Temelinde, UEBA çözümleri gerçek zamanlı akışlardan veya tarihsel veri setlerinden olsun, verilerdeki kalıpları belirler.
- ManageEngine Log360 gibi ticari UEBA araçları, tescilli ML modellerini kapalı tutar. Bu modellere erişim sağlamak, analistlerin verilerden ilgili kalıpları çıkarmasına ve anormallik tespit süreçlerini iyileştirmesine olanak tanır.
- Açık kaynak UEBA araçları, kullanıcılara bu modellere tam erişim sağlayarak, daha hedefli anormallik tespiti için kalıp çıkarımını yeniden oluşturmalarına olanak tanır.
Açık kaynak UEBA araçları
Her açık kaynak UEBA çerçevesi ve aracının dokümantasyonunu inceledikten sonra, standart SIEM benzeri yetenekler, uyarı verme, MITRE ATT&CK tehdit istihbarat çerçevesi desteği ve veri kaynaklarından API tabanlı alım sağlayan önde gelen açık kaynak davranış analizi teknolojilerini seçtim.
Dahili UEBA özellikleri sunup sunmadıklarına bağlı olarak bunları şu şekilde ayırdım:
- Temel UEBA araçları: OpenUBA ve Graylog
- Tamamlayıcı UEBA araçları: Wazuh
Temel UEBA araçları: OpenUBA ve Graylog
Temel UEBA araçları, anomali kullanıcı ve varlık davranışlarını belirlemek ve analiz etmek için kullanıma hazır modeller, makine öğrenimi ve davranışsal profil oluşturma modelleri deposu sağlar. Bu araçlar, çeşitli kaynaklardan günlükleri toplar, veritabanlarında saklar ve daha fazla işleme ve analiz için Elastic Stack (Elasticsearch, Kibana, Logstash) ile entegre olur.
Graylog, üçüncü taraf ajanları (ör. Filebeat) kullanarak çeşitli sunuculardan günlükleri toplar ve bu günlükleri merkezi bir konumdan hafif Graylog Sidecar ajanı ile yapılandırabilir. Günlükler alındıktan sonra, ML tabanlı anormallik tespiti Graylog arayüzü üzerinden kullanılabilir hale gelir.
OpenUBA, sunuculardan ve üçüncü taraf günlük alım ajanlarından günlükleri alır. Günlükler alındıktan sonra, dahili ML veya davranışsal profil oluşturma modelleri kullanılarak anormal davranışlar için analiz edilebilir. Görselleştirme ve analiz için TensorFlow, Keras, Scikit-Learn ve Elasticsearch ile entegre olur. Proje erken geliştirme aşamasındadır (pre-alpha).
Tamamlayıcı UEBA araçları: Wazuh
Tamamlayıcı UEBA araçları, kullanıcı ve varlık anormalliklerini tespit etmek için izleme ve veri analitiği kullanır. Apache Spark gibi büyük veri teknolojilerini Elasticsearch gibi motorlarla entegre ederek, merkezi günlük analizi ve anormallik tespitini mümkün kılarlar.
Wazuh, metrikler, günlükler ve izler dahil olmak üzere telemetri verilerini izler. Sunucuları doğrudan izleyebilir veya sonuçların Wazuh Dashboard'da görselleştirilmesiyle bulut hizmetlerini izlemek için AWS kullanabilirsiniz.
Ücretsiz ve açık kaynak UEBA araçlarını karşılaştırın
Ajan tabanlı günlük alımı
❌: Üçüncü taraf ajan entegrasyonları gerektirir.
Dahili ajan tabanlı günlük alımı, bir platformun merkezi analiz ve izleme için üçüncü taraf araçlar olmadan kendi ajanlarını kullanarak uç noktalar, sunucular veya cihazlardan doğrudan günlük verisi toplamasına olanak tanır.
Önceden tanımlanmış yanıt eylemleri ve özel playbook kalıpları
Listelenen araçlar, tespit edilen anormalliklere dayalı olarak uyarı gönderme, bilet oluşturma veya olaylara yanıt verme gibi iş akışlarını tetiklemek için SOAR entegrasyonları (via API/özel entegrasyonlar) sunar. Graylog ve Wazuh, SOAR entegrasyonlarına ihtiyaç duymadan iş akışı otomasyonunu sağlayan önceden tanımlanmış yanıt eylemleri sağlar.
- Önceden tanımlanmış yanıt eylemleri, günlük verilerine dayalı olarak otomatik olarak tetiklenir, proaktif tehdit tespiti ve uyarılama, IP'leri engelleme veya sistemleri karantinaya alma gibi eylemleri mümkün kılar.
- Özel playbook kalıpları, güvenlik operatörlerinin şüpheli davranış tespit edildiğinde ekipleri uyarlamak veya erişimi engellemek gibi özel yanıtları tetiklemesine olanak tanır.
Güvenlik bakımı
Kurumsal güvenlik bakımı, güvenlik önlemlerinin aktif olarak uygulanmasını, izlenmesini ve güncellenmesini sağlayarak günlük toplamaya yardımcı olur:
- Merkezi kontrol ve denetim
- Tutarlı günlük yapılandırmaları
- Günlük toplama araçlarına düzenli güncellemeler ve yamalar, güvenlik açıklarının sömürülmesini önler
Hazır entegrasyonlar
OpenUBA
OpenUBA, güvenlik analitiği için SIEM'den bağımsız bir UEBA çerçevesidir. SIEM'inizden bağımsız olarak çalışır ve verileri doğrudan veri depolarından çeker.
OpenUBA, ölçekli olarak birden fazla kaynaktan verileri işlemek ve almak için Spark ve Elasticsearch kullanır. Docker Hub'a benzer bir Model Kütüphanesi/Kayıt Defteri içerir, böylece geliştiriciler ve güvenlik analistleri bir model deposunda arama yapabilir ve modellerini toplulukla paylaşabilir.
Temel özellikler:
- Görsel kural oluşturucu: Analistler, kod yazmadan tespit kuralları oluşturmak için interaktif bir tuval üzerinde mantıksal operatörlerle kayıtlı modelleri birbirine bağlar. Kurallar, denetlenebilir ve yeniden üretilebilir hale getiren sürümlenmiş JSON olarak serileştirilir.1
- Topluluk Model Hub'ı: openuba.org'daki bir model pazarı, çekirdek ekip ve topluluk tarafından katkıda bulunan kullanıma hazır anormallik tespit modellerini barındırır.
- Sunuculardan ve üçüncü taraf günlük alım ajanlarından günlükleri alır
- Dahili ML veya davranışsal profil oluşturma modelleri kullanarak alınan verileri anormal davranışlar için analiz eder
- Görselleştirme ve analiz için TensorFlow, Keras, Scikit-Learn ve Elasticsearch ile entegre olur
Graylog
Graylog, platformunda SIEM, UEBA ve anormallik tespitini birleştirir. Graylog Server şunları içerir:
- Çeşitli kaynaklardan gelen günlükleri kabul eden ve saklayan Graylog uygulaması
- Elasticsearch veritabanı
- Yapılandırma verileri (kullanıcı hesapları, kaydedilmiş aramalar vb.) için MongoDB
Çözüm, MITRE ATT&CK çerçevesine ve gerçek dünya düşman örneklerine dayalı 50'den fazla önceden oluşturulmuş güvenlik senaryosu içerir.2
Graylog, Office 365, Azure, GCP, AWS, Okta, Palo Alto Networks, F5, CrowdStrike ve Salesforce ile entegre olur.
Wazuh
Wazuh, yerel, sanallaştırılmış, konteynerleştirilmiş ve bulut ortamları için birleşik bir XDR ve SIEM platformudur. İzlenen sistemlere dağıtılan bir uç nokta güvenlik ajanı, verileri toplar ve analiz eder, bunları merkezi bir yönetim sunucusuna iletir.
Wazuh dashboard'da Google Cloud olaylarını görselleştirme:
Kaynak: Wazuh3
Temel özellikler:
- İşgal tespiti: İmza tabanlı bir yaklaşım kullanarak kötü amaçlı yazılımları ve gizli dosyaları tespit eder ve günlük verilerini analiz eder.
- Günlük verisi analizi: İşletim sistemi ve uygulama günlüklerini okur ve kural tabanlı analiz için bunları merkezi bir yöneticiye iletir.
- Dosya bütünlüğü izleme: Dosya sistemlerini içerik, izinler, sahiplik ve özniteliklerdeki değişiklikler için izler. PCI DSS uyumluluğu için kullanıcı ve uygulama işlemlerini takip eder.
- Olay müdahalesi: Tehditleri engeller ve işgal göstergelerini belirlemek için sistem sorguları çalıştırır.
- MCP/AI entegrasyonu (2026): Birden fazla açık kaynak MCP sunucusu artık Wazuh, Claude, ChatGPT ve diğer AI asistanlarıyla entegre olur, API çağrıları yazmadan "web sunucularımdaki kritik güvenlik açıklarını bana göster" gibi doğal dil güvenlik sorgularını mümkün kılar. En eksiksiz uygulama Wazuh 4.8.0–4.14.4'ü destekler.4
Ticari UEBA araçları
Ticari UEBA araçları, mevcut ortamlara geniş özelleştirme olmadan entegre edilebilen kullanıcı davranış analitiği için hazır yetenekler sunar.
Önde gelen ticari satıcılar:
- ManageEngine Log360: SIEM günlük alımını davranışsal analitik ile birleştirir.
- Exabeam: UEBA'ya sahip bir davranışsal analitik platformu, şimdi de AI ajan davranışını kapsıyor (Ocak 2026). Büyük, karmaşık ortamlar için en iyisi.
- IBM Security QRadar: Daha derin tehdit tespiti bağlamı sağlayan risk profillemesi ile UBA sağlar.
- Teramind: UEBA'yı DLP ile birleştirir, veri sızıntısı önleme ve çalışan izlemeye odaklanır.
Açık kaynak UEBA araçları vs ticari UEBA araçları
Ticari sağlayıcılar genellikle bir veya daha fazla açık kaynak teknoloji, kalıp tanıma ve yeni anormallik kalıpları için veritabanı güncellemeleriyle başlar ve ardından bunun üzerine tescilli otomasyon ve önceden yapılandırılmış tespit modelleri ekler.
1. Önceden yapılandırılmış anormallik tespit modelleri: Ticari araçlar bunları hazır sunar. Açık kaynak araçlar genellikle kullanıcıların kendi modellerini oluşturup yapılandırmasını gerektirir, ancak Graylog (ücretli katmanlar) ve Wazuh bazı önceden tanımlanmış yetenekler sunar.
2. Otomatik yanıt iş akışları: Ticari araçlar önceden tanımlanmış eylemleri doğrudan tetikler. Açık kaynak araçlar genellikle SOAR entegrasyonları veya özel betikler gerektirir, ancak Wazuh ve Graylog (ücretli) bazı önceden tanımlanmış eylemleri içerir.
3. Kalıp tanıma otomasyonu: Ticari araçlar bunu gelişmiş ML modelleriyle otomatikleştirir. Açık kaynak araçlar daha fazla manuel yapılandırma ve özel model oluşturma gerektirir.
4. Veri kaybı önleme (DLP): Ticari araçlar cihaz, konum ve ağ bağlamıyla DLP içerir. Açık kaynak araçlar bunu eklemek için ek araçlara veya entegrasyonlara ihtiyaç duyar.
5. Uyumluluk raporlaması: Ticari araçlar GDPR, HIPAA, PCI-DSS ve SOX için yerleşik raporlama içerir. Açık kaynak araçlar özel geliştirme veya üçüncü taraf eklentiler gerektirir.
6. Üçüncü taraf entegrasyonları: Ticari araçlar SIEM, SOAR ve antivirüs platformlarına hazır bağlantılar içerir. Açık kaynak araçlar özel API bağlantıları üzerinden entegre olur.
SSS'ler
UEBA, normal kalıplardan sapmaları analiz ederek alışılmadık davranışları tespit eder. Örneğin, tipik olarak dosya indirmeyen bir kullanıcı aniden büyük miktarda indirmeye başlarsa, UEBA bunu bir anormallik olarak işaretler. Ayrıca bir şirket cihazından gelen sunucu erişim isteklerindeki artış gibi makine davranışını da izleyebilir.
Kuruluşlar, modern tehditlere karşı korunmak için artık yeterli olmayan geleneksel güvenlik çözümleri (örneğin, güvenlik duvarları ve işgal tespit sistemleri) yerine UEBA araçları kullanır. UEBA araçları, genellikle geleneksel savunmalar tarafından kaçırılan güvenlik ihlallerini gösterebilecek anormal kullanıcı ve varlık davranışlarını tespit etmeye yardımcı olur, örneğin iç tehditler veya kimlik bilgisi tabanlı saldırılar. Bu araçlar, özellikle ileri düzey kalıcı tehditler (APT'ler) ve karmaşık saldırı yöntemleri için daha proaktif bir tehdit tespit yaklaşımı sağlar.
Daha fazla okuma
Bu araştırmayı kaynak gösterin
Yayınlayacağınız yere uygun formatı seçin. Bağlantılı sürümü CMS'inize yapıştırmak, geri bağlantıyı korur.
@misc{dilmegani2026,
author = {Dilmegani, Cem and Sezer, Sena},
title = {{En İyi Açık Kaynak UEBA Araçları ve Ticari Alternatifler}},
year = {2026},
month = mar,
howpublished = {\url{https://aimultiple.com/open-source-ueba}},
note = {AIMultiple. Erişim tarihi: 26 Mart 2026}
}

Yorum yapan ilk kişi olun
E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir. Yorumlar orijinal dilinde bırakılır.