UEBA detects unusual behavior by analyzing deviations from normal patterns. For example, if a user who doesn't typically download files suddenly starts downloading large amounts, UEBA flags it as an anomaly. It can also monitor machine behavior, such as detecting a surge in server access requests from a company device.

Why do organizations use UEBA tools?

Organizations use UEBA tools because traditional security solutions, like firewalls and intrusion detection systems, are no longer sufficient to protect against modern threats. UEBA tools help by detecting anomalous user and entity behaviors that could indicate security breaches, such as insider threats or credential-based attacks, which are often missed by conventional defenses. These tools provide a more proactive approach to threat detection, especially for advanced persistent threats (APTs) and sophisticated attack methods.

Siber güvenlik Kimlik ve Erişim UEBA

En İyi Açık Kaynak UEBA Araçları ve Ticari Alternatifleri

Cem Dilmegani

ile

Sena Sezer

güncellendi Mar 26, 2026

Bakınız etik normlar

Loading Chart

Özünde, UEBA çözümleri, ister gerçek zamanlı veri akışlarından isterse geçmişe ait veri kümelerinden gelsin, verilerdeki kalıpları belirler.

ManageEngine Log360 gibi ticari UEBA araçları, tescilli makine öğrenimi modellerini kapalı tutar. Bu modellere erişim, analistlerin verilerden ilgili kalıpları çıkarmasına ve anormallik tespit süreçlerini iyileştirmesine olanak tanır.

Açık kaynaklı UEBA araçları, kullanıcılara bu modellere tam erişim sağlayarak, daha hedefli anomali tespiti için desen çıkarımını tekrarlamalarına olanak tanır.

Açık kaynaklı UEBA araçları

Her bir açık kaynaklı UEBA çerçevesi ve aracının dokümanlarını inceledikten sonra, standart SIEM benzeri yetenekler, uyarılar, MITRE ATT&CK tehdit istihbarat çerçevesi desteği ve veri kaynaklarından API tabanlı veri alımı sağlayan önde gelen açık kaynaklı davranış analizi teknolojilerini seçtim.

Dahili UEBA özelliklerine sahip olup olmadıklarına göre onları şu şekilde ayırdım:

Temel UEBA araçları: OpenUBA ve Graylog
Tamamlayıcı UEBA araçları: Wazuh

Temel UEBA araçları: OpenUBA ve Graylog

Temel UEBA araçları, anormal kullanıcı ve varlık davranışlarını belirlemek ve analiz etmek için kullanıma hazır modeller, makine öğrenimi ve davranışsal profil oluşturma modelleri içeren bir depo sunar. Bu araçlar çeşitli kaynaklardan günlükleri toplar, veritabanlarında saklar ve daha fazla işleme ve analiz için Elastic Stack (Elasticsearch, Kibana, Logstash) ile entegre olur.

Graylog, üçüncü taraf aracı yazılımlar (örneğin, Filebeat) kullanarak çeşitli sunuculardan günlükleri toplar ve bu günlükleri merkezi bir konumdan hafif Graylog Sidecar aracı yazılımı ile yapılandırabilir. Günlükler alındıktan sonra, Graylog arayüzü üzerinden makine öğrenimi tabanlı anormallik tespiti yapılabilir.

OpenUBA, sunuculardan ve üçüncü taraf günlük alım aracılarından günlükleri alır. Günlükler alındıktan sonra, yerleşik makine öğrenimi veya davranışsal profil oluşturma modelleri kullanılarak anormal davranışlar açısından analiz edilebilir. Görselleştirme ve analiz için TensorFlow, Keras, Scikit-Learn ve Elasticsearch ile entegre olur. Proje erken geliştirme aşamasındadır (pre-alpha).

Tamamlayıcı UEBA araçları: Wazuh

Tamamlayıcı UEBA araçları, kullanıcı ve varlık anormalliklerini tespit etmek için izleme ve veri analitiği kullanır. Apache Spark gibi büyük veri teknolojilerini Elasticsearch gibi motorlarla entegre ederek, merkezi günlük analizi ve anormallik tespiti sağlarlar.

Wazuh , ölçümler, günlükler ve izleme kayıtları da dahil olmak üzere telemetri verilerini izler. Sunucuları doğrudan izleyebilir veya AWS'yi kullanarak bulut hizmetlerini izleyebilirsiniz; sonuçlar Wazuh Kontrol Paneli'nde görselleştirilir.

Ücretsiz ve açık kaynaklı UEBA araçlarını karşılaştırın

Ajan tabanlı günlük alımı

❌: Üçüncü taraf aracı entegrasyonları gerektirir .

Dahili aracı tabanlı günlük veri alımı, bir platformun üçüncü taraf araçlara ihtiyaç duymadan, kendi aracılarını kullanarak uç noktalardan, sunuculardan veya cihazlardan doğrudan günlük verilerini toplamasına ve bu verileri merkezi analiz ve izleme için kullanmasına olanak tanır.

Önceden tanımlanmış yanıt eylemleri ve özel oyun kitabı kalıpları

Listelenen araçlar, tespit edilen anormalliklere bağlı olarak uyarı gönderme, bilet oluşturma veya olaylara yanıt verme gibi iş akışlarını tetiklemek için SOAR entegrasyonları (API/özel entegrasyonlar aracılığıyla) sunar. Graylog ve Wazuh , önceden tanımlanmış yanıt eylemleri sağlayarak SOAR entegrasyonlarına ihtiyaç duymadan iş akışı otomasyonunu mümkün kılar.

Önceden tanımlanmış yanıt eylemleri, günlük verilerine bağlı olarak otomatik olarak tetiklenir ve proaktif tehdit tespiti ile uyarı verme, IP adreslerini engelleme veya sistemleri karantinaya alma gibi eylemleri mümkün kılar.
Özelleştirilebilir oyun planı şablonları, güvenlik operatörlerinin şüpheli davranışlar tespit edildiğinde ekipleri uyarmak veya erişimi engellemek gibi özel yanıtları tetiklemesine olanak tanır.

Güvenlik bakımı

Kurumsal güvenlik bakımı, güvenlik önlemlerinin aktif olarak uygulanmasını, izlenmesini ve güncellenmesini sağlayarak günlük kayıtlarının toplanmasına yardımcı olur:

Merkezi kontrol ve denetim
Tutarlı günlük kaydı yapılandırmaları
Günlük kayıt toplama araçlarına yapılan düzenli güncellemeler ve yamalar, güvenlik açıklarının istismar edilmesini önler.

Hazır entegrasyonlar

OpenUBA

OpenUBA, güvenlik analitiği için SIEM'den bağımsız bir UEBA çerçevesidir. SIEM'inizden bağımsız olarak çalışır ve verileri doğrudan veri depolarından çeker.

OpenUBA, Spark ve Elasticsearch kullanarak birden fazla kaynaktan gelen verileri büyük ölçekte işler ve alır. Geliştiricilerin ve güvenlik analistlerinin bir model deposunda arama yapmasına ve modellerini toplulukla paylaşmasına olanak tanıyan, Docker Hub'a benzer bir Model Kütüphanesi/Kayıt Defteri içerir.

Başlıca özellikler:

Görsel kural oluşturucu: Analistler, kod yazmadan tespit kuralları oluşturmak için kayıtlı modelleri etkileşimli bir tuval üzerinde mantıksal operatörlerle bir araya getirir. Kurallar, denetlenebilir ve tekrarlanabilir hale getiren sürümlü JSON olarak serileştirilir. ¹
Topluluk Model Merkezi: Openuba.org'da yer alan bir model pazarı, çekirdek ekip ve topluluk tarafından katkıda bulunulan kullanıma hazır anomali tespit modellerine ev sahipliği yapmaktadır.
Sunuculardan ve üçüncü taraf günlük alım aracılarından günlükleri alır.
Dahili makine öğrenimi veya davranışsal profil oluşturma modellerini kullanarak, alınan verilerdeki anormal davranışları analiz etme.
Görselleştirme ve analiz için TensorFlow, Keras, Scikit-Learn ve Elasticsearch ile entegre olur.

Graylog

Graylog, platformunda SIEM, UEBA ve anomali tespitini bir araya getiriyor. Graylog Server şunları içerir:

Çeşitli kaynaklardan gelen günlükleri kabul eden ve depolayan Graylog uygulaması.
Elasticsearch veritabanı
Yapılandırma verileri için MongoDB (kullanıcı hesapları, kaydedilmiş aramalar vb.)

Çözüm, MITRE ATT&CK çerçevesine ve gerçek dünya düşmanca örneklerine dayalı 50'den fazla önceden oluşturulmuş güvenlik senaryosu içermektedir. ²

Graylog, Office 365, Azure, GCP, AWS, Okta, Palo Alto Networks, F5, CrowdStrike ve Salesforce ile entegre olur.

Wazuh

Wazuh, şirket içi, sanallaştırılmış, konteynerleştirilmiş ve bulut ortamları için birleşik bir XDR ve SIEM platformudur. İzlenen sistemlere dağıtılan bir uç nokta güvenlik ajanı, verileri toplar ve analiz eder, ardından merkezi bir yönetim sunucusuna iletir.

Wazuh kontrol panelinde Google bulut olaylarını görselleştirme:

Kaynak: Wazuh ³

Başlıca özellikler:

Saldırı tespiti: Güvenlik ihlali göstergelerini belirlemek için günlük verilerini imza tabanlı bir yaklaşımla analiz ederek kötü amaçlı yazılımları ve gizli dosyaları tespit eder.
Günlük veri analizi: İşletim sistemi ve uygulama günlüklerini okur ve kural tabanlı analiz için merkezi bir yöneticiye iletir.
Dosya bütünlüğü izleme: Dosya sistemlerindeki içerik, izinler, sahiplik ve özelliklerdeki değişiklikleri izler. PCI DSS uyumluluğu için kullanıcı ve uygulama eylemlerini takip eder.
Olay müdahalesi: Block tehditleri algılar ve güvenlik ihlali göstergelerini belirlemek için sistem sorguları çalıştırır.
MCP/Yapay Zeka Entegrasyonu (2026): Birden fazla açık kaynaklı MCP sunucusu artık Wazuh, Claude, ChatGPT ve diğer yapay zeka asistanlarıyla entegre olarak, API çağrıları yazmaya gerek kalmadan "web sunucularımdaki kritik güvenlik açıklarını göster" gibi doğal dil tabanlı güvenlik sorguları yapmayı mümkün kılıyor. En kapsamlı uygulama Wazuh 4.8.0–4.14.4 sürümlerini desteklemektedir. ⁴

Ticari UEBA araçları

Ticari UEBA araçları, kapsamlı özelleştirme gerektirmeden mevcut ortamlara entegre edilebilen, kullanıma hazır kullanıcı davranış analizi yetenekleri sunar.

Önde gelen ticari tedarikçiler:

ManageEngine Log360: SIEM günlüklerinin alınmasını davranışsal analizle birleştirir.
Exabeam: UEBA'yı da kapsayan, artık yapay zeka ajan davranışlarını da içeren bir davranışsal analiz platformu (Ocak 2026). Büyük ve karmaşık ortamlar için en uygun çözüm.
IBM Güvenlik QRadar: UBA'ya risk profilleme olanağı sunarak tehdit tespiti için daha derin bir bağlam sağlar.
Teramind: UEBA'yı DLP ile birleştirerek veri sızıntısı önleme ve çalışan izleme konularına odaklanmaktadır.

Açık kaynaklı UEBA araçları ile ticari UEBA araçları arasındaki karşılaştırma

Ticari sağlayıcılar genellikle bir veya daha fazla açık kaynak teknolojisi, örüntü tanıma ve yeni anormallik örüntüleri için veritabanı güncellemeleriyle başlar ve ardından bunların üzerine tescilli otomasyon ve önceden yapılandırılmış tespit modelleri ekler.

1. Önceden yapılandırılmış anomali tespit modelleri : Ticari araçlar bunları kullanıma hazır olarak sunar. Açık kaynaklı araçlar genellikle kullanıcıların kendi modellerini oluşturmasını ve yapılandırmasını gerektirir, ancak Graylog (ücretli sürümler) ve Wazuh bazı önceden tanımlanmış özellikler sunmaktadır.

2. Otomatik yanıt iş akışları: Ticari araçlar önceden tanımlanmış eylemleri doğrudan tetikler. Açık kaynaklı araçlar genellikle SOAR entegrasyonları veya özel komut dosyaları gerektirir, ancak Wazuh ve Graylog (ücretli) bazı önceden tanımlanmış eylemler içerir.

3. Desen tanıma otomasyonu : Ticari araçlar bunu gelişmiş makine öğrenimi modelleriyle otomatikleştirir. Açık kaynaklı araçlar ise daha fazla manuel yapılandırma ve özel model oluşturma gerektirir.

4. Veri kaybı önleme (DLP) : Ticari araçlar, cihaz, konum ve ağ bağlamı ile birlikte DLP özelliğini içerir. Açık kaynaklı araçların bunu ekleyebilmesi için ek araçlara veya entegrasyonlara ihtiyaç duyulur.

5. Uyumluluk raporlaması : Ticari araçlar, GDPR, HIPAA, PCI-DSS ve SOX için yerleşik raporlama özelliklerine sahiptir. Açık kaynaklı araçlar ise özel geliştirme veya üçüncü taraf eklentileri gerektirir.

6. Üçüncü taraf entegrasyonları : Ticari araçlar, SIEM, SOAR ve antivirüs platformlarına önceden oluşturulmuş bağlantı noktaları içerir. Açık kaynaklı araçlar ise özel API bağlantıları aracılığıyla entegre olur.

SSS'ler

UEBA, normal kalıplardan sapmaları analiz ederek olağandışı davranışları tespit eder. Örneğin, normalde dosya indirmeyen bir kullanıcı aniden büyük miktarlarda dosya indirmeye başlarsa, UEBA bunu bir anormallik olarak işaretler. Ayrıca, bir şirket cihazından gelen sunucu erişim isteklerindeki ani artışı tespit etmek gibi makine davranışlarını da izleyebilir.

Kuruluşlar, güvenlik duvarları ve saldırı tespit sistemleri gibi geleneksel güvenlik çözümlerinin modern tehditlere karşı koruma sağlamak için artık yeterli olmaması nedeniyle UEBA araçlarını kullanmaktadır. UEBA araçları , içeriden gelen tehditler veya kimlik bilgisine dayalı saldırılar gibi güvenlik ihlallerini gösterebilecek anormal kullanıcı ve varlık davranışlarını tespit ederek yardımcı olur; bu tür tehditler genellikle geleneksel savunmalar tarafından gözden kaçırılır. Bu araçlar, özellikle gelişmiş kalıcı tehditler (APT'ler) ve karmaşık saldırı yöntemleri için tehdit tespitine daha proaktif bir yaklaşım sunar.

Daha fazla okuma

Referans Linkleri

GitHub - GACWR/OpenUBA: A robust, and flexible open source User & Entity Behavior Analytics (UEBA) framework used for Security Analytics. Developed with luv by Data Scientists & Security Analysts from the Cyber Security Industry. [BETA] · GitHub

GitHub - wazuh/wazuh: Wazuh - The Open Source Security Platform. Unified XDR and SIEM protection for endpoints and cloud workloads. · GitHub

GitHub - gensecaihq/Wazuh-MCP-Server: AI-powered security operations for Wazuh SIEM—use any MCP-compatible client to ask security questions in plain English. Faster threat detection, incident triage, and compliance checks with real-time monitoring and ano

Cem Dilmegani

Baş Analist

Takip Et

Cem, 2017'den beri AIMultiple'da baş analist olarak görev yapmaktadır. AIMultiple, her ay Fortune 500 şirketlerinin %55'i de dahil olmak üzere yüz binlerce işletmeye (benzer Web'e göre) bilgi sağlamaktadır. Cem'in çalışmaları, Business Insider, Forbes, Washington Post gibi önde gelen küresel yayınlar, Deloitte, HPE gibi küresel firmalar, Dünya Ekonomik Forumu gibi STK'lar ve Avrupa Komisyonu gibi uluslararası kuruluşlar tarafından alıntılanmıştır. AIMultiple'ı referans gösteren daha fazla saygın şirket ve kaynağı görebilirsiniz. Kariyeri boyunca Cem, teknoloji danışmanı, teknoloji alıcısı ve teknoloji girişimcisi olarak görev yapmıştır. On yıldan fazla bir süre McKinsey & Company ve Altman Solon'da işletmelere teknoloji kararları konusunda danışmanlık yapmıştır. Ayrıca dijitalleşme üzerine bir McKinsey raporu yayınlamıştır. Bir telekom şirketinin CEO'suna bağlı olarak teknoloji stratejisi ve tedarikini yönetmiştir. Ayrıca, 2 yıl içinde sıfırdan 7 haneli yıllık yinelenen gelire ve 9 haneli değerlemeye ulaşan derin teknoloji şirketi Hypatos'un ticari büyümesini yönetmiştir. Cem'in Hypatos'taki çalışmaları TechCrunch ve Business Insider gibi önde gelen teknoloji yayınlarında yer aldı. Cem düzenli olarak uluslararası teknoloji konferanslarında konuşmacı olarak yer almaktadır. Boğaziçi Üniversitesi'nden bilgisayar mühendisliği diplomasına ve Columbia Business School'dan MBA derecesine sahiptir.

Tam Profili Görüntüle

Araştıran