Onbewerkte beveiligingslogboeken vertalen naar gedrags-inzichten met behulp van UEBA-gedrag in Microsoft Sentinel

Met de UEBA-gedragslaag (User and Entity Behavior Analytics) in Microsoft Sentinel worden onbewerkte logboeken met een groot volume samengevoegd en samengevat in duidelijke, eenvoudige patronen van beveiligingsacties, waarbij 'wie wat heeft gedaan' op een gestructureerde manier wordt uitgelegd.

In tegenstelling tot waarschuwingen of afwijkingen duidt gedrag niet noodzakelijkerwijs op risico. Ze creëren een abstractielaag die uw gegevens optimaliseert voor onderzoek, opsporing en detectie door het verbeteren van:

  • Efficiëntie: verminder de onderzoekstijd door gerelateerde gebeurtenissen te samenvoegen tot samenhangende verhalen.
  • Clarity: Vertaal luidruchtige logboeken op laag niveau naar samenvattingen in eenvoudige taal.
  • Context: Voeg MITRE ATT toe&CK-toewijzing en entiteitsrollen voor directe beveiligingsrelevantie.
  • Consistentie: zorg voor een uniform schema voor diverse logboekbronnen.

Met deze abstractielaag kunt u sneller bedreigingen detecteren, onderzoeken en reageren op uw beveiligingsbewerkingen, zonder dat u diepgaande kennis van elke logboekbron nodig hebt.

In dit artikel wordt uitgelegd hoe de UEBA-gedragslaag werkt, hoe u de gedragslaag inschakelt en hoe u gedrag kunt gebruiken om beveiligingsbewerkingen te verbeteren.

Bekijk de webinar over UEBA-gedrag voor een volledig overzicht en demo van de UEBA-gedragslaag.

Hoe de UEBA-gedragslaag werkt

Gedragingen maken deel uit van de UEBA-mogelijkheden (User and Entity Behavior Analytics) van Microsoft Sentinel en bieden genormaliseerde, gecontextualiseerde activiteitenoverzichten die een aanvulling vormen op anomaliedetectie en onderzoeken verrijken.

Gedrag, afwijkingen en waarschuwingen vergelijken

In deze tabel ziet u hoe gedrag verschilt van afwijkingen en waarschuwingen:

Functie Wat het vertegenwoordigt Doel
Anomalieën Patronen die afwijken van gevestigde basislijnen Ongebruikelijke of verdachte activiteit markeren
Waarschuwingen Signal een mogelijk beveiligingsprobleem dat aandacht vereist Werkstromen voor reactie op incidenten activeren
Gedrag Neutrale, gestructureerde samenvattingen van activiteit - normaal of abnormaal - op basis van tijdvensters of triggers, verrijkt met MITRE ATT&CK-toewijzingen en entiteitsrollen Context en duidelijkheid bieden voor onderzoeken, opsporing en detectie

Gedragstypen en records

Wanneer u de UEBA-gedragslaag inschakelt, worden in Microsoft Sentinel bijna realtime ondersteunde beveiligingslogboeken verwerkt die u in uw Sentinel werkruimte verzamelt en worden twee typen gedragspatronen samengevat:

Gedragstype Beschrijving Voorbeelden Use case
Geaggregeerd gedrag Patronen op basis van volumes detecteren door gerelateerde gebeurtenissen in tijdvensters te verzamelen
  • Gebruiker heeft in 1 uur meer dan 50 resources geopend
  • Aanmeldingspogingen vanaf meer dan 10 verschillende IP-adressen
 Converteer logboeken met een groot volume naar bruikbare beveiligings-inzichten. Dit gedragstype blinkt uit bij het identificeren van ongebruikelijke activiteitsniveaus.
Gesequentieerd gedrag Identificeer patronen met meerdere stappen of complexe aanvalsketens die niet duidelijk zijn wanneer u naar afzonderlijke gebeurtenissen kijkt Toegangssleutel die is gemaakt > op basis van nieuwe IP-bevoegde API-aanroepen > Geavanceerde aanvalsreeksen en bedreigingen met meerdere fasen detecteren.

De UEBA-gedragslaag bevat een overzicht van het gedrag met aangepaste tijdsintervallen die specifiek zijn voor de logica van elk gedrag. Er worden onmiddellijk gedragsrecords gemaakt wanneer patronen worden geïdentificeerd of wanneer de tijdvensters worden gesloten.

Elke gedragsrecord bevat:

  • Een eenvoudige, contextuele beschrijving: een natuurlijke uitleg van wat er is gebeurd in termen die relevant zijn voor beveiliging, bijvoorbeeld wie watheeft gedaan en waarom het belangrijk is.
  • Uniform schema en verwijzingen naar de onderliggende onbewerkte logboeken: alle gedragingen gebruiken een consistente gegevensstructuur voor verschillende producten en logboektypen, zodat analisten geen verschillende logboekindelingen hoeven te vertalen of tabellen met een groot volume hoeven te koppelen.
  • MITRE ATT&CK-toewijzing: Elk gedrag wordt getagd met relevante MITRE-tactieken en -technieken, zodat u in één oogopslag de standaardcontext van de branche krijgt. U ziet niet alleen wat er is gebeurd, maar ook hoe het past in een aanvalsframework of tijdlijn.
  • Toewijzing van entiteitsrelaties: elk gedrag identificeert betrokken entiteiten (gebruikers, hosts, IP-adressen) en hun rollen (actor, doel of andere).

De abstractielaag voor gedrag

In dit diagram ziet u hoe de UEBA-gedragslaag onbewerkte logboeken transformeert in gestructureerde gedragsrecords die de beveiligingsbewerkingen verbeteren:

Diagram dat laat zien hoe de UEBA-gedragslaag onbewerkte logboeken transformeert in gestructureerde gedragsrecords die de beveiligingsbewerkingen verbeteren.

Gedragsopslag en tabellen

In de laag UEBA-gedrag worden gedragsrecords opgeslagen in twee typen tabellen:

  • Een tabel met gedragsinformatie , die de titel, beschrijving, MITRE-toewijzingen, categorieën en koppelingen naar onbewerkte logboeken bevat, en
  • Een tabel met gedragsgerelateerde entiteiten , waarin alle entiteiten worden vermeld die betrokken zijn bij het gedrag en hun rollen.

Deze tabellen kunnen naadloos worden geïntegreerd met uw bestaande werkstromen voor detectieregels, onderzoeken en incidentanalyse. Ze verwerken alle soorten beveiligingsactiviteiten, niet alleen verdachte gebeurtenissen, en bieden uitgebreid inzicht in zowel normale als afwijkende gedragspatronen.

Zie Best practices en tips voor probleemoplossing voor het uitvoeren van query's voor informatie over het gebruik van gedragstabellen.

Belangrijk

Generatieve AI drijft de UEBA Behaviors-laag aan om de inzichten te maken en te schalen. Microsoft heeft de functie Gedrag ontworpen op basis van privacy en verantwoorde AI-principes om transparantie en uitleg te garanderen. Gedrag introduceert geen nieuwe nalevingsrisico's of ondoorzichtige 'black box'-analyses in uw SOC. Zie Veelgestelde vragen over verantwoordelijke AI voor de Microsoft UEBA-gedragslaag voor meer informatie over hoe AI wordt toegepast in deze functie en de benadering van Microsoft voor verantwoorde AI.

Gebruiksvoorbeelden en voorbeelden

Hier ziet u hoe analisten, jagers en detectietechnici gedrag kunnen gebruiken tijdens onderzoeken, opsporing en het maken van waarschuwingen.

Onderzoek en incidentverrijking

Gedrag geeft SOC-analisten onmiddellijk duidelijkheid over wat er is gebeurd rond een waarschuwing, zonder te draaien tussen meerdere onbewerkte logboektabellen.

  • Werkstroom zonder gedrag: Analisten moeten tijdlijnen vaak handmatig reconstrueren door query's uit te voeren op gebeurtenisspecifieke tabellen en resultaten aan elkaar te koppelen.

    Voorbeeld: er wordt een waarschuwing geactiveerd op een verdachte AWS-activiteit. De analist voert een query uit op de AWSCloudTrail tabel en draait vervolgens naar firewallgegevens om te begrijpen wat de gebruiker of host heeft gedaan. Dit vereist kennis van elk schema en vertraagt de triage.

  • Werkstroom met gedrag: De UEBA-gedragslaag voegt automatisch gerelateerde gebeurtenissen samen in gedragvermeldingen die kunnen worden gekoppeld aan een incident of op aanvraag kunnen worden opgevraagd.

    Voorbeeld: Een waarschuwing geeft mogelijke exfiltratie van referenties aan. In de BehaviorInfo tabel ziet de analist dat het gedrag Suspicious mass secret access via AWS IAM by User123 is toegewezen aan MITRE Technique T1552 (Unsecured Credentials). De UEBA-gedragslaag heeft dit gedrag gegenereerd door 20 AWS-logboekvermeldingen te aggregeren. De analist begrijpt onmiddellijk dat User123 toegang heeft gehad tot veel geheimen - cruciale context om het incident te escaleren - zonder alle 20 logboekvermeldingen handmatig te controleren.

Opsporten van bedreigingen

Met gedrag kunnen jagers zoeken naar TTL's en activiteitenoverzichten, in plaats van complexe joins te schrijven of onbewerkte logboeken zelf te normaliseren.

  • Werkstroom zonder gedrag: Opsporingen vereisen complexe KQL, tabelkoppelingen en bekendheid met elke gegevensbronindeling. Belangrijke activiteiten kunnen worden begraven in grote gegevenssets met weinig ingebouwde beveiligingscontext.

    Voorbeeld: Voor het opsporen van tekenen van reconnaissance moeten mogelijk afzonderlijke gebeurtenissen AWSCloudTrailen bepaalde firewallverbindingspatronen worden gescand. Context bestaat voornamelijk uit incidenten en waarschuwingen, waardoor proactief opsporen moeilijker wordt.

  • Werkstroom met gedrag: Gedrag wordt genormaliseerd, verrijkt en toegewezen aan MITRE-tactieken en -technieken. Jagers kunnen zoeken naar zinvolle patronen zonder afhankelijk te zijn van het schema van elke bron.

    Een jager kan de tabel BehaviorInfo filteren op tactiek (Categories), techniek, titel of entiteit. Bijvoorbeeld:

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    Jagers kunnen ook:

    • Identificeer zeldzaam gedrag met behulp van count distinct in het Title veld.
    • Verken een interessant gedragstype, identificeer de betrokken entiteiten en onderzoek verder.
    • Zoom in op onbewerkte logboeken met behulp van de BehaviorId kolommen en AdditionalFields , die vaak verwijzen naar de onderliggende onbewerkte logboeken.

    Voorbeeld: Een jager die zoekt naar stiekem toegangsquery's voor referenties voor gedrag met 'opsommingsreferenties' in de Title kolom. De resultaten retourneren enkele exemplaren van 'Attempted credential dump from Vault by user AdminJoe' (afgeleid van CyberArk logboeken). Hoewel er geen waarschuwingen zijn geactiveerd, is dit gedrag ongebruikelijk voor AdminJoe en wordt gevraagd om verder onderzoek, iets wat moeilijk te detecteren is in uitgebreide auditlogboeken van Vault.

    Jagers kunnen ook jagen door:

    • MITRE-tactiek:

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • Techniek:

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • Specifieke gebruiker:

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • Zeldzaam gedrag (mogelijke afwijkingen):

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

Waarschuwingen en automatisering

Gedrag vereenvoudigt regellogica door genormaliseerde, hoogwaardige signalen met ingebouwde context te leveren en nieuwe correlatiemogelijkheden mogelijk te maken.

  • Werkstroom zonder gedrag: Correlatieregels voor meerdere bronnen zijn complex omdat elke logboekindeling anders is. Regels vereisen vaak het volgende:

    • Normalisatielogica
    • Schemaspecifieke voorwaarden
    • Meerdere afzonderlijke regels
    • Vertrouwen op waarschuwingen in plaats van onbewerkte activiteit

    Automatisering kan ook te vaak worden geactiveerd als deze wordt veroorzaakt door gebeurtenissen op laag niveau.

  • Werkstroom met gedrag: Gedragingen aggregeren al gerelateerde gebeurtenissen en omvatten MITRE-toewijzingen, entiteitsrollen en consistente schema's, zodat detectietechnici eenvoudigere, duidelijkere detectieregels kunnen maken.

    Voorbeeld: Als u wilt waarschuwen voor een mogelijke sleutelinbreuk en escalatie van bevoegdheden, schrijft een detectietechnicus een detectieregel met behulp van deze logica: 'Waarschuwing als een gebruiker het gedrag 'Nieuwe AWS-toegangssleutel maken' heeft, gevolgd door het gedrag 'Verhoging van bevoegdheden in AWS' binnen 1 uur.'

    Zonder de UEBA-gedragslaag zou deze regel onbewerkte AWSCloudTrail gebeurtenissen moeten samenvoegen en interpreteren in de regellogica. Met gedrag is het eenvoudig en flexibel om schemawijzigingen te registreren, omdat het schema is geïntegreerd.

    Gedrag dient ook als betrouwbare triggers voor automatisering. In plaats van waarschuwingen te maken voor niet-riskante activiteiten, gebruikt u gedrag om automatisering te activeren, bijvoorbeeld om een e-mail te verzenden of verificatie te starten.

Ondersteunde gegevensbronnen en gedrag

De lijst met ondersteunde gegevensbronnen en leveranciers of services die logboeken naar deze gegevensbronnen verzenden, is in ontwikkeling. De UEBA-gedragslaag verzamelt automatisch inzichten voor alle ondersteunde leveranciers op basis van de logboeken die u verzamelt.

De UEBA-gedragslaag richt zich momenteel op deze niet-Microsoft-gegevensbronnen die traditioneel geen eenvoudige gedragscontext hebben in Microsoft Sentinel:

Gegevensbron Ondersteunde leveranciers, services en logboeken Connector Ondersteund gedrag
CommonSecurityLog1
  • Cyber Ark Vault
  • Palo Alto-bedreigingen
AWSCloudTrail
  • EC2
  • IAM
  • S3
  • EKS
  • Geheimenbeheer
GCPAuditLogs
  • activiteitenlogboeken Beheer
  • Logboeken voor gegevenstoegang
  • Transparantielogboeken openen

1CommonSecurityLog kan logboeken van veel leveranciers bevatten. De UEBA-gedragslaag genereert alleen gedrag voor ondersteunde leveranciers en logboektypen. Als de tabel logboeken van een niet-ondersteunde leverancier ontvangt, ziet u geen gedrag, zelfs als de gegevensbron is verbonden.

Belangrijk

U moet deze bronnen afzonderlijk van andere UEBA-mogelijkheden inschakelen. Als u bijvoorbeeld AWSCloudTrail hebt ingeschakeld voor UEBA-analyses en -afwijkingen, moet u deze nog steeds afzonderlijk inschakelen voor gedrag.

Vereisten

Als u de UEBA-gedragslaag wilt gebruiken, hebt u het volgende nodig:

Vereiste machtigingen

Als u de UEBA-gedragslaag wilt inschakelen en gebruiken, hebt u deze machtigingen nodig:

Gebruikersactie Machtiging vereist
Gedrag inschakelen Ten minste de rol Beveiligingsbeheerder in Microsoft Entra ID en de rol Microsoft Sentinel inzender in uw Sentinel werkruimte.
Tabellen met querygedrag
  • De rol Beveiligingslezer of Beveiligingsoperator in Microsoft Entra ID geavanceerde opsporingsquery's uitvoeren in de Defender-portal.
  • Leestoegang tot de BehaviorInfo tabellen en BehaviorEntities in uw Sentinel werkruimte.
  • Lees toegang tot brontabellen om in te zoomen op onbewerkte gebeurtenissen.

Zie Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) voor meer informatie over geïntegreerde RBAC in de Defender-portal.

De UEBA-gedragslaag inschakelen

Als u wilt beginnen met het aggregeren van UEBA-gedrag, moet u ten minste één ondersteunde gegevensbron verbinden. De UEBA-gedragslaag aggregeert alleen gedrag wanneer ondersteunde gegevensbronnen zijn verbonden en actief logboeken verzenden naar de analyselaag.

De UEBA-gedragslaag inschakelen in uw werkruimte:

  1. Selecteer in de Defender-portal Systeeminstellingen >> Microsoft Sentinel > SIEM-werkruimten.

  2. Selecteer de Sentinel werkruimte waarin u de UEBA-gedragslaag wilt inschakelen.

  3. Selecteer Gedragsanalyse > inschakelen UEBA > New! configureren Laag Gedrag.

  4. Schakel de laag Gedrag inschakelen in.

  5. Selecteer Alle gegevensbronnen verbinden of selecteer de specifieke gegevensbronnen in de lijst.

    Als u nog geen ondersteunde gegevensbronnen hebt verbonden met uw Sentinel werkruimte, selecteert u Ga naar Inhoudshub om de relevante connectors te zoeken en te verbinden.

    Schermopname van de laagpagina Gedrag inschakelen in de Defender-portal.

  6. Selecteer Verbinding maken.

Belangrijk

U kunt momenteel gedrag inschakelen in één werkruimte in uw tenant.

Prijsmodel

Het gebruik van de UEBA-gedragslaag leidt tot de volgende kosten:

  • Geen extra licentiekosten: Gedrag wordt opgenomen als onderdeel van Microsoft Sentinel. U hebt geen afzonderlijke SKU, UEBA-invoegtoepassing of aanvullende licenties nodig. Als uw werkruimte is verbonden met Sentinel en is toegevoegd aan de Defender-portal, kunt u gedrag zonder extra functiekosten gebruiken.

  • Kosten voor opname van logboekgegevens: Gedragsrecords worden opgeslagen in de SentinelBehaviorInfo tabellen en SentinelBehaviorEntities in uw Sentinel werkruimte. Elk gedrag draagt bij aan het gegevensopnamevolume van uw werkruimte en wordt gefactureerd op basis van uw bestaande Log Analytics/Sentinel opnamesnelheid. Gedrag is additief: ze vervangen uw bestaande onbewerkte logboeken niet.

Best practices en tips voor probleemoplossing voor het uitvoeren van query's

In deze sectie wordt uitgelegd hoe u query's uitvoert op gedrag vanuit zowel de Defender-portal als uw Sentinel werkruimte. Hoewel de schema's identiek zijn, verschilt het gegevensbereik:

  • In de Defender-portal bevatten de gedragstabellen UEBA-gedrag en gedrag van verbonden Defender-services, zoals Microsoft Defender for Cloud Apps en Microsoft Defender voor cloud.
  • In de Sentinel werkruimte bevatten de gedragstabellen alleen UEBA-gedrag dat is gegenereerd op basis van logboeken die zijn opgenomen in die specifieke werkruimte.

In deze tabel ziet u welke gedragstabellen in elke omgeving moeten worden gebruikt:

Omgeving Tabellen die moeten worden gebruikt Gebruiksvoorbeelden
Defender-portal - Geavanceerde opsporing BehaviorInfo
BehaviorEntities		 Detectieregels, incidentonderzoek, opsporing van bedreigingen in de Defender-portal
werkruimte Sentinel SentinelBehaviorInfo
SentinelBehavior-entiteiten		 Azure Werkmappen, opnamebewaking, KQL-query's in Sentinel werkruimte bewaken

Zie Use cases and examples (Use cases and examples) voor meer praktische voorbeelden van het gebruik van gedrag.

Zie Overzicht van kusto-querytaal voor meer informatie over Kusto-querytaal (KQL).

  • Filteren op UEBA-gedrag in de Defender-portal

    De BehaviorInfo tabellen en BehaviorEntities bevatten alle UEBA-gedrag en kunnen ook gedrag van Microsoft Defender services bevatten.

    Gebruik ServiceSource de kolom om te filteren op gedrag van de Microsoft Sentinel UEBA-gedragslaag. Bijvoorbeeld:

    BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

    Schermopname van de tabel BehaviorInfo gefilterd op de kolom ServiceSource naar de Microsoft Sentinel waarde.

  • Inzoomen van gedrag tot onbewerkte logboeken

    Gebruik de AdditionalFields kolom in BehaviorInfo, die verwijzingen bevat naar de oorspronkelijke gebeurtenis-id's in het SupportingEvidence veld.

    Schermopname van de tabel BehaviorInfo met de kolom AdditionalFields met verwijzingen naar gebeurtenis-id's en het veld SupportingEvidence voor onbewerkte logboekquery's.

    Voer een query uit op de SupportingEvidence veldwaarde om de onbewerkte logboeken te vinden die hebben bijgedragen aan een gedrag.

    Schermopname van een query op de veldwaarde SupportingEvidence en de queryresultaten met de onbewerkte logboeken die hebben bijgedragen aan een gedrag.

  • Deelnemen aan BehaviorInfo en Behavior Entiteiten

    Gebruik het BehaviorId veld om samen te voegen BehaviorInfo met BehaviorEntities.

    Bijvoorbeeld:

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    Dit geeft u elk gedrag en elke entiteit die erbij betrokken is. De AccountUpn of-identificatiegegevens voor de entiteit bevinden zich in BehaviorEntities, terwijl BehaviorInfo in de tekst mogelijk wordt verwezen naar 'Gebruiker' of 'Host'.

  • Gegevensopname van gedrag bewaken

    Als u gegevensopname van gedrag wilt bewaken, voert u een query uit op de Usage tabel voor vermeldingen die betrekking hebben op SentinelBehaviorInfo en SentinelBehaviorEntities.

  • Automatiserings-, werkmappen en detectieregels maken op basis van gedrag

    • Gebruik de BehaviorInfo tabel als gegevensbron voor detectieregels of automation-playbooks in de Defender-portal. Maak bijvoorbeeld een geplande queryregel die wordt geactiveerd wanneer een specifiek gedrag wordt weergegeven.
    • Voor Azure Werkmappen en artefacten die rechtstreeks op uw Sentinel werkruimte zijn gebouwd, moet u een query uitvoeren op de SentinelBehaviorInfo tabellen en SentinelBehaviorEntities in uw Sentinel werkruimte.

Problemen oplossen

  • Als er geen gedrag wordt gegenereerd: zorg ervoor dat ondersteunde gegevensbronnen actief logboeken verzenden naar de analyselaag, controleer of de wisselknop voor de gegevensbron is ingeschakeld en wacht 15-30 minuten na het inschakelen.
  • Ik zie minder gedrag dan verwacht: onze dekking van ondersteunde gedragstypen is gedeeltelijk en neemt toe. Zie Ondersteunde gegevensbronnen en gedrag voor meer informatie. De UEBA-gedragslaag kan mogelijk ook geen gedragspatroon detecteren als er zeer weinig exemplaren van een specifiek gedragstype zijn.
  • Aantal gedrag: een enkel gedrag kan tientallen of honderden onbewerkte gebeurtenissen vertegenwoordigen. Dit is ontworpen om ruis te verminderen.

Beperkingen

Deze beperkingen zijn momenteel van toepassing op de UEBA-gedragslaag:

  • U kunt gedrag in één Sentinel werkruimte per tenant inschakelen.
  • De UEBA-gedragslaag genereert gedrag voor een beperkte set ondersteunde gegevensbronnen en leveranciers of services.
  • De UEBA-gedragslaag legt momenteel niet alle mogelijke actie- of aanvalstechnieken vast, zelfs niet voor ondersteunde bronnen. Sommige gebeurtenissen produceren mogelijk niet bijbehorend gedrag. Ga er niet van uit dat de afwezigheid van een gedrag betekent dat er geen activiteit is opgetreden. Controleer altijd onbewerkte logboeken als u vermoedt dat er iets ontbreekt.
  • Gedrag is bedoeld om ruis te verminderen door gebeurtenissen te aggregeren en te sequentiëren, maar mogelijk ziet u nog steeds te veel gedragsrecords. We zijn blij met uw feedback over specifieke gedragstypen om de dekking en relevantie te verbeteren.
  • Gedragingen zijn geen waarschuwingen of afwijkingen. Het zijn neutrale waarnemingen, niet geclassificeerd als kwaadaardig of goedaardig. De aanwezigheid van een gedrag betekent 'dit is gebeurd', niet 'dit is een bedreiging'. Anomaliedetectie blijft gescheiden in UEBA. Gebruik beoordelingsvermogen of combineer gedrag met UEBA-anomaliegegevens om opmerkelijke patronen te identificeren.
  • Last updated on