Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu başvuru makalesinde , Microsoft Sentinel'deki Kullanıcı ve Varlık Davranış Analizi hizmetinin giriş veri kaynakları listelenmiştir. Ayrıca UEBA'nın varlıklara eklediği zenginleştirmeleri açıklar ve uyarılar ve olaylar için gerekli bağlamı sağlar.
Important
Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmayan müşteriler de dahil olmak üzere Microsoft Defender portalında genel olarak kullanılabilir.
Temmuz 2026'dan itibaren Azure portalında Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilecek ve yalnızca Defender portalında Microsoft Sentinel'i kullanacaktır. Temmuz 2025'den itibaren birçok yeni müşteri otomatik olarak eklenir ve Defender portalına yönlendirilir.
Azure portalında Hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel'in Azure portalını kullanımdan kaldırma.
UEBA veri kaynakları
Bunlar, UEBA altyapısının ML modellerini eğitmek ve kullanıcılar, cihazlar ve diğer varlıklar için davranış taban çizgilerini ayarlamak üzere verileri topladığı ve analiz ettiği veri kaynaklarıdır. Ardından UEBA, anomalileri ve karma içgörüleri bulmak için bu kaynaklardan alınan verilere bakar.
| Veri kaynağı | Connector | Log Analytics tablosu | Analiz edilen olay kategorileri |
|---|---|---|---|
| AAD yönetilen kimlik oturum açma günlükleri (Önizleme) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Tüm yönetilen kimlik oturum açma olayları |
| AAD hizmet sorumlusu oturum açma günlükleri (Önizleme) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Tüm hizmet sorumlusu oturum açma olayları |
| Denetim Günlükleri | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (Önizleme) |
Amazon Web Hizmetleri Amazon Web Services S3 |
AWSCloudTrail | Konsol oturum açma olayları. ve EventName = "ConsoleLogin"tarafından EventSource = "signin.amazonaws.com" tanımlanır. Olayların geçerli UserIdentityPrincipalIdbir olması gerekir. |
| Azure Etkinliği | Azure Etkinliği | AzureActivity | Authorization AzureActiveDirectory Billing Compute Consumption KeyVault Devices Network Resources Intune Logic Sql Storage |
| Cihaz Oturum Açma Olayları (Önizleme) | Microsoft Defender XDR | DeviceLogonEvents | Tüm cihaz oturum açma olayları |
| GCP Denetim Günlükleri (Önizleme) | GCP Pub/Alt Denetim Günlükleri | GCPAuditLogs |
apigee.googleapis.com - API Management Platformuiam.googleapis.com - Kimlik ve Erişim Yönetimi (IAM) hizmetiiamcredentials.googleapis.com - IAM Hizmet Hesabı Kimlik Bilgileri API'sicloudresourcemanager.googleapis.com - Cloud Resource Manager API'sicompute.googleapis.com - İşlem Altyapısı API'sistorage.googleapis.com - Bulut Depolama API'sicontainer.googleapis.com - Kubernetes Engine API'sik8s.io - Kubernetes API'sicloudsql.googleapis.com - Bulut SQL API'sibigquery.googleapis.com - BigQuery API'sibigquerydatatransfer.googleapis.com - BigQuery Veri Aktarım Hizmeti API'sicloudfunctions.googleapis.com - Bulut İşlevleri API'siappengine.googleapis.com - Uygulama Altyapısı API'sidns.googleapis.com - Bulut DNS API'sibigquerydatapolicy.googleapis.com - BigQuery Veri İlkesi API'sifirestore.googleapis.com - Firestore API'sidataproc.googleapis.com - Dataproc API'siosconfig.googleapis.com - İşletim Sistemi Yapılandırma API'sicloudkms.googleapis.com - Bulut KMS API'sisecretmanager.googleapis.com - Gizli Dizi Yöneticisi API'siOlayların geçerli bir değeri olmalıdır: - PrincipalEmail - API'yi çağıran kullanıcı veya hizmet hesabı- MethodName - Adlı belirli Google API yöntemi- Asıl e-posta biçiminde user@domain.com . |
| Okta CL (Önizleme) | Okta Tek Sign-On (Azure İşlevlerini kullanarak) | Okta_CL | Kimlik doğrulaması, çok faktörlü kimlik doğrulaması (MFA) ve oturum olayları, örneğin:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startOlayların geçerli bir Kullanıcı Kimliği ( actor_id_s ) olmalıdır. |
| Güvenlik Olayları |
AMA aracılığıyla Olayları Windows Güvenliği Windows İletilen Olaylar |
WindowsEvent SecurityEvent |
4624: Bir hesap başarıyla oturum açtı 4625: Bir hesap oturum açamadı 4648: Açık kimlik bilgileri kullanılarak oturum açmaya çalışıldı 4672: Yeni oturum açmaya atanan özel ayrıcalıklar 4688: Yeni bir işlem oluşturuldu |
| Oturum Açma Günlükleri | Microsoft Entra ID | SigninLogs | Tüm oturum açma olayları |
UEBA zenginleştirmeleri
Bu bölümde UEBA'nın Microsoft Sentinel varlıklarına eklediği ve güvenlik olayı araştırmalarınızı odaklayıp netleştirmek için kullanabileceğiniz zenginleştirmeler açıklanmaktadır. Bu zenginleştirmeler varlık sayfalarında görüntülenir ve içeriği ve şeması aşağıda listelenen aşağıdaki Log Analytics tablolarında bulunabilir:
BehaviorAnalytics tablosu, UEBA'nın çıkış bilgilerinin depolandığı yerdir.
BehaviorAnalytics tablosundaki aşağıdaki üç dinamik alan, aşağıdaki varlık zenginleştirmeleri dinamik alanları bölümünde açıklanmıştır.
UsersInsights ve DevicesInsights alanları, Active Directory / Microsoft Entra Id ve Microsoft Threat Intelligence kaynaklarından varlık bilgilerini içerir.
ActivityInsights alanı, Microsoft Sentinel'in varlık davranışı analizi tarafından oluşturulan davranış profillerini temel alan varlık bilgilerini içerir.
Kullanıcı etkinlikleri, her kullanıldığında dinamik olarak derlenen bir taban çizgisine göre analiz edilir. Her etkinliğin, dinamik temelin türetildiği kendi tanımlı geri arama dönemi vardır. Geri arama dönemi bu tablonun Temel sütununda belirtilir.
IdentityInfo tablosu, Microsoft Entra ID'den (ve Kimlik için Microsoft Defender aracılığıyla şirket içi Active Directory'den) UEBA ile eşitlenen kimlik bilgilerinin depolandığı yerdir.
BehaviorAnalytics tablosu
Aşağıdaki tabloda, Microsoft Sentinel'deki her varlık ayrıntıları sayfasında görüntülenen davranış analizi verileri açıklanmaktadır.
| Field | Type | Description |
|---|---|---|
| TenantId | string | Kiracının benzersiz kimlik numarası. |
| SourceRecordId | string | EBA olayının benzersiz kimlik numarası. |
| TimeGenerated | datetime | Etkinliğin oluşumunun zaman damgası. |
| TimeProcessed | datetime | Etkinliğin EBA altyapısı tarafından işlenmesinin zaman damgası. |
| ActivityType | string | Etkinliğin üst düzey kategorisi. |
| ActionType | string | Etkinliğin normalleştirilmiş adı. |
| UserName | string | Etkinliği başlatan kullanıcının kullanıcı adı. |
| UserPrincipalName | string | Etkinliği başlatan kullanıcının tam kullanıcı adı. |
| EventSource | string | Özgün olayı sağlayan veri kaynağı. |
| SourceIPAddress | string | Etkinliğin başlatıldığı IP adresi. |
| SourceIPLocation | string | Etkinliğin başlatıldığı ülke/bölge, IP adresinden zenginleştirilmiştir. |
| SourceDevice | string | Etkinliği başlatan cihazın ana bilgisayar adı. |
| DestinationIPAddress | string | Etkinliğin hedefinin IP adresi. |
| DestinationIPLocation | string | Ip adresinden zenginleştirilmiş etkinliğin hedefinin ülkesi/bölgesi. |
| DestinationDevice | string | Hedef cihazın adı. |
| UsersInsights | dynamic | İlgili kullanıcıların bağlamsal zenginleştirmeleri (aşağıdaki ayrıntılar). |
| DevicesInsights | dynamic | İlgili cihazların bağlamsal zenginleştirmeleri (aşağıdaki ayrıntılar). |
| ActivityInsights | dynamic | Profil oluşturmamıza göre etkinliğin bağlamsal analizi (aşağıdaki ayrıntılar). |
| InvestigationPriority | int | 0-10 (0=zararsız, 10=yüksek oranda anormal) arasındaki anomali puanı. Bu puan, beklenen davranıştan sapma derecesini belirtir. Yüksek puanlar taban çizgisinden daha büyük bir sapması ve büyük olasılıkla gerçek anomalileri gösterir. Düşük puanlar yine de anormal olabilir, ancak önemli veya eyleme dönüştürülebilir olma olasılığı daha düşüktür. |
Varlık zenginleştirmeleri dinamik alanları
Note
Bu bölümdeki tablolardaki Zenginleştirme adı sütunu iki bilgi satırı görüntüler.
- İlki , kalın yazıyla zenginleştirmenin "kolay adıdır".
- İkincisi (italik ve parantez içinde),Davranış Analizi tablosunda depolandığı gibi zenginleştirmenin alan adıdır.
UsersInsights alanı
Aşağıdaki tabloda, BehaviorAnalytics tablosundaki UsersInsights dinamik alanında öne çıkan zenginleştirmeler açıklanmaktadır:
| Zenginleştirme adı | Description | Örnek değer |
|---|---|---|
|
Hesap görünen adı (AccountDisplayName) |
Kullanıcının hesap görünen adı. | Yönetici, Hayden Cook |
|
Hesap etki alanı (AccountDomain) |
Kullanıcının hesap etki alanı adı. | |
|
Hesap nesnesi kimliği (AccountObjectID) |
Kullanıcının hesap nesnesi kimliği. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Patlama yarıçapı (BlastRadius) |
Patlama yarıçapı çeşitli faktörlere göre hesaplanır: kullanıcının kuruluş ağacındaki konumu ve kullanıcının Microsoft Entra rolleri ve izinleri. BlastRadius'un hesaplanması için kullanıcının Microsoft Entra Id içinde Manager özelliği doldurulmuş olmalıdır. | Düşük, Orta, Yüksek |
|
Uyku hesabı mı? (IsDormantAccount) |
Hesap son 180 gündür kullanılmadı. | Doğru, Yanlış |
|
Yerel yöneticidir (IsLocalAdmin) |
Hesabın yerel yönetici ayrıcalıkları vardır. | Doğru, Yanlış |
|
Yeni hesap mı? (IsNewAccount) |
Hesap son 30 gün içinde oluşturuldu. | Doğru, Yanlış |
|
Şirket içi SID (OnPremisesSID) |
Eylemle ilgili kullanıcının şirket içi SID'i. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights alanı
Aşağıdaki tabloda, BehaviorAnalytics tablosundaki DevicesInsights dinamik alanında öne çıkan zenginleştirmeler açıklanmaktadır:
| Zenginleştirme adı | Description | Örnek değer |
|---|---|---|
|
Browser (Browser) |
Eylemde kullanılan tarayıcı. | Microsoft Kenar, Chrome |
|
Cihaz ailesi (DeviceFamily) |
Eylemde kullanılan cihaz ailesi. | Windows |
|
Cihaz türü (DeviceType) |
Eylemde kullanılan istemci cihaz türü | Desktop |
|
ISP (ISP) |
Eylemde kullanılan internet servis sağlayıcısı. | |
|
İşletim Sistemi (OperatingSystem) |
Eylemde kullanılan işletim sistemi. | Windows 10 |
|
Tehdit bilgisi göstergesi açıklaması (ThreatIntelIndicatorDescription) |
Gözlemlenen tehdit göstergesinin açıklaması eylemde kullanılan IP adresinden çözümlendi. | Konak botnet üyesi: azorult |
|
Tehdit bilgisi gösterge türü (ThreatIntelIndicatorType) |
Eylemde kullanılan IP adresinden çözümlenen tehdit göstergesinin türü. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Kimlik Avı, Proxy, PUA, İzleme Listesi |
|
Kullanıcı aracısı (UserAgent) |
Eylemde kullanılan kullanıcı aracısı. | Microsoft Azure Graph İstemci Kitaplığı 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Kullanıcı aracısı ailesi (UserAgentFamily) |
Eylemde kullanılan kullanıcı aracısı ailesi. | Chrome, Microsoft Edge, Firefox |
ActivityInsights alanı
Aşağıdaki tablolarda, BehaviorAnalytics tablosundaki ActivityInsights dinamik alanında öne çıkan zenginleştirmeler açıklanmaktadır:
Gerçekleştirilen eylem
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
|
Kullanıcı ilk kez eylem gerçekleştirdi (FirstTimeUserPerformedAction) |
180 | Eylem kullanıcı tarafından ilk kez gerçekleştirildi. | Doğru, Yanlış |
|
Kullanıcı tarafından nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedByUser) |
10 | Eylem genellikle kullanıcı tarafından gerçekleştirilmiyor. | Doğru, Yanlış |
|
Eşler arasında nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedAmongPeers) |
180 | Eylem genellikle kullanıcının eşleri arasında gerçekleştirilmiyor. | Doğru, Yanlış |
|
Kiracıda ilk kez gerçekleştirilen eylem (FirstTimeActionPerformedInTenant) |
180 | Eylem, kuruluştaki herkes tarafından ilk kez gerçekleştirildi. | Doğru, Yanlış |
|
Kiracıda nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedInTenant) |
180 | Eylem kuruluşta yaygın olarak gerçekleştirilmiyor. | Doğru, Yanlış |
Kullanılan uygulama
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
|
Kullanıcı uygulamayı ilk kez kullandı (FirstTimeUserUsedApp) |
180 | Uygulama kullanıcı tarafından ilk kez kullanıldı. | Doğru, Yanlış |
|
Kullanıcı tarafından yaygın olarak kullanılan uygulama (AppUncommonlyUsedByUser) |
10 | Uygulama kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Eşler arasında yaygın olarak kullanılan uygulama (AppUncommonlyUsedAmongPeers) |
180 | Uygulama, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Kiracıda ilk kez gözlemlenen uygulama (FirstTimeAppObservedInTenant) |
180 | Uygulama kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
|
Kiracıda yaygın olarak kullanılan uygulama (AppUncommonlyUsedInTenant) |
180 | Uygulama kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Kullanılan tarayıcı
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
|
Kullanıcı tarayıcı üzerinden ilk kez bağlandı (FirstTimeUserConnectedViaBrowser) |
30 | Tarayıcı kullanıcı tarafından ilk kez gözlemlendi. | Doğru, Yanlış |
|
Kullanıcı tarafından yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedByUser) |
10 | Tarayıcı, kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Eşler arasında yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedAmongPeers) |
30 | Tarayıcı, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Kiracıda ilk kez tarayıcı gözlemlendi (FirstTimeBrowserObservedInTenant) |
30 | Tarayıcı kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
|
Kiracıda yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedInTenant) |
30 | Tarayıcı kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Bağlı ülke/bölge
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
|
Kullanıcı ülkeden ilk kez bağlandı (FirstTimeUserConnectedFromCountry) |
90 | IP adresinden çözümlenen coğrafi konum, kullanıcı tarafından ilk kez adresinden bağlanmıştı. | Doğru, Yanlış |
|
Kullanıcıdan sık rastlanmayan bir şekilde bağlanılan ülke (CountryUncommonlyConnectedFromByUser) |
10 | IP adresinden çözümlenen coğrafi konum, kullanıcı tarafından yaygın olarak'dan bağlanmaz. | Doğru, Yanlış |
|
Eşler arasında sık rastlanmayan bağlı ülke (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP adresinden çözümlenen coğrafi konum genellikle kullanıcının eşleri arasında bağlanmaz. | Doğru, Yanlış |
|
Kiracıda ülkeden ilk kez bağlantı gözlemlendi (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Ülke/bölge, kuruluştaki herkes tarafından ilk kez bağlanmıştı. | Doğru, Yanlış |
|
Kiracıdan sık rastlanmayan bağlı ülke (CountryUncommonlyConnectedFromInTenant) |
90 | IP adresinden çözümlenen coğrafi konum, kuruluşta yaygın olarak bağlantısı yoktur. | Doğru, Yanlış |
Bağlanmak için kullanılan cihaz
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
|
Kullanıcı cihazdan ilk kez bağlandı (FirstTimeUserConnectedFromDevice) |
30 | Kaynak cihaz, kullanıcı tarafından ilk kez kaynağından bağlanmıştı. | Doğru, Yanlış |
|
Kullanıcı tarafından yaygın olarak kullanılan cihaz (DeviceUncommonlyUsedByUser) |
10 | Cihaz kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Eşler arasında yaygın olarak kullanılan cihaz (DeviceUncommonlyUsedAmongPeers) |
180 | Cihaz, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Kiracıda ilk kez cihaz gözlemlendi (FirstTimeDeviceObservedInTenant) |
30 | Cihaz kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
|
Kiracıda yaygın olarak kullanılan cihaz (DeviceUncommonlyUsedInTenant) |
180 | Cihaz kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Cihazla ilgili diğer
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
|
Kullanıcı cihazda ilk kez oturum açtığında (FirstTimeUserLoggedOnToDevice) |
180 | Hedef cihaz, kullanıcı tarafından ilk kez bağlanmıştı. | Doğru, Yanlış |
|
Kiracıda yaygın olarak kullanılan cihaz ailesi (DeviceFamilyUncommonlyUsedInTenant) |
30 | Cihaz ailesi kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Bağlanmak için kullanılan İnternet Servis Sağlayıcısı
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
|
IsS aracılığıyla ilk kez bağlanan kullanıcı (FirstTimeUserConnectedViaISP) |
30 | ISS, kullanıcı tarafından ilk kez gözlemlendi. | Doğru, Yanlış |
|
ISS kullanıcı tarafından yaygın olarak kullanılıyor (ISPUncommonlyUsedByUser) |
10 | ISS, kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
ISS, eşler arasında yaygın olarak kullanılmaz (ISPUncommonlyUsedAmongPeers) |
30 | ISS, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Kiracıda ISS aracılığıyla ilk kez bağlantı (FirstTimeConnectionViaISPInTenant) |
30 | ISS, kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
|
KIRACıda yaygın olarak kullanılan ISS (ISPUncommonlyUsedInTenant) |
30 | ISS, kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Kaynağa erişildi
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
|
Kullanıcı kaynağa ilk kez erişmiş (FirstTimeUserAccessedResource) |
180 | Kaynağa kullanıcı tarafından ilk kez erişildi. | Doğru, Yanlış |
|
Kullanıcı tarafından nadiren erişilen kaynağa (ResourceUncommonlyAccessedByUser) |
10 | Kaynağa kullanıcı yaygın olarak erişmez. | Doğru, Yanlış |
|
Eşler arasında nadiren erişilen kaynak (ResourceUncommonlyAccessedAmongPeers) |
180 | Kaynağa kullanıcının eşleri arasında yaygın olarak erişilmiyor. | Doğru, Yanlış |
|
Kiracıda kaynağa ilk kez erişildi (FirstTimeResourceAccessedInTenant) |
180 | Kaynağa kuruluştaki herkes tarafından ilk kez erişildi. | Doğru, Yanlış |
|
Kiracıda nadiren erişilen kaynak (ResourceUncommonlyAccessedInTenant) |
180 | Kaynağa kuruluşta yaygın olarak erişilir değil. | Doğru, Yanlış |
Miscellaneous
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
|
Kullanıcının eylemi son gerçekleştirdiği zaman (LastTimeUserPerformedAction) |
180 | Kullanıcı aynı eylemi son gerçekleştirişinde. | <Zaman damgası> |
|
Benzer eylem geçmişte gerçekleştirilmedi (SimilarActionWasn'tPerformedInThePast) |
30 | Kullanıcı, aynı kaynak sağlayıcısında hiçbir eylem gerçekleştirmedi. | Doğru, Yanlış |
|
Kaynak IP konumu (SourceIPLocation) |
N/A | Ülke/bölge eylemin kaynak IP'sinden çözümlendi. | [Surrey, İngiltere] |
|
Yaygın olmayan yüksek işlem hacmi (UncommonHighVolumeOfOperations) |
7 | Kullanıcı aynı sağlayıcı içinde benzer işlemler gerçekleştirmiş | Doğru, Yanlış |
|
Olağan dışı Microsoft Entra Koşullu Erişim hatası sayısı (UnusualNumberOfAADConditionalAccessFailures) |
5 | Olağan dışı sayıda kullanıcı koşullu erişim nedeniyle kimlik doğrulaması yapamadı | Doğru, Yanlış |
|
Olağan dışı cihaz sayısı eklendi (UnusualNumberOfDevicesAdded) |
5 | Bir kullanıcı olağan dışı sayıda cihaz ekledi. | Doğru, Yanlış |
|
Olağan dışı cihaz sayısı silindi (UnusualNumberOfDevicesDeleted) |
5 | Kullanıcı olağan dışı sayıda cihazı sildi. | Doğru, Yanlış |
|
Gruba olağan dışı sayıda kullanıcı eklendi (UnusualNumberOfUsersAddedToGroup) |
5 | Bir kullanıcı gruba olağan dışı sayıda kullanıcı ekledi. | Doğru, Yanlış |
IdentityInfo tablosu
Microsoft Sentinel çalışma alanınız için UEBA'yı etkinleştirip yapılandırdıktan sonra, Microsoft kimlik sağlayıcılarınızdan gelen kullanıcı verileri Microsoft Sentinel'de kullanılmak üzere Log Analytics'teki IdentityInfo tablosuyla eşitlenir.
Bu kimlik sağlayıcıları, UEBA'yı yapılandırırken seçtiğiniz seçeniğe bağlı olarak aşağıdakilerden biri veya her ikisidir:
- Microsoft Entra Id (bulut tabanlı)
- Microsoft Active Directory (şirket içi, Kimlik için Microsoft Defender gerektirir))
IdentityInfo tablosunu analiz kurallarında, tehdit avcılığı sorgularında ve çalışma kitaplarında sorgulayabilir, analizlerinizi kullanım örneklerinize uyacak şekilde geliştirebilir ve hatalı pozitif sonuçları azaltabilirsiniz.
İlk eşitleme birkaç gün sürebilir ancak veriler tam olarak eşitlendiğinde:
Microsoft Sentinel, eski kayıtların tamamen güncelleştirildiğinden emin olmak için 14 günde bir tüm Microsoft Entra Kimliğinizle (ve varsa şirket içi Active Directory'nizle) yeniden eşitlenir.
Bu normal tam eşitlemelerin yanı sıra, Microsoft Entra Id'de kullanıcı profillerinizde, gruplarınızda ve yerleşik rollerinizde her değişiklik yapıldığında, etkilenen kullanıcı kayıtları 15-30 dakika içinde IdentityInfo tablosunda yeniden kaydedilir ve güncelleştirilir. Bu alım normal fiyatlarla faturalandırılır. Örneğin:
Görünen ad, iş unvanı veya e-posta adresi gibi bir kullanıcı özniteliği değiştirildi. Bu kullanıcı için yeni bir kayıt IdentityInfo tablosuna alınır ve ilgili alanlar güncelleştirilir.
Grup A'da 100 kullanıcı vardır. Gruba 5 kullanıcı eklenir veya gruptan kaldırılır. Bu durumda, bu beş kullanıcı kaydı yeniden kaydedilir ve GroupMembership alanları güncelleştirilir.
Grup A'da 100 kullanıcı vardır. Grup A'ya on kullanıcı eklenir. Ayrıca, her birinde 10 kullanıcı bulunan A1 ve A2 grupları A Grubu'na eklenir. Bu durumda, 30 kullanıcı kaydı yeniden kaydedilir ve GroupMembership alanları güncelleştirilir. Bunun nedeni grup üyeliğinin geçişli olmasıdır, bu nedenle gruplarda yapılan değişiklikler tüm alt gruplarını etkiler.
B grubu (50 kullanıcılı) Grup BeGood olarak yeniden adlandırılır. Bu durumda, 50 kullanıcı kaydı yeniden kaydedilir ve GroupMembership alanları güncelleştirilir. Bu grupta alt gruplar varsa, aynı durum tüm üyelerinin kayıtları için de gerçekleşir.
IdentityInfo tablosunda varsayılan saklama süresi 30 gündür.
Limitations
AssignedRoles alanı yalnızca yerleşik rolleri destekler.
GroupMembership alanı, alt gruplar da dahil olmak üzere kullanıcı başına en fazla 500 grup listelemeyi destekler. Bir kullanıcı 500'den fazla grubun üyesiyse, IdentityInfo tablosuyla yalnızca ilk 500 eşitlenir. Ancak gruplar belirli bir sırada değerlendirilmez, bu nedenle her yeni eşitlemede (14 günde bir), kullanıcı kaydına farklı bir grup kümesi güncelleştirilmiş olabilir.
Bir kullanıcı silindiğinde, bu kullanıcının kaydı IdentityInfo tablosundan hemen silinmez. Bunun nedeni, bu tablonun amaçlarından birinin kullanıcı kayıtlarında yapılan değişiklikleri denetlemek olmasıdır. Bu nedenle, bu tabloda silinen bir kullanıcının kaydının olmasını istiyoruz. Bu kayıt, yalnızca identityinfo tablosundaki kullanıcı kaydı hala mevcutsa gerçek kullanıcı (örneğin, Entra Id'de) silinmiş olsa bile gerçekleşebilir.
Silinen kullanıcılar, alandaki bir değerin
deletedDateTimevarlığıyla tanımlanabilir. Bu nedenle, size bir kullanıcı listesi göstermek için bir sorguya ihtiyacınız varsa, sorguya ekleyerek| where IsEmpty(deletedDateTime)silinen kullanıcıları filtreleyebilirsiniz.Bir kullanıcı silindikten sonra belirli bir zaman aralığında, kullanıcının kaydı da identityinfo tablosundan kaldırılır.
Bir grup silindiğinde veya 100'den fazla üyesi olan bir grubun adı değiştirildiğinde, bu grubun üye kullanıcı kayıtları güncelleştirilmez. Farklı bir değişiklik söz konusu kullanıcıların kayıtlarından birinin güncelleştirilmiş olmasına neden olursa, güncelleştirilmiş grup bilgileri bu noktaya eklenir.
IdentityInfo tablosunun diğer sürümleri
IdentityInfo tablosunun birden çok sürümü vardır:
Bu makalede açıklanan Log Analytics şema sürümü, Azure portalında Microsoft Sentinel'e hizmet eder. UEBA'yi etkinleştiren müşteriler tarafından kullanılabilir.
Gelişmiş tehdit avcılığı şeması sürümü, Kimlik için Microsoft Defender aracılığıyla Microsoft Defender portalına hizmet eder. Microsoft Sentinel ile veya Microsoft Sentinel olmadan Microsoft Defender XDR müşterileri ve Defender portalında Microsoft Sentinel müşterileri tarafından kullanılabilir.
Bu tabloya erişebilmek için UEBA'nın etkinleştirilmesi gerekmez. Ancak UEBA etkin olmayan müşteriler için UEBA verileriyle doldurulan alanlar görünür veya kullanılamaz.
Daha fazla bilgi için bu tablonun Gelişmiş tehdit avcılığı sürümünün belgelerine bakın.
Mayıs 2025 itibarıyla, UEBA'nın etkinleştirildiğiMicrosoft Defender portalında Microsoft Sentinel müşterileri Gelişmiş tehdit avcılığı sürümünün yeni bir sürümünü kullanmaya başlar. Bu yeni sürüm, Log Analytics sürümündeki tüm UEBA alanlarının yanı sıra bazı yeni alanları içerir ve birleşik sürüm veya birleşik IdentityInfo tablosu olarak adlandırılır.
UEBA etkin olmayan veya Microsoft Sentinel içermeyen Defender portalı müşterileri, UEBA tarafından oluşturulan alanlar olmadan Gelişmiş tehdit avcılığı sürümünün önceki sürümünü kullanmaya devam ediyor.
Birleşik sürüm hakkında daha fazla bilgi için Gelişmiş tehdit avcılığı belgelerindeki IdentityInfo bölümüne bakın.
Important
Defender portalına geçiş yaptığınızda tablo, IdentityInfo tablo düzeyinde RBAC'yi (Role-Based Erişim Denetimi) desteklemeyen yerel bir Defender tablosuna dönüşür. Kuruluşunuz Azure portalında tabloya erişimi kısıtlamak için IdentityInfo tablo düzeyinde RBAC kullanıyorsa, Defender portalına geçiş yaptıktan sonra bu erişim denetimi artık kullanılamaz.
Schema
Aşağıdaki "Log Analytics şeması" sekmesindeki tablo, Azure portalında Log Analytics'teki IdentityInfo tablosuna eklenen kullanıcı kimliği verilerini açıklar.
Microsoft Sentinel'i Defender portalına ekliyorsanız tehdit algılama kurallarınızdaki ve avlarınızdaki sorguları etkileyebilecek değişiklikleri görüntülemek için "Birleşik şemayla karşılaştır" sekmesini seçin.
| Alan adı | Type | Description |
|---|---|---|
| AccountCloudSID | string | Hesabın Microsoft Entra güvenlik tanımlayıcısı. |
| AccountCreationTime | datetime | Kullanıcı hesabının oluşturulduğu tarih (UTC). |
| AccountDisplayName | string | Kullanıcı hesabının görünen adı. |
| AccountDomain | string | Kullanıcı hesabının etki alanı adı. |
| AccountName | string | Kullanıcı hesabının kullanıcı adı. |
| AccountObjectId | string | Kullanıcı hesabının Microsoft Entra nesne kimliği. |
| AccountSID | string | Kullanıcı hesabının şirket içi güvenlik tanımlayıcısı. |
| AccountTenantId | string | Kullanıcı hesabının Microsoft Entra kiracı kimliği. |
| AccountUPN | string | Kullanıcı hesabının kullanıcı asıl adı. |
| AdditionalMailAddresses | dynamic | Kullanıcının ek e-posta adresleri. |
| AssignedRoles | dynamic | Kullanıcı hesabının atandığı Microsoft Entra rolleri. Yalnızca yerleşik roller desteklenir. |
| BlastRadius | string | Kullanıcının kuruluş ağacındaki konumunu ve kullanıcının Microsoft Entra rollerini ve izinlerini temel alan bir hesaplama. Olası değerler: Düşük, Orta, Yüksek |
| ChangeSource | string | Varlıkta yapılan en son değişikliğin kaynağı. Olası değerler: |
| City | string | Kullanıcı hesabının şehri. |
| CompanyName | string | Kullanıcının ait olduğu şirket adı. |
| Country | string | Kullanıcı hesabının ülkesi/bölgesi. |
| DeletedDateTime | datetime | Kullanıcının silindiği tarih ve saat. |
| Department | string | Kullanıcı hesabının bölümü. |
| EmployeeId | string | Kuruluş tarafından kullanıcıya atanan çalışan tanımlayıcısı. |
| GivenName | string | Kullanıcı hesabının verilen adı. |
| GroupMembership | dynamic | Kullanıcı hesabının üye olduğu Microsoft Entra Id grupları. |
| IsAccountEnabled | bool | Kullanıcı hesabının Microsoft Entra Id'de etkinleştirilip etkinleştirilmediğini gösteren bir gösterge. |
| JobTitle | string | Kullanıcı hesabının iş unvanı. |
| MailAddress | string | Kullanıcı hesabının birincil e-posta adresi. |
| Manager | string | Kullanıcı hesabının yönetici diğer adı. |
| OnPremisesDistinguishedName | string | Microsoft Entra Id ayırt edici adı (DN). Ayırt edici ad, virgülle bağlanan göreli ayırt edici adlardan (RDN) oluşan bir dizidir. |
| Phone | string | Kullanıcı hesabının telefon numarası. |
| RiskLevel | string | Kullanıcı hesabının Microsoft Entra Id risk düzeyi. Olası değerler: |
| RiskLevelDetails | string | Microsoft Entra Id risk düzeyiyle ilgili ayrıntılar. |
| RiskState | string | Hesabın şu anda risk altında olup olmadığını veya riskin düzeltilip düzeltildiğini gösterir. |
| SourceSystem | string | Kullanıcının yönetildiği sistem. Olası değerler: |
| State | string | Kullanıcı hesabının coğrafi durumu. |
| StreetAddress | string | Kullanıcı hesabının ofis sokak adresi. |
| Surname | string | Kullanıcının soyadı. account. |
| TenantId | string | Kullanıcının kiracı kimliği. |
| TimeGenerated | datetime | Olayın oluşturulduğu saat (UTC). |
| Type | string | Tablonun adı. |
| UserAccountControl | dynamic | AD etki alanındaki kullanıcı hesabının güvenlik öznitelikleri. Olası değerler (birden fazla değer içerebilir): |
| UserState | string | Microsoft Entra Id'deki kullanıcı hesabının geçerli durumu. Olası değerler: |
| UserStateChangedOn | datetime | Hesap durumunun en son değiştirildiği tarih (UTC). |
| UserType | string | Kullanıcı türü. |
Aşağıdaki alanlar Log Analytics şemasında mevcutken, Microsoft Sentinel tarafından kullanılmadığından veya desteklenmediğinden göz ardı edilmelidir:
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
UEBA ile Microsoft Sentinel iş akışları entegrasyonu
UEBA içgörüleri, güvenlik operasyonları iş akışlarınızı geliştirmek için Microsoft Sentinel genelinde entegre edilmiştir:
Varlık sayfaları ve kullanıcı incelemesi
- Kullanıcı Paneli'nde Anomaliler: Son 30 günün en iyi 3 kullanıcı anormalliğini doğrudan kullanıcı tarafı panelinde ve kullanıcı sayfalarının genel bakış sekmesinde görüntüleyin. Bu, çeşitli portal konumlarındaki kullanıcıları araştırırken hemen UEBA bağlamı sağlar. Daha fazla bilgi için, varlık sayfalarıyla varlıkları araştırın.
Avlanma ve tespit geliştirme
- Go Hunt Anomalies Sorgu: Kullanıcı varlıklarını araştırırken doğrudan olay grafiklerinden yerleşik anomali sorgularına erişin; böylece UEBA sonuçlarına dayalı anında bağlamsal arama yapılmasını sağlar.
- Anomalies Tablo Önerileri: Uygun veri kaynaklarını sorgularken UEBA Anomalies tablosunu ekleyerek avcı sorgularını geliştirmek için akıllı öneriler alın.
Bu avcılık geliştirmeleri hakkında daha fazla bilgi için Microsoft Sentinel'de tehdit avcılığı bölümünü inceleyebilirsiniz.
Soruşturma iş akışları
- Geliştirilmiş soruşturma grafiği: Kullanıcı varlıklarıyla ilgili olayları araştırırken, UEBA anomali sorgularına doğrudan inceleme grafiğinden erişin ve anında davranışsal bağlam elde edin.
Soruşturma iyileştirmeleri hakkında daha fazla bilgi için Microsoft Sentinel olaylarını derinlemesine araştırın.
Gelişmiş UEBA entegrasyonu için ön koşullar
Bu gelişmiş UEBA yeteneklerine erişmek için:
- UEBA, Microsoft Sentinel çalışma alanında etkin olmalıdır
- Bazı özellikler için çalışma alanınız Microsoft Defender portalına entegre edilmeli
- UEBA verilerini görüntülemek ve avlama sorgularını çalıştırmak için uygun izinler
Sonraki Adımlar
Bu belgede Microsoft Sentinel varlık davranışı analiz tablosu şeması açıklanmıştır.
- Varlık davranışı analizi hakkında daha fazla bilgi edinin.
- Microsoft Sentinel'de UEBA'yı etkinleştirin.
- Araştırmalarınızda UEBA'nın kullanılmasını sağlayın.