Delen via

Onbewerkte beveiligingslogboeken vertalen naar gedragsinzichten met behulp van UEBA-gedrag in Microsoft Sentinel (preview)

De UEBA-gedragslaag (User and Entity Behavior Analytics) in Microsoft Sentinel aggregeert en vat onbewerkte logboeken met grote volumes samen in duidelijke, eenvoudige taalpatronen van beveiligingsacties, waarin wordt uitgelegd wie wat heeft gedaan op een gestructureerde manier.

In tegenstelling tot waarschuwingen of afwijkingen geven gedragingen niet noodzakelijkerwijs risico's aan. Ze maken een abstractielaag die uw gegevens optimaliseert voor onderzoeken, opsporing en detectie door het volgende te verbeteren:

  • Efficiëntie: Verminder de onderzoekstijd door gerelateerde gebeurtenissen te plakken in samenhangende verhalen.
  • Duidelijkheid: Vertaal luidruchtige logboeken op laag niveau in samenvattingen in gewone taal.
  • Context: MITRE ATT&CK-toewijzing en entiteitsrollen toevoegen voor directe relevantie voor beveiliging.
  • Consistentie: Een geïntegreerd schema bieden voor diverse logboekbronnen.

Deze abstractielaag maakt snellere detectie, onderzoek en reactie van bedreigingen mogelijk voor uw beveiligingsbewerkingen, zonder dat u diep bekend bent met elke logboekbron.

In dit artikel wordt uitgelegd hoe de UEBA-gedragslaag werkt, hoe u de gedragslaag inschakelt en hoe u gedrag gebruikt om beveiligingsbewerkingen te verbeteren.

Hoe de UEBA-gedragslaag werkt

Gedrag maakt deel uit van de UEBA-mogelijkheden (User and Entity Behavior Analytics) van Microsoft Sentinel, met genormaliseerde, contextuele activiteitssamenvattingen die een aanvulling vormen op anomaliedetectie en onderzoek verrijken.

Gedrag, afwijkingen en waarschuwingen vergelijken

In deze tabel ziet u hoe gedrag verschilt van afwijkingen en waarschuwingen:

Vermogen Wat het voorstelt Purpose
Anomalies Patronen die afwijken van vastgestelde basislijnen Ongebruikelijke of verdachte activiteit markeren
waarschuwingen Signaler een mogelijk beveiligingsprobleem dat aandacht vereist Werkstromen voor reactie op incidenten activeren
Gedrag Neutrale, gestructureerde samenvattingen van activiteiten - normaal of abnormaal - gebaseerd op tijdvensters of triggers, verrijkt met MITRE ATT&CK-toewijzingen en entiteitsrollen. Context en duidelijkheid bieden voor onderzoeken, opsporing en detectie

Gedragstypen en -records

Wanneer u de UEBA-gedragslaag inschakelt, verwerkt Microsoft Sentinel ondersteunde beveiligingslogboeken die u in bijna realtime in uw Sentinel-werkruimte verzamelt en bevat een overzicht van twee soorten gedragspatronen:

Gedragstype Beschrijving Examples Gebruiksscenario
Geaggregeerd gedrag Patronen op basis van volumes detecteren door gerelateerde gebeurtenissen in de loop van de tijdvensters te verzamelen
  • Gebruiker heeft in 1 uur toegang tot meer dan 50 resources
  • Aanmeldingspogingen vanaf 10+ verschillende IP-adressen
 Converteer logboeken met een hoog volume naar bruikbare beveiligingsinzichten. Dit gedragstype excelleert bij het identificeren van ongebruikelijke activiteitsniveaus.
Gesequentieerd gedrag Identificeer patronen met meerdere stappen of complexe aanvalsketens die niet duidelijk zijn wanneer afzonderlijke gebeurtenissen worden bekeken. Toegangssleutel aangemaakt > gebruikt vanaf nieuw IP > voor bevoorrechte API-aanroepen Geavanceerde aanvalsreeksen en bedreigingen met meerdere fasen detecteren.

De UEBA-gedragslaag bevat een overzicht van het gedrag op maat gemaakte tijdsintervallen die specifiek zijn voor de logica van elk gedrag, waarbij gedragsrecords onmiddellijk worden gemaakt wanneer patronen worden geïdentificeerd of wanneer de tijdvensters worden gesloten.

Elke gedragsrecord omvat:

  • Een eenvoudige, contextuele beschrijving: een uitleg in natuurlijke taal van wat er is gebeurd in beveiligingsgerelateerde termen, bijvoorbeeld wie watdeed en waarom het belangrijk is.
  • Geïntegreerd schema en verwijzingen naar de onderliggende onbewerkte logboeken: alle gedragingen gebruiken een consistente gegevensstructuur voor verschillende producten en logboektypen, dus analisten hoeven geen verschillende logboekindelingen te vertalen of tabellen met een hoog volume samen te voegen.
  • MITRE ATT&CK-toewijzing: Elk gedrag is voorzien van relevante MITRE-tactieken en -technieken, wat op een duidelijke manier industriestandaardcontext biedt. U ziet niet alleen wat er is gebeurd, maar ook hoe het past in een aanvalsframework of tijdlijn.
  • Toewijzing van entiteitsrelaties: ieder gedrag identificeert betrokken entiteiten (gebruikers, hosts, IP-adressen) en hun rollen (actor, doel of overige).

De abstractielaag van het gedrag

In dit diagram ziet u hoe de UEBA-gedragslaag onbewerkte logboeken transformeert in gestructureerde gedragsrecords die beveiligingsbewerkingen verbeteren:

Diagram dat laat zien hoe de UEBA-gedragslaag onbewerkte logboeken transformeert in gestructureerde gedragsrecords die beveiligingsbewerkingen verbeteren.

Gedrag van opslag en tabellen

In de laag UEBA-gedrag worden gedragsrecords opgeslagen in twee typen tabellen:

  • Een tabel met gedragsinformatie , die de gedragstitel, beschrijving, MITRE-toewijzingen, categorieën en koppelingen naar onbewerkte logboeken bevat, en
  • Een tabel met entiteiten die betrekking hebben op gedrag , waarin alle entiteiten worden vermeld die betrokken zijn bij het gedrag en hun rollen.

Deze tabellen kunnen naadloos worden geïntegreerd met uw bestaande werkstromen voor detectieregels, onderzoeken en incidentanalyse. Ze verwerken alle soorten beveiligingsactiviteiten, niet alleen verdachte gebeurtenissen, en bieden uitgebreide zichtbaarheid in zowel normale als afwijkende gedragspatronen.

Zie voor informatie over het gebruik van gedragstabellen best practices en tips voor probleemoplossing voor het opvragen van gedragingen.

Belangrijk

Generatieve AI drijft de UEBA Gedragingen-laag aan om de inzichten die het biedt te creëren en op te schalen. Microsoft heeft de functie Gedrag ontworpen op basis van privacy en verantwoorde AI-principes om transparantie en uitleg te garanderen. Gedrag introduceert geen nieuwe nalevingsrisico's of ondoorzichtige 'zwarte doos'-analyses in uw SOC. Zie De veelgestelde vragen over verantwoorde AI voor de Microsoft UEBA-gedragslaag voor meer informatie over hoe AI wordt toegepast in deze functie en de benadering van Microsoft AI voor verantwoorde AI.

Gebruiksvoorbeelden en voorbeelden

Hier ziet u hoe analisten, jagers en detectietechnici gedrag kunnen gebruiken tijdens onderzoeken, jagen en waarschuwingen maken.

Onderzoek en incidentverrijking

Gedrag geeft SOC-analisten onmiddellijke duidelijkheid over wat er is gebeurd rond een waarschuwing, zonder dat ze over meerdere onbewerkte logboektabellen hoeven te draaien.

  • Werkstroom zonder gedrag: Analisten moeten tijdlijnen vaak handmatig reconstrueren door query's uit te voeren op gebeurtenisspecifieke tabellen en resultaten samen te voegen.

    Voorbeeld: Een waarschuwing wordt gegenereerd door een verdachte AWS-activiteit. De analist voert een query uit op de AWSCloudTrail tabel en draait vervolgens naar firewallgegevens om te begrijpen wat de gebruiker of host heeft gedaan. Hiervoor is kennis van elk schema vereist en wordt de sortering vertraagd.

  • Werkstroom met gedragingen: De UEBA-gedragslaag voegt automatisch gerelateerde gebeurtenissen samen in gedragsvermeldingen die aan een incident kunnen worden gekoppeld of op aanvraag kunnen worden opgevraagd.

    Voorbeeld: Een waarschuwing wijst op mogelijke exfiltratie van inloggegevens. In de BehaviorInfo tabel ziet de analist het gedrag Verdachte massatoegang tot geheimen via AWS IAM door User123 toegewezen aan MITRE Technique T1552 (Onbeveiligde inloggegevens). De UEBA-gedragslaag heeft dit gedrag gegenereerd door 20 AWS-logboekvermeldingen samen te voegen. De analist begrijpt onmiddellijk dat Gebruiker123 toegang heeft tot veel geheimen – cruciale context om het incident te escaleren – zonder alle 20 logboekvermeldingen handmatig te controleren.

Detectie van bedreigingen

Met gedragingen kunnen analisten zoeken op TTP's en activiteitenoverzichten, in plaats van zelf complexe join-queries te schrijven of onbewerkte logboeken te normaliseren.

  • Werkstroom zonder gedragingen: Zoekacties vereisen complexe KQL, tabelkoppelingen en bekendheid met elk gegevensformaat. Belangrijke activiteit kan worden begraven in grote gegevenssets met weinig ingebouwde beveiligingscontext.

    Voorbeeld: Voor het opsporen van tekenen van reconnaissance moeten mogelijk gebeurtenissen AWSCloudTrailen bepaalde firewallverbindingspatronen afzonderlijk worden gescand. Context bestaat voornamelijk in incidenten en waarschuwingen, waardoor proactieve opsporing moeilijker wordt.

  • Werkstroom met gedrag: Gedrag wordt genormaliseerd, verrijkt en toegewezen aan MITRE-tactieken en -technieken. Analisten kunnen zoeken naar zinvolle patronen zonder afhankelijk te zijn van het schema van elke afzonderlijke bron.

    Een jager kan de tabel BehaviorInfo filteren op tactiek (Categories), techniek, titel of entiteit. Voorbeeld:

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    Jagers kunnen ook:

    • Identificeer zeldzame gedragingen met behulp van het count distinctTitle veld.
    • Verken een interessant gedragstype, identificeer de betrokken entiteiten en onderzoek verder.
    • Inzoomen op onbewerkte logboeken met behulp van de BehaviorId en AdditionalFields kolommen, die vaak verwijzen naar de onderliggende onbewerkte logboeken.

    Voorbeeld: Een jager die zoekt naar verborgen query's voor referentietoegang voor gedrag met 'referenties inventariseren' in de Title kolom. De resultaten retourneren enkele gevallen van 'Attempted credential dump from Vault by user AdminJoe' (afgeleid van CyberArk logboeken). Hoewel waarschuwingen niet zijn geactiveerd, is dit gedrag ongebruikelijk voor AdminJoe en vraagt om verder onderzoek - iets wat moeilijk te detecteren is in de uitgebreide auditlogs van Vault.

    Jagers kunnen ook jagen op:

    • MITRE-tactiek:

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • Techniek:

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • Specifieke gebruiker:

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • Zeldzaam gedrag (mogelijke afwijkingen):

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

Waarschuwingen en automatisering

Gedrag vereenvoudigt regellogica door genormaliseerde, hoogwaardige signalen met ingebouwde context te bieden en nieuwe correlatiemogelijkheden mogelijk te maken.

  • Werkstroom zonder gedrag: Correlatieregels voor meerdere bronnen zijn complex omdat elke logboekindeling anders is. Voor regels is vaak het volgende vereist:

    • Normalisatielogica
    • Schemaspecifieke voorwaarden
    • Meerdere afzonderlijke regels
    • Vertrouwen op waarschuwingen in plaats van onbewerkte activiteit

    Automatisering kan ook te vaak worden geactiveerd als deze wordt aangestuurd door gebeurtenissen op laag niveau.

  • Werkstroom met gedrag: Gedrag aggregeren al gerelateerde gebeurtenissen en omvatten MITRE-toewijzingen, entiteitsrollen en consistente schema's, zodat detectietechnici eenvoudigere detectieregels kunnen maken.

    Voorbeeld: Een detectietechnicus schrijft een detectieregel met behulp van deze logica om te waarschuwen voor een mogelijk inbreuk op de sleutel en de escalatievolgorde van bevoegdheden: 'Waarschuwing als een gebruiker het gedrag 'Nieuwe AWS-toegangssleutel maken' heeft gevolgd door het gedrag 'Uitbreiding van bevoegdheden in AWS' binnen 1 uur.'

    Zonder de UEBA-gedragslaag moet deze regel onbewerkte AWSCloudTrail gebeurtenissen samenvoegen en interpreteren in de regellogica. Met gedrag is het eenvoudig en tolerant om schemawijzigingen vast te stellen, omdat het schema geïntegreerd is.

    Gedrag fungeert ook als betrouwbare triggers voor automatisering. In plaats van waarschuwingen te maken voor niet-riskante activiteiten, gebruikt u gedrag om automatisering te activeren, bijvoorbeeld om een e-mail te verzenden of verificatie te initiëren.

Ondersteunde gegevensbronnen en gedrag

De lijst met ondersteunde gegevensbronnen en leveranciers of services die logboeken naar deze gegevensbronnen verzenden, ontwikkelt zich. De UEBA-gedragslaag verzamelt automatisch inzichten voor alle ondersteunde leveranciers op basis van de logboeken die u verzamelt.

Tijdens de openbare preview richt de UEBA-gedragslaag zich op deze niet-Microsoft-gegevensbronnen die traditioneel geen eenvoudige gedragscontext in Microsoft Sentinel hebben:

Gegevensbron Ondersteunde leveranciers, services en logboeken Connector Ondersteund gedrag
CommonSecurityLog1
  • Cyber Ark Vault
  • Palo Alto-bedreigingen
AWSCloudTrail
  • EC2
  • IAM
  • S3
  • EKS
  • Geheimenbeheerder
GCPAuditLogs
  • Activiteitenlogboeken voor beheerders
  • Logboeken voor gegevenstoegang
  • Transparantielogboeken openen

1CommonSecurityLog kan logboeken van veel leveranciers bevatten. De UEBA-gedragslaag genereert alleen gedrag voor ondersteunde leveranciers en logboektypen. Als de tabel logboeken ontvangt van een niet-ondersteunde leverancier, ziet u geen gedrag, ook al is de gegevensbron verbonden.

Belangrijk

U moet deze bronnen afzonderlijk van andere UEBA-mogelijkheden inschakelen. Als u bijvoorbeeld AWSCloudTrail hebt ingeschakeld voor UEBA-analyses en afwijkingen, moet u deze nog steeds afzonderlijk inschakelen voor gedrag.

Vereiste voorwaarden

Als u de UEBA-gedragslaag wilt gebruiken, hebt u het volgende nodig:

Vereiste toestemmingen

Als u de UEBA-gedragslaag wilt inschakelen en gebruiken, hebt u deze machtigingen nodig:

Gebruikersactie Machtiging vereist
Gedrag inschakelen Ten minste de rol Beveiligingsbeheerder in Microsoft Entra-id.
Tabellen met querygedrag
  • De rol Beveiligingslezer of Beveiligingsoperator in Microsoft Entra ID voor het uitvoeren van geavanceerde zoekopdrachten in de Defender-portal
  • Read toegang tot de BehaviorInfo en BehaviorEntities tabellen in uw Sentinel-werkruimte
  • Read toegang tot brontabellen om in te zoomen op onbewerkte gebeurtenissen

Zie Microsoft Defender XDR Unified Access Control (RBAC) voor meer informatie over geïntegreerde RBAC in de Defender-portal.

De UEBA-gedragslaag inschakelen

Als u UEBA-gedrag wilt samenvoegen, moet u ten minste één ondersteunde gegevensbron verbinden. De UEBA-gedragslaag aggregeert alleen gedrag wanneer ondersteunde gegevensbronnen zijn verbonden en actief logboeken verzenden naar de analyselaag.

De UEBA-gedragslaag inschakelen in uw werkruimte:

  1. Selecteer in de Defender-portal systeeminstellingen >> Microsoft Sentinel > SIEM-werkruimten.

  2. Selecteer de Sentinel-werkruimte waarin u de UEBA-gedragslaag wilt inschakelen.

  3. Selecteer Gedragsanalyses inschakelen > UEBA configureren > Nieuw! Gedragslaag.

  4. Schakel de optie Gedrag-laag inschakelen in.

  5. Selecteer Alle gegevensbronnen verbinden of selecteer de specifieke gegevensbronnen in de lijst.

    Als u nog geen ondersteunde gegevensbronnen hebt verbonden met uw Sentinel-werkruimte, selecteert u Ga naar Content Hub om de relevante connectors te zoeken en te verbinden.

    Schermopname van de pagina van de laag Gedragingen inschakelen in de Defender-portal.

  6. Selecteer Maak verbinding met.

Belangrijk

Tijdens de openbare preview kunt u alleen gedrag inschakelen in één werkruimte in uw tenant.

Prijsmodel

Het gebruik van de UEBA-gedragslaag resulteert in de volgende kosten:

  • Geen extra licentiekosten: Gedrag wordt opgenomen als onderdeel van Microsoft Sentinel (momenteel in preview). U hebt geen afzonderlijke SKU, UEBA-add-on of aanvullende licenties nodig. Als uw werkruimte is verbonden met Sentinel en is toegevoegd aan de Defender-portal, kunt u zonder extra functiekosten gedrag gebruiken.

  • Kosten voor opname van logboekgegevens: Gedragsrecords worden opgeslagen in de SentinelBehaviorInfo en SentinelBehaviorEntities tabellen in uw Sentinel-werkruimte. Elk gedrag draagt bij aan het gegevensopnamevolume van uw werkruimte en wordt gefactureerd volgens uw huidige Log Analytics/Sentinel-opnamekosten. Gedrag is additief. Ze vervangen uw bestaande onbewerkte logboeken niet.

Aanbevolen procedures en tips voor probleemoplossing voor het uitvoeren van querygedrag

In deze sectie wordt uitgelegd hoe u querygedrag uitvoert vanuit zowel de Defender-portal als uw Sentinel-werkruimte. Hoewel de schema's identiek zijn, verschilt het gegevensbereik:

  • In de Defender-portal bevatten de gedragstabellen UEBA-gedrag en -gedrag van verbonden Defender-services, zoals Microsoft Defender voor Cloud Apps en Microsoft Defender voor Cloud.
  • In de Sentinel-werkruimte bevatten de gedragstabellen alleen UEBA-gedrag dat is gegenereerd op basis van logboeken die zijn opgenomen in die specifieke werkruimte.

In deze tabel ziet u welke gedragstabellen in elke omgeving moeten worden gebruikt:

Milieu Te gebruiken tabellen Gebruikscases
Defender-portal - Geavanceerde opsporing BehaviorInfo
BehaviorEntities		 Detectieregels, incidentonderzoek, opsporing van bedreigingen in defender-portal
Sentinel-werkruimte SentinelBehaviorInfo
SentinelBehaviorEntities		 Azure Monitor werkmappen, gegevensopnamebewaking, KQL-queries in Sentinel werkruimte

Zie Gebruikssituaties en voorbeelden voor meer praktische voorbeelden van het gebruik van gedragingen.

Zie het overzicht van kusto-querytaal voor meer informatie over Kusto Query Language (KQL).

  • Filteren op UEBA-gedrag in de Defender-portal

    De BehaviorInfo en BehaviorEntities tabellen bevatten alle UEBA-gedrag en kunnen ook gedrag van Microsoft Defender-services bevatten.

    Als u wilt filteren op gedrag van de microsoft Sentinel UEBA-gedragslaag, gebruikt u de ServiceSource kolom. Voorbeeld:

    BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

    Schermopname van de tabel BehaviorInfo gefilterd op de kolom ServiceSource met de waarde Microsoft Sentinel.

  • Verdiepen van gedragingen naar onbewerkte logbestanden

    Gebruik de AdditionalFields kolom in BehaviorInfo, die verwijzingen naar de oorspronkelijke gebeurtenis-id's in het SupportingEvidence veld bevat.

    Schermopname van de tabel BehaviorInfo met de kolom AdditionalFields met verwijzingen naar gebeurtenis-id's en het veld SupportingEvidence voor onbewerkte logboekquery's.

    Voer een query uit op de SupportingEvidence veldwaarde om de onbewerkte logboeken te vinden die hebben bijgedragen aan een gedrag.

    Schermopname van een query op de veldwaarde SupportingEvidence en de queryresultaten waarin de onbewerkte logboeken worden weergegeven die hebben bijgedragen aan een gedrag.

  • Join BehaviorInfo and BehaviorEntities

    Gebruik het BehaviorId veld om lid te worden BehaviorInfo van BehaviorEntities.

    Voorbeeld:

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    Dit geeft u elk gedrag en elke betrokken entiteit. De AccountUpn of identificatiegegevens voor de entiteit bevinden zich in BehaviorEntities, terwijl BehaviorInfo ze in de tekst kunnen verwijzen naar 'Gebruiker' of 'Host'.

  • Opname van gedragsgegevens toezien

    Als u de opname van gedragsgegevens wilt bewaken, voert u een query uit op de Usage tabel voor vermeldingen die zijn gerelateerd aan SentinelBehaviorInfo en SentinelBehaviorEntities.

  • Automatiserings-, werkmappen- en detectieregels maken op basis van gedrag

    • Gebruik de BehaviorInfo tabel als gegevensbron voor detectieregels of automatiseringsplaybooks in de Defender-portal. Maak bijvoorbeeld een geplande queryregel die wordt geactiveerd wanneer een specifiek gedrag wordt weergegeven.
    • Voor Azure Monitor-werkmappen en artefacten die rechtstreeks op uw Sentinel-werkruimte zijn gebouwd, moet u een query uitvoeren op de SentinelBehaviorInfo en SentinelBehaviorEntities tabellen in uw Sentinel-werkruimte.

Probleemoplossingsproces

  • Als er geen gedrag wordt gegenereerd: Zorg ervoor dat ondersteunde gegevensbronnen actief logboeken verzenden naar de analyselaag, controleer of de wisselknop voor de gegevensbron is ingeschakeld en wacht 15 tot 30 minuten nadat deze is ingeschakeld.
  • Ik zie minder gedrag dan verwacht: Onze dekking van ondersteunde gedragstypen is gedeeltelijk en groeit. Zie Ondersteunde gegevensbronnen en gedrag voor meer informatie. De UEBA-gedragslaag kan mogelijk ook geen gedragspatroon detecteren als er zeer weinig exemplaren van een specifiek gedragstype zijn.
  • Aantal gedrag: Één gedrag kan tientallen of honderden onbewerkte gebeurtenissen vertegenwoordigen. Dit is ontworpen om ruis te verminderen.

Beperkingen in openbare proefversie

Deze beperkingen zijn van toepassing tijdens de openbare preview van de UEBA-gedragslaag:

  • U kunt gedrag inschakelen voor één Sentinel-werkruimte per tenant.
  • De UEBA-gedragslaag genereert gedrag voor een beperkte set ondersteunde gegevensbronnen en leveranciers of services.
  • De UEBA-gedragslaag legt momenteel niet elke mogelijke actie- of aanvalstechniek vast, zelfs voor ondersteunde bronnen. Sommige gebeurtenissen produceren mogelijk geen overeenkomend gedrag. Stel niet dat het ontbreken van een gedrag betekent dat er geen activiteit is opgetreden. Controleer altijd onbewerkte logboeken als u vermoedt dat er iets ontbreekt.
  • Gedrag is gericht op het verminderen van ruis door gebeurtenissen te aggregeren en te sequentiëren, maar mogelijk ziet u nog steeds te veel gedragsrecords. We verwelkomen uw feedback over specifieke gedragstypen om de dekking en relevantie te verbeteren.
  • Gedrag zijn geen waarschuwingen of afwijkingen. Ze zijn neutrale waarnemingen, niet geclassificeerd als kwaadaardig of goedaardig. De aanwezigheid van een gedrag betekent 'dit is gebeurd', niet 'dit is een bedreiging'. Anomaliedetectie blijft afzonderlijk binnen UEBA. Gebruik beoordelingsvermogen of combineer gedrag met UEBA-anomaliegegevens om opmerkelijke patronen te identificeren.
  • Last updated on