan veri bağlayıcısı bölmesinden UEBA için etkinleştirme seçeneğiniz olur.

5. Uygula’yı seçin. Bu sayfaya Varlık davranışı sayfası üzerinden erişdiyseniz, orada döndürülür.

Sonraki adımlar

Bu makalede, Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizi'nin (UEBA) nasıl etkinleştirileceğini ve yapılandırileceğini öğrendiniz. UEBA hakkında daha fazla bilgi için:

Varlık sayfalarıyla varlıkları araştırma