Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Microsoft Sentinel'daki Kullanıcı ve Varlık Davranış Analizi hizmetinin giriş veri kaynakları listelenir. Ayrıca UEBA'nın varlıklara eklediği zenginleştirmeleri açıklar ve uyarılar ve olaylar için gerekli bağlamı sağlar.
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
UEBA veri kaynakları
Bunlar, UEBA altyapısının ML modellerini eğitmek ve kullanıcılar, cihazlar ve diğer varlıklar için davranış taban çizgileri ayarlamak üzere verileri toplayıp analiz ettiği veri kaynaklarıdır. Ardından UEBA, anomalileri ve glean içgörüleri bulmak için bu kaynaklardan gelen verilere bakar.
| Veri kaynağı | Bağlayıcı | Log Analytics tablosu | Analiz edilen olay kategorileri |
|---|---|---|---|
| AAD yönetilen kimlik oturum açma günlükleri (Önizleme) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Tüm yönetilen kimlik oturum açma olayları |
| AAD hizmet sorumlusu oturum açma günlükleri (Önizleme) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Tüm hizmet sorumlusu oturum açma olayları |
| Denetim Günlükleri | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Cihaz RoleManagement UserManagementCategory |
| AWS CloudTrail (Önizleme) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Konsol oturum açma olayları. ve EventSource = "signin.amazonaws.com"tarafından EventName = "ConsoleLogin" tanımlanır. Olayların geçerli UserIdentityPrincipalIdbir değeri olmalıdır. |
| Azure Etkinliği | Azure Etkinliği | AzureActivity | Yetkilendirme AzureActiveDirectory Faturalama İşlem Tüketimi KeyVault Aygıtları Ağ Kaynaklar Intune Mantık Sql Depolama |
| Cihaz Oturum Açma Olayları (Önizleme) | Microsoft Defender XDR | DeviceLogonEvents | Tüm cihaz oturum açma olayları |
| GCP Denetim Günlükleri (Önizleme) | GCP Pub/Alt Denetim Günlükleri | GCPAuditLogs |
apigee.googleapis.com- API Management Platformuiam.googleapis.com - Kimlik ve Erişim Yönetimi (IAM) hizmetiiamcredentials.googleapis.com - IAM Hizmet Hesabı Kimlik Bilgileri API'sicloudresourcemanager.googleapis.com- Bulut Resource Manager API'sicompute.googleapis.com - İşlem Altyapısı API'sistorage.googleapis.com - Bulut Depolama API'sicontainer.googleapis.com - Kubernetes Engine API'sik8s.io - Kubernetes API'sicloudsql.googleapis.com - Bulut SQL API'sibigquery.googleapis.com - BigQuery API'sibigquerydatatransfer.googleapis.com - BigQuery Veri Aktarım Hizmeti API'sicloudfunctions.googleapis.com - Bulut İşlevleri API'siappengine.googleapis.com - Uygulama Altyapısı API'sidns.googleapis.com - Bulut DNS API'sibigquerydatapolicy.googleapis.com - BigQuery Veri İlkesi API'sifirestore.googleapis.com - Firestore API'sidataproc.googleapis.com - Dataproc API'siosconfig.googleapis.com - İs Yapılandırma API'sicloudkms.googleapis.com - Bulut KMS API'sisecretmanager.googleapis.com - Gizli Dizi Yöneticisi API'siOlayların geçerli bir değeri olmalıdır: - PrincipalEmail - API'yi çağıran kullanıcı veya hizmet hesabı- MethodName - Adlı belirli Google API yöntemi- Asıl e-posta biçiminde user@domain.com . |
| Okta CL (Önizleme) | Okta Tek Sign-On (Azure İşlevleri kullanarak) | Okta_CL | Kimlik doğrulaması, çok faktörlü kimlik doğrulaması (MFA) ve oturum olayları, örneğin:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startOlayların geçerli bir Kullanıcı Kimliği ( actor_id_s) olmalıdır. |
| Güvenlik Olayları |
AMA aracılığıyla olayları Windows Güvenliği Windows İletilen Olaylar |
WindowsEvent SecurityEvent |
4624: Bir hesap başarıyla oturum açtı 4625: Bir hesap oturum açamadı 4648: Açık kimlik bilgileri kullanılarak oturum açmaya çalışıldı 4672: Yeni oturum açmaya atanan özel ayrıcalıklar 4688: Yeni bir işlem oluşturuldu |
| Oturum Açma Günlükleri | Microsoft Entra ID | SigninLogs | Tüm oturum açma olayları |
UEBA zenginleştirmeleri
Bu bölümde UEBA'nın Microsoft Sentinel varlıklara eklediği zenginleştirmeler açıklanır. Bu zenginleştirmeleri kullanarak güvenlik olayı araştırmalarınızı odaklayabilir ve netleştirebilirsiniz. Bu zenginleştirmeler varlık sayfalarında görüntülenir ve içeriği ve şeması aşağıda listelenen aşağıdaki Log Analytics tablolarında bulunabilir:
BehaviorAnalytics tablosu, UEBA'nın çıkış bilgilerinin depolandığı yerdir.
BehaviorAnalytics tablosundaki aşağıdaki üç dinamik alan, aşağıdaki varlık zenginleştirmeleri dinamik alanları bölümünde açıklanmıştır.
UsersInsights ve DevicesInsights alanları, Active Directory / Microsoft Entra ID ve Microsoft Threat Intelligence kaynaklarından varlık bilgilerini içerir.
ActivityInsights alanı, Microsoft Sentinel varlık davranış analizi tarafından oluşturulan davranış profillerini temel alan varlık bilgilerini içerir.
Kullanıcı etkinlikleri, her kullanıldığında dinamik olarak derlenen bir taban çizgisine göre analiz edilir. Her etkinliğin dinamik temelin türetildiği kendi tanımlı geri arama dönemi vardır. Geri arama dönemi bu tablonun Temel sütununda belirtilir.
IdentityInfo tablosu, Microsoft Entra ID 'dan (ve Kimlik için Microsoft Defender aracılığıyla şirket içi Active Directory) UEBA ile eşitlenen kimlik bilgilerinin depolandığı yerdir.
BehaviorAnalytics tablosu
Aşağıdaki tabloda, Microsoft Sentinel'daki her varlık ayrıntıları sayfasında görüntülenen davranış analizi verileri açıklanmaktadır.
| Alan | Tür | Açıklama |
|---|---|---|
| TenantId | dize | Kiracının benzersiz kimlik numarası. |
| SourceRecordId | dize | EBA olayının benzersiz kimlik numarası. |
| TimeGenerated | Datetime | Etkinliğin oluşumunun zaman damgası. |
| TimeProcessed | Datetime | Etkinliğin EBA altyapısı tarafından işlenmesinin zaman damgası. |
| ActivityType | dize | Etkinliğin üst düzey kategorisi. |
| ActionType | dize | Etkinliğin normalleştirilmiş adı. |
| Username | dize | Etkinliği başlatan kullanıcının kullanıcı adı. |
| Userprincipalname | dize | Etkinliği başlatan kullanıcının tam kullanıcı adı. |
| EventSource | dize | Özgün olayı sağlayan veri kaynağı. |
| SourceIPAddress | dize | Etkinliğin başlatıldığı IP adresi. |
| SourceIPLocation | dize | Etkinliğin başlatıldığı ülke/bölge, IP adresinden zenginleştirilmiştir. |
| SourceDevice | dize | Etkinliği başlatan cihazın ana bilgisayar adı. |
| DestinationIPAddress | dize | Etkinliğin hedefinin IP adresi. |
| DestinationIPLocation | dize | IP adresinden zenginleştirilmiş, etkinliğin hedefinin ülkesi/bölgesi. |
| DestinationDevice | dize | Hedef cihazın adı. |
| UsersInsights | Dinamik | İlgili kullanıcıların bağlamsal zenginleştirmeleri (aşağıdaki ayrıntılar). |
| CihazlarInsights | Dinamik | İlgili cihazların bağlamsal zenginleştirmeleri (aşağıdaki ayrıntılar). |
| ActivityInsights | Dinamik | Profil oluşturmamıza göre etkinliğin bağlamsal analizi (aşağıdaki ayrıntılar). |
| InvestigationPriority | Int | 0-10 (0=zararsız, 10=yüksek oranda anormal) arasındaki anomali puanı. Bu puan, beklenen davranıştan sapma derecesini belirtir. Yüksek puanlar taban çizgisinden daha fazla sapma gösterir ve büyük olasılıkla gerçek anomalileri gösterir. Düşük puanlar yine de anormal olabilir, ancak anlamlı veya eyleme dönüştürülebilir olma olasılığı daha düşüktür. |
Varlık zenginleştirmeleri dinamik alanları
Not
Bu bölümdeki tablolardaki Zenginleştirme adı sütunu iki bilgi satırı görüntüler.
- İlki, kalın yazıyla zenginleştirmenin "kolay adıdır".
- İkincisi (italik ve parantez içinde),Davranış Analizi tablosunda depolandığı gibi zenginleştirmenin alan adıdır.
UsersInsights alanı
Aşağıdaki tabloda, BehaviorAnalytics tablosundaki UsersInsights dinamik alanında öne çıkan zenginleştirmeler açıklanmaktadır:
| Zenginleştirme adı | Açıklama | Örnek değer |
|---|---|---|
|
Hesap görünen adı (AccountDisplayName) |
Kullanıcının hesap görünen adı. | Yönetici, Hayden Cook |
|
Hesap etki alanı (AccountDomain) |
Kullanıcının hesap etki alanı adı. | |
|
Hesap nesnesi kimliği (AccountObjectID) |
Kullanıcının hesap nesnesi kimliği. | aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Patlama yarıçapı (BlastRadius) |
Patlama yarıçapı çeşitli faktörlere göre hesaplanır: kullanıcının kuruluş ağacındaki konumu ve kullanıcının Microsoft Entra rolleri ve izinleri. BlastRadius'un hesaplanması için kullanıcının Microsoft Entra ID içinde Manager özelliği doldurulmuş olmalıdır. | Düşük, Orta, Yüksek |
|
Uyku hesabı mı? (IsDormantAccount) |
Hesap son 180 gündür kullanılmamıştır. | Doğru, Yanlış |
|
Yerel yönetici mi? (IsLocalAdmin) |
Hesabın yerel yönetici ayrıcalıkları vardır. | Doğru, Yanlış |
|
Yeni hesap mı? (IsNewAccount) |
Hesap son 30 gün içinde oluşturuldu. | Doğru, Yanlış |
|
Şirket içi SID (OnPremisesSID) |
Eylemle ilgili kullanıcının şirket içi SID'i. | S-1-5-21-1112946627-1321165628-243734228-1103 |
DevicesInsights alanı
Aşağıdaki tabloda, BehaviorAnalytics tablosundaki DevicesInsights dinamik alanında öne çıkan zenginleştirmeler açıklanmaktadır:
| Zenginleştirme adı | Açıklama | Örnek değer |
|---|---|---|
|
Tarayıcı (Tarayıcı) |
Eylemde kullanılan tarayıcı. | Microsoft Edge, Chrome |
|
Cihaz ailesi (DeviceFamily) |
Eylemde kullanılan cihaz ailesi. | Windows |
|
Cihaz türü (DeviceType) |
Eylemde kullanılan istemci cihaz türü | Masaüstü |
|
ISS (ISS) |
Eylemde kullanılan internet servis sağlayıcısı. | |
|
İşletim sistemi (OperatingSystem) |
Eylemde kullanılan işletim sistemi. | Windows 10 |
|
Tehdit bilgileri göstergesi açıklaması (ThreatIntelIndicatorDescription) |
Eylemde kullanılan IP adresinden çözümlenen gözlemlenen tehdit göstergesinin açıklaması. | Konak botnet üyesi: azorult |
|
Tehdit intel gösterge türü (ThreatIntelIndicatorType) |
Eylemde kullanılan IP adresinden çözümlenen tehdit göstergesinin türü. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, İzleme Listesi |
|
Kullanıcı aracısı (UserAgent) |
Eylemde kullanılan kullanıcı aracısı. | Microsoft Azure Graph İstemci Kitaplığı 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Kullanıcı aracısı ailesi (UserAgentFamily) |
Eylemde kullanılan kullanıcı aracısı ailesi. | Chrome, Microsoft Edge, Firefox |
ActivityInsights alanı
Aşağıdaki tablolarda, BehaviorAnalytics tablosundaki ActivityInsights dinamik alanında öne çıkan zenginleştirmeler açıklanmaktadır:
Gerçekleştirilen eylem
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
|
Kullanıcı ilk kez eylem gerçekleştirdi (FirstTimeUserPerformedAction) |
180 | Eylem kullanıcı tarafından ilk kez gerçekleştirildi. | Doğru, Yanlış |
|
Kullanıcı tarafından nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedByUser) |
10 | Eylem genellikle kullanıcı tarafından gerçekleştirilmiyor. | Doğru, Yanlış |
|
Eşler arasında nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedAmongPeers) |
180 | Eylem genellikle kullanıcının eşleri arasında gerçekleştirilmiyor. | Doğru, Yanlış |
|
Kiracıda ilk kez gerçekleştirilen eylem (FirstTimeActionPerformedInTenant) |
180 | Eylem, kuruluştaki herkes tarafından ilk kez gerçekleştirildi. | Doğru, Yanlış |
|
Kiracıda nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedInTenant) |
180 | Eylem kuruluşta yaygın olarak gerçekleştirilmiyor. | Doğru, Yanlış |
Kullanılan uygulama
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
|
Kullanıcı uygulamayı ilk kez kullanışı (FirstTimeUserUsedApp) |
180 | Uygulama kullanıcı tarafından ilk kez kullanıldı. | Doğru, Yanlış |
|
Kullanıcı tarafından yaygın olarak kullanılan uygulama (AppUncommonlyUsedByUser) |
10 | Uygulama kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Eşler arasında yaygın olarak kullanılan uygulama (AppUncommonlyUsedAmongPeers) |
180 | Uygulama genellikle kullanıcının eşleri arasında kullanılmaz. | Doğru, Yanlış |
|
Kiracıda ilk kez uygulama gözlemleniyor (FirstTimeAppObservedInTenant) |
180 | Uygulama kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
|
Kiracıda yaygın olarak kullanılan uygulama (AppUncommonlyUsedInTenant) |
180 | Uygulama kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Kullanılan tarayıcı
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
|
Kullanıcı tarayıcı üzerinden ilk kez bağlandı (FirstTimeUserConnectedViaBrowser) |
30 | Tarayıcı kullanıcı tarafından ilk kez gözlemlendi. | Doğru, Yanlış |
|
Kullanıcı tarafından yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedByUser) |
10 | Tarayıcı, kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Eşler arasında yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedAmongPeers) |
30 | Tarayıcı, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Kiracıda ilk kez tarayıcı gözlemleniyor (FirstTimeBrowserObservedInTenant) |
30 | Tarayıcı kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
|
Kiracıda yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedInTenant) |
30 | Tarayıcı kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Bağlı ülke/bölge
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
|
Kullanıcının ülkeden ilk kez bağlanışı (FirstTimeUserConnectedFromCountry) |
90 | IP adresinden çözümlenen coğrafi konum, kullanıcı tarafından ilk kez adresinden bağlanmıştı. | Doğru, Yanlış |
|
Kullanıcı tarafından nadiren bağlanan ülke (CountryUncommonlyConnectedFromByUser) |
10 | IP adresinden çözümlenen coğrafi konum, kullanıcı tarafından yaygın olarak adresinden bağlanmaz. | Doğru, Yanlış |
|
Eşler arasında sık rastlanmayan bağlı ülke (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP adresinden çözümlenen coğrafi konum genellikle kullanıcının eşleri arasında bağlanmaz. | Doğru, Yanlış |
|
Kiracıda ülkeden ilk kez bağlantı gözlemleniyor (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Ülke/bölge, kuruluştaki herkes tarafından ilk kez bağlanmıştı. | Doğru, Yanlış |
|
Kiracıdan sık rastlanmayan bağlı ülke (CountryUncommonlyConnectedFromInTenant) |
90 | IP adresinden çözümlenen coğrafi konum, kuruluşta yaygın olarak bağlı değildir. | Doğru, Yanlış |
Bağlanmak için kullanılan cihaz
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
|
Kullanıcı cihazdan ilk kez bağlanışı (FirstTimeUserConnectedFromDevice) |
30 | Kaynak cihaz, kullanıcı tarafından ilk kez kaynağından bağlanmıştı. | Doğru, Yanlış |
|
Kullanıcı tarafından yaygın olarak kullanılan cihaz (DeviceUncommonlyUsedByUser) |
10 | Cihaz, kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Eşler arasında yaygın olarak kullanılan cihaz (DeviceUncommonlyUsedAmongPeers) |
180 | Cihaz, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Cihaz kiracıda ilk kez gözlemleniyor (FirstTimeDeviceObservedInTenant) |
30 | Cihaz kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
|
Kiracıda yaygın olarak kullanılan cihaz (DeviceUncommonlyUsedInTenant) |
180 | Cihaz kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Cihazla ilgili diğer
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
|
Kullanıcı cihazda ilk kez oturum açtığında (FirstTimeUserLoggedOnToDevice) |
180 | Hedef cihaz, kullanıcı tarafından ilk kez bağlanmıştı. | Doğru, Yanlış |
|
Kiracıda yaygın olarak kullanılan cihaz ailesi (DeviceFamilyUncommonlyUsedInTenant) |
30 | Cihaz ailesi kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Bağlanmak için kullanılan İnternet Servis Sağlayıcısı
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
|
Kullanıcının ISS aracılığıyla ilk kez bağlanışı (FirstTimeUserConnectedViaISP) |
30 | ISS, kullanıcı tarafından ilk kez gözlemlendi. | Doğru, Yanlış |
|
ISS kullanıcı tarafından nadiren kullanılır (ISPUncommonlyUsedByUser) |
10 | ISS, kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
ISS eşler arasında yaygın olarak kullanılmaz (ISPUncommonlyUsedAmongPeers) |
30 | ISS, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
|
Kiracıdaki ISS aracılığıyla ilk kez bağlantı (FirstTimeConnectionViaISPInTenant) |
30 | ISS, kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
|
KIRACıda yaygın olarak kullanılan ISS (ISPUncommonlyUsedInTenant) |
30 | ISS, kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Erişilen kaynak
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
|
Kullanıcı kaynağa ilk kez erişmiş (FirstTimeUserAccessedResource) |
180 | Kaynağa kullanıcı tarafından ilk kez erişildi. | Doğru, Yanlış |
|
Kullanıcı tarafından nadiren erişilen kaynak (ResourceUncommonlyAccessedByUser) |
10 | Kaynağa kullanıcı yaygın olarak erişmiyor. | Doğru, Yanlış |
|
Eşler arasında nadiren erişilen kaynak (ResourceUncommonlyAccessedAmongPeers) |
180 | Kaynağa kullanıcının eşleri arasında yaygın olarak erişilmiyor. | Doğru, Yanlış |
|
Kaynağa kiracıda ilk kez erişildi (FirstTimeResourceAccessedInTenant) |
180 | Kaynağa kuruluştaki herkes tarafından ilk kez erişildi. | Doğru, Yanlış |
|
Kiracıda sık erişilmeyen kaynak (ResourceUncommonlyAccessedInTenant) |
180 | Kaynağa kuruluşta yaygın olarak erişılmıyor. | Doğru, Yanlış |
Çeşitli
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
|
Kullanıcının eylemi son gerçekleştirdiği zaman (LastTimeUserPerformedAction) |
180 | Kullanıcının aynı eylemi son gerçekleştirişi. | <Zaman damgası> |
|
Benzer eylem geçmişte gerçekleştirilmedi (SimilarActionWasn'tPerformedInThePast) |
30 | Kullanıcı, aynı kaynak sağlayıcısında hiçbir eylem gerçekleştirmedi. | Doğru, Yanlış |
|
Kaynak IP konumu (SourceIPLocation) |
YOK | Ülke/bölge eylemin kaynak IP'sinden çözümlendi. | [Surrey, İngiltere] |
|
Yaygın olmayan yüksek işlem hacmi (UncommonHighVolumeOfOperations) |
7 | Kullanıcı aynı sağlayıcı içinde benzer işlemler gerçekleştirdi | Doğru, Yanlış |
|
Olağan dışı sayıda Microsoft Entra Koşullu Erişim hatası (UnusualNumberOfAADConditionalAccessFailures) |
5 | Koşullu erişim nedeniyle olağan dışı sayıda kullanıcı kimlik doğrulaması yapamadı | Doğru, Yanlış |
|
Olağan dışı sayıda cihaz eklendi (UnusualNumberOfDevicesAdded) |
5 | Bir kullanıcı olağan dışı sayıda cihaz ekledi. | Doğru, Yanlış |
|
Olağan dışı cihaz sayısı silindi (UnusualNumberOfDevicesDeleted) |
5 | Kullanıcı olağan dışı sayıda cihazı sildi. | Doğru, Yanlış |
|
Gruba eklenen olağan dışı kullanıcı sayısı (UnusualNumberOfUsersAddedToGroup) |
5 | Bir kullanıcı gruba olağan dışı sayıda kullanıcı ekledi. | Doğru, Yanlış |
IdentityInfo tablosu
Microsoft Sentinel çalışma alanınız için UEBA'yı etkinleştirip yapılandırdıktan sonra, Microsoft kimlik sağlayıcılarınızdan gelen kullanıcı verileri Microsoft Sentinel kullanılmak üzere Log Analytics'teki IdentityInfo tablosuyla eşitlenir.
UEBA'yı yapılandırırken hangi kimlik sağlayıcılarını seçtiğinize bağlı olarak, bu kimlik sağlayıcıları aşağıdakilerden ikisi de veya her ikisidir:
- Microsoft Entra ID (bulut tabanlı)
- Microsoft Active Directory (şirket içi, Kimlik için Microsoft Defender gerektirir))
IdentityInfo tablosunu analiz kurallarında, avlanma sorgularında ve çalışma kitaplarında sorgulayabilir, analizlerinizi kullanım örneklerinize uyacak şekilde geliştirebilir ve hatalı pozitif sonuçları azaltabilirsiniz.
veriler tam olarak eşitlendiğinde ilk eşitleme birkaç gün sürebilir:
Her 14 günde bir, eski kayıtların tam olarak güncelleştirilmesini sağlamak için Microsoft Sentinel tüm Microsoft Entra ID (ve varsa şirket içi Active Directory) ile yeniden eşitlenir.
Bu normal tam eşitlemelerin yanı sıra, Microsoft Entra ID'da kullanıcı profillerinizde, gruplarınızda ve yerleşik rollerinizde her değişiklik yapıldığında, etkilenen kullanıcı kayıtları 15-30 dakika içinde IdentityInfo tablosunda yeniden kaydedilir ve güncelleştirilir. Bu alım normal fiyatlarla faturalandırılır. Örneğin:
Görünen ad, iş unvanı veya e-posta adresi gibi bir kullanıcı özniteliği değiştirildi. Bu kullanıcı için yeni bir kayıt IdentityInfo tablosuna alınıp ilgili alanlar güncelleştirildi.
Grup A'da 100 kullanıcı vardır. Gruba 5 kullanıcı eklenir veya gruptan kaldırılır. Bu durumda, bu beş kullanıcı kaydı yeniden kaydedilir ve GroupMembership alanları güncelleştirilir.
Grup A'da 100 kullanıcı vardır. A Grubuna on kullanıcı eklenir. Ayrıca, her birinde 10 kullanıcı bulunan A1 ve A2 grupları A Grubuna eklenir. Bu durumda, 30 kullanıcı kaydı yeniden kaydedilir ve GroupMembership alanları güncelleştirilir. Bunun nedeni grup üyeliğinin geçişli olmasıdır, bu nedenle gruplarda yapılan değişiklikler tüm alt gruplarını etkiler.
B grubu (50 kullanıcılı) Grup BeGood olarak yeniden adlandırılır. Bu durumda, 50 kullanıcı kaydı yeniden kaydedilir ve GroupMembership alanları güncelleştirilir. Bu grupta alt gruplar varsa, aynı durum tüm üyelerin kayıtları için de gerçekleşir.
IdentityInfo tablosunda varsayılan saklama süresi 30 gündür.
Sınırlamalar
AssignedRoles alanı yalnızca yerleşik rolleri destekler.
GroupMembership alanı, alt gruplar da dahil olmak üzere kullanıcı başına en fazla 500 grup listelemeyi destekler. Kullanıcı 500'den fazla grubun üyesiyse, IdentityInfo tablosuyla yalnızca ilk 500 eşitlenir. Gruplar belirli bir sırada değerlendirilmez, ancak her yeni eşitlemede (14 günde bir), kullanıcı kaydına farklı bir grup kümesi güncelleştirilmiş olabilir.
Bir kullanıcı silindiğinde, bu kullanıcının kaydı IdentityInfo tablosundan hemen silinmez. Bunun nedeni, bu tablonun amaçlarından birinin kullanıcı kayıtlarında yapılan değişiklikleri denetlemek olmasıdır. Bu nedenle, bu tabloda silinen bir kullanıcının kaydının olmasını istiyoruz. Bu kayıt, gerçek kullanıcı (örneğin, Entra kimliğinde) silinmiş olsa bile identityInfo tablosundaki kullanıcı kaydı hala mevcutsa gerçekleşebilir.
Silinen kullanıcılar, alandaki bir değerin
deletedDateTimevarlığıyla tanımlanabilir. Bu nedenle, size bir kullanıcı listesi göstermek için bir sorguya ihtiyacınız varsa, sorguya ekleyerek| where IsEmpty(deletedDateTime)silinen kullanıcıları filtreleyebilirsiniz.Kullanıcı silindikten sonra belirli bir zaman aralığında kullanıcının kaydı da IdentityInfo tablosundan kaldırılır.
Bir grup silindiğinde veya 100'den fazla üyesi olan bir grubun adı değiştirildiğinde, grubun üye kullanıcı kayıtları güncelleştirilmez. Farklı bir değişiklik söz konusu kullanıcıların kayıtlarından birinin güncelleştirilmesine neden olursa, güncelleştirilmiş grup bilgileri bu noktada eklenir.
IdentityInfo tablosunun diğer sürümleri
IdentityInfo tablosunun birden çok sürümü vardır:
Bu makalede açıklanan Log Analytics şema sürümü, Azure portal Microsoft Sentinel hizmet eder. UEBA'yi etkinleştiren müşteriler tarafından kullanılabilir.
Gelişmiş avcılık şeması sürümü, Kimlik için Microsoft Defender aracılığıyla Microsoft Defender portalına hizmet eder. Microsoft Sentinel olan veya olmayan Microsoft Defender XDR müşterileri ve Defender portalında tek başına Microsoft Sentinel müşterileri tarafından kullanılabilir.
Bu tabloya erişebilmek için UEBA'nın etkinleştirilmesi gerekmez. Ancak UEBA etkinleştirilmemiş müşteriler için UEBA verileriyle doldurulan alanlar görünür veya kullanılamaz.
Daha fazla bilgi için bu tablonun Gelişmiş avcılık sürümünün belgelerine bakın.
Mayıs 2025 itibarıylaUEBA'nın etkinleştirildiğiMicrosoft Defender portalındaki Microsoft Sentinel müşterileri Gelişmiş tehdit avcılığı sürümünün yeni bir sürümünü kullanmaya başlar. Bu yeni sürüm, Log Analytics sürümündeki tüm UEBA alanlarının yanı sıra bazı yeni alanları içerir ve birleşik sürüm veya birleşik IdentityInfo tablosu olarak adlandırılır.
UEBA etkinleştirilmemiş veya hiç Microsoft Sentinel olmayan Defender portalı müşterileri, UEBA tarafından oluşturulan alanlar olmadan Gelişmiş avcılık sürümünün önceki sürümünü kullanmaya devam ediyor.
Birleşik sürüm hakkında daha fazla bilgi için Gelişmiş tehdit avcılığı belgelerindeki IdentityInfo bölümüne bakın.
Önemli
Defender portalına geçiş yaptığınızda tablo, IdentityInfo tablo düzeyinde RBAC'yi (Rol Tabanlı Access Control) desteklemeyen yerel bir Defender tablosu olur. Kuruluşunuz Azure portal tabloya erişimi kısıtlamak için IdentityInfo tablo düzeyinde RBAC kullanıyorsa, Defender portalına geçiş yaptıktan sonra bu erişim denetimi artık kullanılamaz.
Şema
Aşağıdaki "Log Analytics şeması" sekmesindeki tablo, Azure portal Log Analytics'teki IdentityInfo tablosuna dahil edilen kullanıcı kimliği verilerini açıklar.
Microsoft Sentinel Defender portalına ekliyorsanız tehdit algılama kurallarınızdaki ve avlarınızdaki sorguları etkileyebilecek değişiklikleri görüntülemek için "Birleşik şemayla karşılaştır" sekmesini seçin.
| Alan adı | Tür | Açıklama |
|---|---|---|
| AccountCloudSID | dize | Hesabın Microsoft Entra güvenlik tanımlayıcısı. |
| AccountCreationTime | Datetime | Kullanıcı hesabının oluşturulduğu tarih (UTC). |
| AccountDisplayName | dize | Kullanıcı hesabının görünen adı. |
| AccountDomain | dize | Kullanıcı hesabının etki alanı adı. |
| Accountname | dize | Kullanıcı hesabının kullanıcı adı. |
| AccountObjectId | dize | Kullanıcı hesabının Microsoft Entra nesne kimliği. |
| AccountSID | dize | Kullanıcı hesabının şirket içi güvenlik tanımlayıcısı. |
| AccountTenantId | dize | Kullanıcı hesabının Microsoft Entra kiracı kimliği. |
| AccountUPN | dize | Kullanıcı hesabının kullanıcı asıl adı. |
| EkMailAddresses | Dinamik | Kullanıcının ek e-posta adresleri. |
| AssignedRoles | Dinamik | Kullanıcı hesabının atandığı Microsoft Entra rolleri. Yalnızca yerleşik roller desteklenir. |
| BlastRadius | dize | Kullanıcının kuruluş ağacındaki konumunu ve kullanıcının Microsoft Entra rollerini ve izinlerini temel alan bir hesaplama. Olası değerler: Düşük, Orta, Yüksek |
| Changesource | dize | Varlıkta yapılan en son değişikliğin kaynağı. Olası değerler: |
| Şehir | dize | Kullanıcı hesabının şehri. |
| Şirketadı | dize | Kullanıcının ait olduğu şirket adı. |
| Ülke | dize | Kullanıcı hesabının ülkesi/bölgesi. |
| DeletedDateTime | Datetime | Kullanıcının silindiği tarih ve saat. |
| Department | dize | Kullanıcı hesabının bölümü. |
| Employeeıd | dize | Kuruluş tarafından kullanıcıya atanan çalışan tanımlayıcısı. |
| Givenname | dize | Kullanıcı hesabının verilen adı. |
| GroupMembership | Dinamik | kullanıcı hesabının üye olduğu grupları Microsoft Entra ID. |
| IsAccountEnabled | Bool | Kullanıcı hesabının Microsoft Entra ID etkinleştirilip etkinleştirilmediğine ilişkin bir gösterge. |
| jobtitle | dize | Kullanıcı hesabının iş unvanı. |
| Mailaddress | dize | Kullanıcı hesabının birincil e-posta adresi. |
| Yöneticisi | dize | Kullanıcı hesabının yönetici diğer adı. |
| OnPremisesDistinguishedName | dize | ayırt edici ad (DN) Microsoft Entra ID. Ayırt edici ad, virgülle bağlanmış göreli ayırt edici adlardan (RDN) oluşan bir dizidir. |
| Phone | dize | Kullanıcı hesabının telefon numarası. |
| RiskLevel | dize | Kullanıcı hesabının Microsoft Entra ID risk düzeyi. Olası değerler: |
| RiskLevelDetails | dize | Microsoft Entra ID risk düzeyiyle ilgili ayrıntılar. |
| RiskState | dize | Hesabın şu anda risk altında olup olmadığını veya riskin düzeltilip giderildiğini gösterir. |
| SourceSystem | dize | Kullanıcının yönetildiği sistem. Olası değerler: |
| Durum | dize | Kullanıcı hesabının coğrafi durumu. |
| Streetaddress | dize | Kullanıcı hesabının office sokak adresi. |
| Soyadı | dize | Kullanıcının soyadı. Hesabı. |
| TenantId | dize | Kullanıcının kiracı kimliği. |
| TimeGenerated | Datetime | Olayın oluşturulduğu zaman (UTC). |
| Tür | dize | Tablonun adı. |
| Useraccountcontrol | Dinamik | AD etki alanındaki kullanıcı hesabının güvenlik öznitelikleri. Olası değerler (birden fazla değer içerebilir): |
| UserState | dize | Microsoft Entra ID'deki kullanıcı hesabının geçerli durumu. Olası değerler: |
| UserStateChangedOn | Datetime | Hesap durumunun en son değiştirildiği tarih (UTC). |
| Usertype | dize | Kullanıcı türü. |
Log Analytics şemasında yer alan aşağıdaki alanlar, Microsoft Sentinel tarafından kullanılmadığından veya desteklenmediğinden göz ardı edilmelidir:
- Uygulamalar
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Etiketler
- UACFlags