Aracılığıyla paylaş

Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizi (UEBA) ile gelişmiş tehdit algılama

  • Şunlara uygulanır: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Kuruluşunuzun içindeki anormal davranışları algılamak karmaşık ve yavaştır. Microsoft Sentinel Kullanıcı ve Varlık Davranış Analizi (UEBA), kiracınız için dinamik temeller ve eş karşılaştırmaları oluşturmak üzere makine öğrenmesi modellerini kullanarak anomali algılamayı ve araştırmayı kolaylaştırır. UEBA, yalnızca günlükleri toplamak yerine verilerinizden analistlerin anomalileri algılamasına ve araştırmasına yardımcı olan eyleme dönüştürülebilir zekayı ortaya çıkarma hakkında bilgi edinir.

Bu makalede, Microsoft Sentinel UEBA'nın nasıl çalıştığı ve anomalileri ortaya çıkarıp araştırmak ve tehdit algılama özelliklerinizi geliştirmek için UEBA'nın nasıl kullanılacağı açıklanmaktadır.

Önemli

Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmayan müşteriler de dahil olmak üzere Microsoft Defender portalında genel olarak kullanılabilir.

Temmuz 2026'dan itibaren Azure portalında Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilecek ve yalnızca Defender portalında Microsoft Sentinel'i kullanacaktır. Temmuz 2025'den itibaren birçok yeni müşteri otomatik olarak eklenir ve Defender portalına yönlendirilir.

Azure portalında Hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel'in Azure portalını kullanımdan kaldırma.

UEBA'nın tüm avantajları Microsoft Defender portalında sağlanır.

UEBA nedir?

Microsoft Sentinel tüm bağlı veri kaynaklarınızdan günlükleri ve uyarıları toplarken, UEBA zaman içinde ve eş gruplar arasında kuruluşunuzun varlıkları (kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi) temel davranış profilleri oluşturmak için yapay zeka (AI) kullanır. Ardından UEBA anormal etkinliği tanımlar ve bir varlığın gizliliğinin tehlikeye atılıp aşılmadığını belirlemenize yardımcı olur.

UEBA ayrıca belirli varlıkların göreli duyarlılığını belirler, eş varlık gruplarını tanımlar ve tehlikeye girmiş herhangi bir varlığın olası etkisini değerlendirir - "patlama yarıçapı". Bu bilgiler araştırma, avcılık ve olay işleme işlemlerini etkili bir şekilde önceliklendirmenize olanak tanır.

UEBA analiz mimarisi

Varlık davranışı analizi mimarisi

Güvenlik temelli analiz

Gartner'ın UEBA çözümlerine yönelik paradigmasından ilham alan Microsoft Sentinel, üç referans karesine dayalı olarak "dışarıdan" bir yaklaşım sunar:

  • Kullanım örnekleri: Çeşitli varlıkları sonlandırma zincirinde kurban, fail veya pivot noktası olarak yerleştiren taktikler, teknikler ve alt teknolojilerden oluşan MITRE ATT&CK çerçevesiyle uyumlu güvenlik araştırmalarına dayalı ilgili saldırı vektörlerine ve senaryolarına öncelik vererek; Microsoft Sentinel özellikle her veri kaynağının sağlayabilecekleri en değerli günlüklere odaklanır.

  • Veri kaynakları: İlk ve en önemli destek Azure veri kaynaklarını desteklerken, Microsoft Sentinel tehdit senaryolarımızla eşleşen verileri sağlamak için üçüncü taraf veri kaynaklarını özenle seçer.

  • Analytics: Microsoft Sentinel, çeşitli makine öğrenmesi (ML) algoritmalarını kullanarak anormal etkinlikleri tanımlar ve bazı örnekleri aşağıda gösterilen bağlamsal zenginleştirmeler biçiminde net ve kısa kanıtlar sunar.

    Dışarıdan içeriye davranış analizi yaklaşımı

Microsoft Sentinel, güvenlik analistlerinizin bağlam içindeki anormal etkinlikleri net bir şekilde anlayıp kullanıcının temel profiliyle karşılaştırıldığında net bir şekilde anlamalarına yardımcı olan yapıtlar sunar. Kullanıcı (veya konak ya da adres) tarafından gerçekleştirilen eylemler bağlamsal olarak değerlendirilir ve burada "doğru" sonuç tanımlanan bir anomaliyi gösterir:

  • coğrafi konumlar, cihazlar ve ortamlar arasında.
  • zaman ve sıklık ufuklarında (kullanıcının kendi geçmişiyle karşılaştırıldığında).
  • eşlerin davranışıyla karşılaştırıldığında.
  • kuruluşun davranışıyla karşılaştırıldığında. Varlık bağlamı

Microsoft Sentinel'in kullanıcı profillerini oluşturmak için kullandığı kullanıcı varlığı bilgileri, Microsoft Entra Kimliğinizden (ve/veya şirket içi Active Directory, şimdi Önizleme sürümündedir) gelir. UEBA'yı etkinleştirdiğinizde, Microsoft Entra Kimliğinizi Microsoft Sentinel ile eşitler ve bilgileri IdentityInfo tablosu aracılığıyla görünen bir iç veritabanında depolar.

  • Azure portalında Microsoft Sentinel'de, Log Analytics'teki IdentityInfo tablosunu Günlükler sayfasında sorgularsınız.
  • Defender portalında bu tabloyu Gelişmiş tehdit avcılığı bölümünde sorgularsınız.

Artık önizleme aşamasında Kimlik için Microsoft Defender kullanarak şirket içi Active Directory kullanıcı varlığı bilgilerinizi de eşitleyebilirsiniz.

UEBA'yı etkinleştirmeyi ve kullanıcı kimliklerini eşitlemeyi öğrenmek için bkz. Microsoft Sentinel'de Kullanıcı ve Varlık Davranışı Analizini (UEBA) Etkinleştirme.

Puanlama

Her etkinlik, kullanıcının ve eşlerinin davranışsal öğrenmesine bağlı olarak belirli bir kullanıcının belirli bir etkinliği gerçekleştirme olasılığını belirleyen "Araştırma Önceliği Puanı" ile puanlanır. En anormal olarak tanımlanan etkinlikler en yüksek puanları alır (0-10 ölçeğinde).

Bunun nasıl çalıştığına ilişkin bir örnek için Cloud Apps için Microsoft Defender'da davranış analizinin nasıl kullanıldığına bakın.

Microsoft Sentinel'deki varlıklar hakkında daha fazla bilgi edinin ve desteklenen varlıkların ve tanımlayıcıların tam listesine bakın.

Varlık sayfaları

Varlık sayfaları hakkındaki bilgileri artık Microsoft Sentinel'deki Varlık sayfalarında bulabilirsiniz.

Defender portalındaki UEBA deneyimleri analistleri güçlendirerek iş akışlarını kolaylaştırıyor

Araştırma graflarında ve kullanıcı sayfalarında anomalileri ortaya çıkararak ve analistlerden anomali verilerini avcılık sorgularına dahil etmelerini isteyen UEBA, tehdit algılamayı, daha akıllı öncelik belirlemeyi ve daha verimli olay yanıtlarını kolaylaştırır.

Bu bölümde, UEBA'yı etkinleştirdiğinizde Defender portalında kullanılabilen önemli UEBA analist deneyimleri özetlenir.

Kullanıcı araştırmalarında UEBA içgörüleri

Analistler, yan panellerde ve tüm kullanıcı sayfalarında Genel Bakış sekmesinde görüntülenen UEBA bağlamını kullanarak kullanıcı riskini hızla değerlendirebilir. Olağan dışı davranış algılandığında portal, UEBA anomalileri olan kullanıcıları otomatik olarak etiketler ve son etkinliklere göre araştırmalara öncelik vermek için yardımcı olur. Daha fazla bilgi için bkz. Microsoft Defender'da kullanıcı varlığı sayfası.

Her kullanıcı sayfasında, son 30 güne ait ilk üç anomaliyi ve önceden oluşturulmuş anomali sorgularının doğrudan bağlantılarını ve daha derin analiz için Sentinel olaylarının zaman çizelgesini gösteren en iyi UEBA anomalileri bölümü bulunur.

Son 30 gün içinde UEBA anomalileri olan bir kullanıcının Kullanıcı sayfasının genel bakış sekmesini gösteren ekran görüntüsü.

Olay araştırmalarında yerleşik kullanıcı anomali sorguları

Olay araştırmalarında analistler, olayla ilgili tüm kullanıcı anomalilerini almak için doğrudan olay grafiklerinden yerleşik sorgular başlatabilir.

Analistlerin kullanıcıyla ilgili tüm anomalileri hızla bulmasını sağlayan Tüm kullanıcı anomalilerini avla seçeneğini vurgulayan olay grafiğini gösteren ekran görüntüsü.

Daha fazla bilgi için bkz . Microsoft Defender portalında olayları araştırma.

UEBA verileriyle Gelişmiş Tehdit Avcılığı sorgularını ve özel algılamaları zenginleştirme

Analistler UEBA ile ilgili tabloları kullanarak Gelişmiş Tehdit Avcılığı veya özel algılama sorguları yazdığında, Defender portalında Anomaliler tablosuna katılmalarını isteyen bir başlık görüntülenir. Bu, davranışsal içgörülerle araştırmaların zenginleştirilmesine yardımcı olur ve genel analizi güçlendirir.

Analistin Anomaliler tablosuna katılmasını ve analizlerini davranışsal içgörülerle zenginleştirmesini isteyen bir başlık içeren Gelişmiş Tehdit Avcılığı sayfasını gösteren ekran görüntüsü.

Daha fazla bilgi için bkz.

Davranış analizi verilerini sorgulama

KQL kullanarak BehaviorAnalytics tablosunu sorgulayabiliriz.

Örneğin, kullanıcının belirli bir ülke/bölgeden ilk kez bağlanma girişimi olduğu bir Azure kaynağında oturum açamayan tüm durumlarını bulmak istiyorsak ve bu ülke/bölgeden gelen bağlantılar kullanıcının eşleri için bile sık rastlanan bir durumsa, aşağıdaki sorguyu kullanabiliriz:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
  • Azure portalında Microsoft Sentinel'de, Günlükler sayfasındaki Log Analytics'teki BehaviorAnalytics tablosunu sorgularsınız.
  • Defender portalında bu tabloyu Gelişmiş tehdit avcılığı bölümünde sorgularsınız.

Kullanıcı eşleri meta verileri - tablo ve not defteri

Kullanıcı eşlerinin meta verileri tehdit algılamalarında, bir olayı araştırmada ve olası bir tehdidin yakalanmasında önemli bir bağlam sağlar. Güvenlik analistleri, kullanıcıların eşlerinin normal etkinliklerini gözlemleyebilir ve bir kullanıcının etkinliklerinin kendi eşlerinin etkinlikleriyle karşılaştırıldığında olağan dışı olup olmadığını belirleyebilir.

Microsoft Sentinel, kullanıcının Microsoft Entra güvenlik grubu üyeliğini, posta listesini ve ceterasını temel alarak kullanıcının eşlerini hesaplar ve sıralar ve UserPeerAnalytics tablosunda 1-20 arası dereceli eşleri depolar. Aşağıdaki ekran görüntüsünde UserPeerAnalytics tablosunun şeması gösterilir ve Kendall Collins kullanıcısının en iyi sekiz dereceli eşleri görüntülenir. Microsoft Sentinel, dereceyi hesaplamak için tartımı normalleştirmek için frekans ters belge sıklığı (TF-IDF) algoritmasını kullanır: grup ne kadar küçük olursa ağırlık o kadar yüksek olur.

Kullanıcı eşleri meta veri tablosunun ekran görüntüsü

Kullanıcı eşleri meta verilerini görselleştirmek için Microsoft Sentinel GitHub deposunda sağlanan Jupyter not defterini kullanabilirsiniz. Not defterini kullanma hakkında ayrıntılı yönergeler için bkz. Destekli Çözümleme - Kullanıcı Güvenliği Meta Verileri not defteri.

Not

UserAccessAnalytics tablosu kullanım dışı bırakıldı.

Tehdit avcılığı sorguları ve keşif sorguları

Microsoft Sentinel, BehaviorAnalytics tablosunu temel alan kullanıma hazır bir dizi tehdit avcılığı sorgusu, araştırma sorgusu ve Kullanıcı ve Varlık Davranış Analizi çalışma kitabı sağlar. Bu araçlar, anormal davranışları gösteren belirli kullanım örneklerine odaklanan zenginleştirilmiş veriler sunar.

Daha fazla bilgi için bkz.

Eski savunma araçları kullanımdan kaldırıldıkça, kuruluşlar öyle geniş ve gözenekli dijital varlıklara sahip olabilir ki, ortamlarının karşı karşıya olabileceği riskin ve duruşun kapsamlı bir resmini elde etmek yönetilemez hale gelebilir. Analiz ve kurallar gibi reaktif çabalara yoğun bir şekilde güvenmek, kötü aktörlerin bu çabalardan nasıl kaçınacaklarını öğrenmelerini sağlar. Burada, gerçekte neler olduğunu anlamaya yönelik risk puanlama yöntemleri ve algoritmaları sağlayarak UEBA devreye girer.

Sonraki adımlar

Bu belgede, Microsoft Sentinel'in varlık davranışı analizi özellikleri hakkında bilgi edindiyseniz. Uygulama hakkında pratik rehberlik ve elde ettiğiniz içgörüleri kullanmak için aşağıdaki makalelere bakın:

Daha fazla bilgi için ayrıca Microsoft Sentinel UEBA referansına bakınız.

  • Last updated on