Microsoft Sentinel UEBA başvurusu
Bu başvuru makalesinde, Microsoft Sentinel'deki Kullanıcı ve Varlık Davranış Analizi hizmetinin giriş veri kaynakları listelenmiştir. Ayrıca UEBA'nın varlıklara eklediği zenginleştirmeleri açıklar ve uyarılar ve olaylar için gerekli bağlamı sağlar.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
UEBA veri kaynakları
Bunlar, UEBA altyapısının ML modellerini eğitmek ve kullanıcılar, cihazlar ve diğer varlıklar için davranış taban çizgilerini ayarlamak üzere verileri topladığı ve analiz ettiği veri kaynaklarıdır. Ardından UEBA, anomalileri ve karma içgörüleri bulmak için bu kaynaklardan alınan verilere bakar.
| Data source | Ekinlikler |
|---|---|
| Microsoft Entra ID Oturum açma günlükleri |
Tümü |
| Microsoft Entra ID Denetim günlükleri |
ApplicationManagement DirectoryManagement GroupManagement Cihaz RoleManagement UserManagementCategory |
| Azure Etkinlik günlükleri | Yetkilendirme AzureActiveDirectory Faturalandırma İşlem Tüketim KeyVault Cihazlar Ağ Kaynaklar Intune Mantık Sql Depolama |
| olayları Windows Güvenliği WindowsEvent veya SecurityEvent |
4624: Bir hesap başarıyla oturum açtı 4625: Bir hesap oturum açamadı 4648: Açık kimlik bilgileri kullanılarak oturum açmaya çalışıldı 4672: Yeni oturum açmaya atanan özel ayrıcalıklar 4688: Yeni bir işlem oluşturuldu |
UEBA zenginleştirmeleri
Bu bölümde, UEBA'nın Microsoft Sentinel varlıklarına eklediği zenginleştirmeler ve bunların güvenlik olayı araştırmalarınıza odaklanmak ve netleştirmek için kullanabileceğiniz tüm ayrıntıları açıklanmaktadır. Bu zenginleştirmeler varlık sayfalarında görüntülenir ve içeriği ve şeması aşağıda listelenen aşağıdaki Log Analytics tablolarında bulunabilir:
BehaviorAnalytics tablosu, UEBA'nın çıkış bilgilerinin depolandığı yerdir.
BehaviorAnalytics tablosundaki aşağıdaki üç dinamik alan, aşağıdaki varlık zenginleştirmeleri dinamik alanları bölümünde açıklanmıştır.
UsersInsights ve DevicesInsights alanları, Active Directory / Microsoft Entra Id ve Microsoft Threat Intelligence kaynaklarından varlık bilgilerini içerir.
ActivityInsights alanı, Microsoft Sentinel'in varlık davranışı analizi tarafından oluşturulan davranış profillerini temel alan varlık bilgilerini içerir.
Kullanıcı etkinlikleri, her kullanıldığında dinamik olarak derlenen bir taban çizgisine göre analiz edilir. Her etkinliğin, dinamik temelin türetildiği tanımlı geri arama dönemi vardır. Geri arama dönemi bu tablonun Temel sütununda belirtilir.
IdentityInfo tablosu, Microsoft Entra Id'den UEBA ile eşitlenen kimlik bilgilerinin (ve Kimlik için Microsoft Defender aracılığıyla şirket içi Active Directory) depolandığı yerdir.
BehaviorAnalytics tablosu
Aşağıdaki tabloda, Microsoft Sentinel'deki her varlık ayrıntıları sayfasında görüntülenen davranış analizi verileri açıklanmaktadır.
| Alan | Tür | Açıklama |
|---|---|---|
| Kiracı Kimliği | Dize | Kiracının benzersiz kimlik numarası. |
| SourceRecordId | Dize | EBA olayının benzersiz kimlik numarası. |
| TimeGenerated | datetime | Etkinliğin oluşumunun zaman damgası. |
| TimeProcessed | datetime | Etkinliğin EBA altyapısı tarafından işlenmesinin zaman damgası. |
| ActivityType | Dize | Etkinliğin üst düzey kategorisi. |
| ActionType | Dize | Etkinliğin normalleştirilmiş adı. |
| UserName | Dize | Etkinliği başlatan kullanıcının kullanıcı adı. |
| UserPrincipalName | Dize | Etkinliği başlatan kullanıcının tam kullanıcı adı. |
| EventSource | Dize | Özgün olayı sağlayan veri kaynağı. |
| SourceIPAddress | Dize | Etkinliğin başlatıldığı IP adresi. |
| SourceIPLocation | Dize | Etkinliğin başlatıldığı ülke, IP adresinden zenginleştirilmiştir. |
| SourceDevice | Dize | Etkinliği başlatan cihazın ana bilgisayar adı. |
| DestinationIPAddress | Dize | Etkinliğin hedefinin IP adresi. |
| DestinationIPLocation | Dize | Etkinliğin hedefi olan ülke, IP adresinden zenginleştirilmiştir. |
| DestinationDevice | Dize | Hedef cihazın adı. |
| UsersInsights | dynamic | İlgili kullanıcıların bağlamsal zenginleştirmeleri (aşağıdaki ayrıntılar). |
| CihazlarInsights | dynamic | İlgili cihazların bağlamsal zenginleştirmeleri (aşağıdaki ayrıntılar). |
| ActivityInsights | dynamic | Profil oluşturmamıza göre etkinliğin bağlamsal analizi (aşağıdaki ayrıntılar). |
| InvestigationPriority | int | 0-10 (0=zararsız, 10=yüksek oranda anormal) arasındaki anomali puanı. |
Varlık zenginleştirmeleri dinamik alanları
Not
Bu bölümdeki tablolardaki Zenginleştirme adı sütunu iki bilgi satırı görüntüler.
- İlki, kalın yazıyla zenginleştirmenin "kolay adıdır".
- İkincisi (italik ve parantez içinde), Davranış Analizi tablosunda depolandığı gibi zenginleştirmenin alan adıdır.
UsersInsights alanı
Aşağıdaki tabloda, BehaviorAnalytics tablosundaki UsersInsights dinamik alanında öne çıkan zenginleştirmeler açıklanmaktadır:
| Zenginleştirme adı | Açıklama | Örnek değer |
|---|---|---|
| Hesap görünen adı (AccountDisplayName) |
Kullanıcının hesap görünen adı. | Yönetici, Hayden Cook |
| Hesap etki alanı (AccountDomain) |
Kullanıcının hesap etki alanı adı. | |
| Hesap nesnesi kimliği (AccountObjectID) |
Kullanıcının hesap nesnesi kimliği. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Patlama yarıçapı (BlastRadius) |
Patlama yarıçapı çeşitli faktörlere göre hesaplanır: kullanıcının kuruluş ağacındaki konumu ve kullanıcının Microsoft Entra rolleri ve izinleri. BlastRadius'un hesaplanması için kullanıcının Microsoft Entra Id içinde Manager özelliği doldurulmuş olmalıdır. | Düşük, Orta, Yüksek |
| Uyku hesabı mı? (IsDormantAccount) |
Hesap son 180 gün boyunca kullanılmadı. | Doğru, Yanlış |
| Yerel yöneticidir (IsLocalAdmin) |
Hesabın yerel yönetici ayrıcalıkları vardır. | Doğru, Yanlış |
| Yeni hesap mı? (IsNewAccount) |
Hesap son 30 gün içinde oluşturuldu. | Doğru, Yanlış |
| Şirket içi SID (OnPremisesSID) |
Eylemle ilgili kullanıcının şirket içi SID'i. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights alanı
Aşağıdaki tabloda, BehaviorAnalytics tablosundaki DevicesInsights dinamik alanında öne çıkan zenginleştirmeler açıklanmaktadır:
| Zenginleştirme adı | Açıklama | Örnek değer |
|---|---|---|
| Tarayıcı (Tarayıcı) |
Eylemde kullanılan tarayıcı. | Edge, Chrome |
| Cihaz ailesi (DeviceFamily) |
Eylemde kullanılan cihaz ailesi. | Windows |
| Cihaz türü (DeviceType) |
Eylemde kullanılan istemci cihaz türü | Masaüstü |
| ISS (ISS) |
Eylemde kullanılan internet servis sağlayıcısı. | |
| İşletim sistemi (OperatingSystem) |
Eylemde kullanılan işletim sistemi. | Windows 10 |
| Tehdit bilgisi göstergesi açıklaması (ThreatIntelIndicatorDescription) |
Gözlemlenen tehdit göstergesinin açıklaması eylemde kullanılan IP adresinden çözümlendi. | Konak botnet üyesi: azorult |
| Tehdit bilgisi gösterge türü (ThreatIntelIndicatorType) |
Eylemde kullanılan IP adresinden çözümlenen tehdit göstergesinin türü. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Kimlik Avı, Proxy, PUA, İzleme Listesi |
| Kullanıcı aracısı (UserAgent) |
Eylemde kullanılan kullanıcı aracısı. | Microsoft Azure Graph İstemci Kitaplığı 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Kullanıcı aracısı ailesi (UserAgentFamily) |
Eylemde kullanılan kullanıcı aracısı ailesi. | Chrome, Edge, Firefox |
ActivityInsights alanı
Aşağıdaki tablolarda, BehaviorAnalytics tablosundaki ActivityInsights dinamik alanında öne çıkan zenginleştirmeler açıklanmaktadır:
Gerçekleştirilen eylem
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
| Kullanıcı ilk kez eylem gerçekleştirdi (FirstTimeUserPerformedAction) |
180 | Eylem kullanıcı tarafından ilk kez gerçekleştirildi. | Doğru, Yanlış |
| Kullanıcı tarafından nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedByUser) |
10 | Eylem kullanıcı tarafından yaygın olarak gerçekleştirilmiyor. | Doğru, Yanlış |
| Eşler arasında nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedAmongPeers) |
180 | Eylem, kullanıcının eşleri arasında yaygın olarak gerçekleştirilmiyor. | Doğru, Yanlış |
| Kiracıda ilk kez gerçekleştirilen eylem (FirstTimeActionPerformedInTenant) |
180 | Eylem, kuruluştaki herkes tarafından ilk kez gerçekleştirildi. | Doğru, Yanlış |
| Kiracıda nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedInTenant) |
180 | Eylem kuruluşta yaygın olarak gerçekleştirilmiyor. | Doğru, Yanlış |
Kullanılan uygulama
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
| Kullanıcı uygulamayı ilk kez kullandı (FirstTimeUserUsedApp) |
180 | Uygulama kullanıcı tarafından ilk kez kullanıldı. | Doğru, Yanlış |
| Kullanıcı tarafından yaygın olarak kullanılan uygulama (AppUncommonlyUsedByUser) |
10 | Uygulama kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
| Eşler arasında yaygın olarak kullanılan uygulama (AppUncommonlyUsedAmongPeers) |
180 | Uygulama, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
| Kiracıda ilk kez gözlemlenen uygulama (FirstTimeAppObservedInTenant) |
180 | Uygulama kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
| Kiracıda yaygın olarak kullanılan uygulama (AppUncommonlyUsedInTenant) |
180 | Uygulama kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Kullanılan tarayıcı
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
| Kullanıcı tarayıcı üzerinden ilk kez bağlandı (FirstTimeUserConnectedViaBrowser) |
30 | Tarayıcı kullanıcı tarafından ilk kez gözlemlendi. | Doğru, Yanlış |
| Kullanıcı tarafından yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedByUser) |
10 | Tarayıcı kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
| Eşler arasında yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedAmongPeers) |
30 | Tarayıcı, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
| Kiracıda ilk kez tarayıcı gözlemlendi (FirstTimeBrowserObservedInTenant) |
30 | Tarayıcı kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
| Kiracıda yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedInTenant) |
30 | Tarayıcı kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Bağlanılan ülke
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
| Kullanıcı ülkeden ilk kez bağlandı (FirstTimeUserConnectedFromCountry) |
90 | IP adresinden çözümlenen coğrafi konum, kullanıcı tarafından ilk kez adresinden bağlanmıştı. | Doğru, Yanlış |
| Kullanıcıdan sık rastlanmayan bir şekilde bağlanılan ülke (CountryUncommonlyConnectedFromByUser) |
10 | IP adresinden çözümlenen coğrafi konum, kullanıcı tarafından yaygın olarak'dan bağlanmaz. | Doğru, Yanlış |
| Eşler arasında sık rastlanmayan bağlı ülke (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP adresinden çözümlenen coğrafi konum genellikle kullanıcının eşleri arasında bağlanmaz. | Doğru, Yanlış |
| Kiracıda ülkeden ilk kez bağlantı gözlemlendi (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Ülke ilk kez kuruluştaki herkes tarafından bağlanmıştı. | Doğru, Yanlış |
| Kiracıdan sık rastlanmayan bağlı ülke (CountryUncommonlyConnectedFromInTenant) |
90 | IP adresinden çözümlenen coğrafi konum, kuruluşta yaygın olarak bağlantısı yoktur. | Doğru, Yanlış |
Bağlanmak için kullanılan cihaz
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
| Kullanıcı cihazdan ilk kez bağlandı (FirstTimeUserConnectedFromDevice) |
30 | Kaynak cihaz, kullanıcı tarafından ilk kez kaynağından bağlanmıştı. | Doğru, Yanlış |
| Kullanıcı tarafından yaygın olarak kullanılan cihaz (DeviceUncommonlyUsedByUser) |
10 | Cihaz kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
| Eşler arasında yaygın olarak kullanılan cihaz (DeviceUncommonlyUsedAmongPeers) |
180 | Cihaz, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
| Kiracıda ilk kez cihaz gözlemlendi (FirstTimeDeviceObservedInTenant) |
30 | Cihaz kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
| Kiracıda yaygın olarak kullanılan cihaz (DeviceUncommonlyUsedInTenant) |
180 | Cihaz kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Cihazla ilgili diğer
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
| Kullanıcı cihazda ilk kez oturum açtığında (FirstTimeUserLoggedOnToDevice) |
180 | Hedef cihaz, kullanıcı tarafından ilk kez bağlanmıştı. | Doğru, Yanlış |
| Kiracıda yaygın olarak kullanılan cihaz ailesi (DeviceFamilyUncommonlyUsedInTenant) |
30 | Cihaz ailesi kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Bağlanmak için kullanılan İnternet Servis Sağlayıcısı
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
| IsS aracılığıyla ilk kez bağlanan kullanıcı (FirstTimeUserConnectedViaISP) |
30 | ISS, kullanıcı tarafından ilk kez gözlemlendi. | Doğru, Yanlış |
| ISS kullanıcı tarafından yaygın olarak kullanılıyor (ISPUncommonlyUsedByUser) |
10 | ISS, kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, Yanlış |
| ISS, eşler arasında yaygın olarak kullanılmaz (ISPUncommonlyUsedAmongPeers) |
30 | ISS, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, Yanlış |
| Kiracıda ISS aracılığıyla ilk kez bağlantı (FirstTimeConnectionViaISPInTenant) |
30 | ISS, kuruluşta ilk kez gözlemlendi. | Doğru, Yanlış |
| KIRACıda yaygın olarak kullanılan ISS (ISPUncommonlyUsedInTenant) |
30 | ISS, kuruluşta yaygın olarak kullanılmaz. | Doğru, Yanlış |
Kaynağa erişildi
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
| Kullanıcı kaynağa ilk kez erişmiş (FirstTimeUserAccessedResource) |
180 | Kaynağa kullanıcı tarafından ilk kez erişildi. | Doğru, Yanlış |
| Kullanıcı tarafından nadiren erişilen kaynağa (ResourceUncommonlyAccessedByUser) |
10 | Kaynağa kullanıcı tarafından yaygın olarak erişilmiyor. | Doğru, Yanlış |
| Eşler arasında nadiren erişilen kaynak (ResourceUncommonlyAccessedAmongPeers) |
180 | Kaynağa kullanıcının eşleri arasında yaygın olarak erişilmiyor. | Doğru, Yanlış |
| Kiracıda kaynağa ilk kez erişildi (FirstTimeResourceAccessedInTenant) |
180 | Kaynağa kuruluştaki herkes tarafından ilk kez erişildi. | Doğru, Yanlış |
| Kiracıda nadiren erişilen kaynak (ResourceUncommonlyAccessedInTenant) |
180 | Kaynağa kuruluşta yaygın olarak erişilmiyor. | Doğru, Yanlış |
Çeşitli
| Zenginleştirme adı | Temel (gün) | Açıklama | Örnek değer |
|---|---|---|---|
| Kullanıcının eylemi son gerçekleştirdiği zaman (LastTimeUserPerformedAction) |
180 | Kullanıcı aynı eylemi son gerçekleştirişinde. | <Zaman damgası> |
| Benzer eylem geçmişte gerçekleştirilmedi (SimilarActionWasn'tPerformedInThePast) |
30 | Kullanıcı, aynı kaynak sağlayıcısında hiçbir eylem gerçekleştirmedi. | Doğru, Yanlış |
| Kaynak IP konumu (SourceIPLocation) |
Yok | Ülke eylemin kaynak IP'sinden çözümlendi. | [Surrey, İngiltere] |
| Yaygın olmayan yüksek işlem hacmi (UncommonHighVolumeOfOperations) |
7 | Kullanıcı aynı sağlayıcı içinde benzer işlemler gerçekleştirmiş | Doğru, Yanlış |
| Olağan dışı Microsoft Entra Koşullu Erişim hatası sayısı (UnusualNumberOfAADConditionalAccessFailures) |
5 | Olağan dışı sayıda kullanıcı koşullu erişim nedeniyle kimlik doğrulaması yapamadı | Doğru, Yanlış |
| Olağan dışı cihaz sayısı eklendi (UnusualNumberOfDevicesAdded) |
5 | Bir kullanıcı olağan dışı sayıda cihaz ekledi. | Doğru, Yanlış |
| Olağan dışı cihaz sayısı silindi (UnusualNumberOfDevicesDeleted) |
5 | Kullanıcı olağan dışı sayıda cihazı sildi. | Doğru, Yanlış |
| Gruba olağan dışı sayıda kullanıcı eklendi (UnusualNumberOfUsersAddedToGroup) |
5 | Bir kullanıcı gruba olağan dışı sayıda kullanıcı ekledi. | Doğru, Yanlış |
IdentityInfo tablosu
Microsoft Sentinel çalışma alanınız için UEBA'yı etkinleştirdikten sonra, Microsoft Entra Kimliğinizdeki veriler, Microsoft Sentinel'de kullanılmak üzere Log Analytics'teki IdentityInfo tablosuyla eşitlenir. Analizlerinizi kullanım örneklerinize uyacak şekilde geliştirmek ve hatalı pozitif sonuçları azaltmak için, Microsoft Entra Id'nizden eşitlenen kullanıcı verilerini analiz kurallarınıza ekleyebilirsiniz.
İlk eşitleme birkaç gün sürebilir ancak veriler tam olarak eşitlendiğinde:
Microsoft Entra Id'de kullanıcı profillerinizde, gruplarınızda ve rollerinizde yapılan değişiklikler IdentityInfo tablosunda 15-30 dakika içinde güncelleştirilir.
Her 14 günde bir, Microsoft Sentinel eski kayıtların tamamen güncelleştirildiğinden emin olmak için tüm Microsoft Entra kimliğinizi yeniden eşitler.
IdentityInfo tablosunda varsayılan saklama süresi 30 gündür.
Sınırlamalar
Şu anda yalnızca yerleşik roller desteklenmektedir.
Kullanıcının bir gruptan kaldırıldığı silinmiş gruplar hakkındaki veriler şu anda desteklenmemekte.
IdentityInfo tablosunun sürümleri
IdentityInfo tablosunun iki sürümü vardır:
- Log Analytics şema sürümü, Azure portalında Microsoft Sentinel'e hizmet eder.
- Gelişmiş tehdit avcılığı şeması sürümü, Kimlik için Microsoft Defender aracılığıyla Microsoft Defender portalında Microsoft Sentinel'e hizmet eder.
Bu tablonun her iki sürümü de Microsoft Entra ID tarafından beslenmektedir, ancak Log Analytics sürümü birkaç alan eklemiş.
Defender portalında bulunan birleşik güvenlik operasyonları platformu, bu tablonun Gelişmiş tehdit avcılığı sürümünü kullanır. Tablonun iki sürümü arasındaki farkları en aza indirmek için Log Analytics sürümündeki benzersiz alanların çoğu da Gelişmiş tehdit avcılığı sürümüne aşamalı olarak eklenmektedir. Microsoft Sentinel'i hangi portalda kullandığınızdan bağımsız olarak, neredeyse tüm bilgilere erişebilirsiniz, ancak sürümler arasında eşitlemede küçük bir gecikme olabilir. Daha fazla bilgi için bu tablonun Gelişmiş tehdit avcılığı sürümünün belgelerine bakın.
Aşağıdaki tabloda, Azure portalında Log Analytics'teki IdentityInfo tablosuna eklenen kullanıcı kimliği verileri açıklanmaktadır. Dördüncü sütunda, Microsoft Sentinel'in Defender portalında kullandığı, tablonun Gelişmiş avlanma sürümündeki ilgili alanlar gösterilir. Kalın yazı tipindeki alan adları, Gelişmiş tehdit avcılığı şemasında Microsoft Sentinel Log Analytics sürümündekinden farklı şekilde adlandırılır.
| içindeki alan adı Log Analytics şeması |
Type | Açıklama | içindeki alan adı Gelişmiş tehdit avcılığı şeması |
|---|---|---|---|
| AccountCloudSID | Dize | Hesabın Microsoft Entra güvenlik tanımlayıcısı. | CloudSid |
| AccountCreationTime | datetime | Kullanıcı hesabının oluşturulduğu tarih (UTC). | CreatedDateTime |
| AccountDisplayName | Dize | Kullanıcı hesabının görünen adı. | AccountDisplayName |
| AccountDomain | Dize | Kullanıcı hesabının etki alanı adı. | AccountDomain |
| AccountName | Dize | Kullanıcı hesabının kullanıcı adı. | AccountName |
| AccountObjectId | Dize | Kullanıcı hesabının Microsoft Entra nesne kimliği. | AccountObjectId |
| AccountSID | Dize | Kullanıcı hesabının şirket içi güvenlik tanımlayıcısı. | AccountSID |
| AccountTenantId | Dize | Kullanıcı hesabının Microsoft Entra kiracı kimliği. | -- |
| AccountUPN | Dize | Kullanıcı hesabının kullanıcı asıl adı. | AccountUPN |
| EkMailAddresses | dynamic | Kullanıcının ek e-posta adresleri. | -- |
| AssignedRoles | dynamic | Kullanıcı hesabının atandığı Microsoft Entra rolleri. | AssignedRoles |
| BlastRadius | Dize | Kullanıcının kuruluş ağacındaki konumunu ve kullanıcının Microsoft Entra rollerini ve izinlerini temel alan bir hesaplama. Olası değerler: Düşük, Orta, Yüksek |
-- |
| ChangeSource | Dize | Varlıkta yapılan en son değişikliğin kaynağı. Olası değerler: |
ChangeSource |
| CompanyName | Kullanıcının ait olduğu şirket adı. | -- | |
| Şehir | Dize | Kullanıcı hesabının şehri. | City |
| Ülke | Dize | Kullanıcı hesabının ülkesi. | Ülke |
| DeletedDateTime | datetime | Kullanıcının silindiği tarih ve saat. | -- |
| Bölüm | Dize | Kullanıcı hesabının bölümü. | Bölüm |
| GivenName | Dize | Kullanıcı hesabının verilen adı. | GivenName |
| GroupMembership | dynamic | Microsoft Entra, kullanıcı hesabının üye olduğu yerleri gruplar. | -- |
| IsAccountEnabled | ikili | Kullanıcı hesabının Microsoft Entra Id'de etkinleştirilip etkinleştirilmediğini gösteren bir gösterge. | IsAccountEnabled |
| JobTitle | Dize | Kullanıcı hesabının iş unvanı. | JobTitle |
| MailAddress | Dize | Kullanıcı hesabının birincil e-posta adresi. | EmailAddress |
| Yönetici | Dize | Kullanıcı hesabının yönetici diğer adı. | Yönetici |
| OnPremisesDistinguishedName | Dize | Microsoft Entra Id ayırt edici adı (DN). Ayırt edici ad, virgülle bağlanan göreli ayırt edici adlardan (RDN) oluşan bir dizidir. | DistinguishedName |
| Telefon | Dize | Kullanıcı hesabının telefon numarası. | Phone |
| SourceSystem | Dize | Kullanıcının yönetildiği sistem. Olası değerler: |
SourceProvider |
| Semt | Dize | Kullanıcı hesabının coğrafi durumu. | State |
| StreetAddress | Dize | Kullanıcı hesabının ofis sokak adresi. | Adres |
| Soyadı | Dize | Kullanıcının soyadı. içerir. | Surname |
| Kiracı Kimliği | Dize | Kullanıcının kiracı kimliği. | -- |
| TimeGenerated | datetime | Olayın oluşturulduğu saat (UTC). | Zaman damgası |
| Tür | Dize | Tablonun adı. | -- |
| UserAccountControl | dynamic | AD etki alanındaki kullanıcı hesabının güvenlik öznitelikleri. Olası değerler (birden fazla değer içerebilir): |
-- |
| UserState | Dize | Microsoft Entra Id'deki kullanıcı hesabının geçerli durumu. Olası değerler: |
-- |
| UserStateChangedOn | datetime | Hesap durumunun en son değiştirildiği tarih (UTC). | -- |
| UserType | Dize | Kullanıcı türü. | -- |
Sonraki adımlar
Bu belgede Microsoft Sentinel varlık davranışı analiz tablosu şeması açıklanmıştır.
- Varlık davranışı analizi hakkında daha fazla bilgi edinin.
- Microsoft Sentinel'de UEBA'yı etkinleştirin.
- Araştırmalarınızda UEBA'nın kullanılmasını sağlayın.