Risk Olayları
Risk Olayları sayfası, Risk Motoru tarafından kaydedilen her oturum açma değerlendirmesinin tam listesini sunar. Her olay; tetiklenen sinyalleri, hesaplanan skoru, konum ve cihaz bilgilerini ve giriş yapılan kullanıcı ile IP adresine ait geçmiş profili içerir.
Risk Olayları - Oturum açma değerlendirmeleri, risk skorları ve sinyal detayları
Filtreler
Olayları daraltmak için sayfa üstündeki filtre çubuğunu kullanın:
| Filtre | Açıklama |
|---|---|
| Time Range | Ön tanımlı aralıklar (Son 1 saat, Son 24 saat, Son 7 gün, Son 30 gün) veya özel tarih-saat aralığı |
| Severity | Safe, Low, Moderate veya High önem düzeyine göre filtrele |
| Search | Kullanıcı adı, IP adresi veya uygulama adına göre serbest metin araması |
Olay Listesi Sütunları
| Sütun | Açıklama |
|---|---|
| Time | Olayın kaydedildiği tarih ve saat |
| Username | Oturum açmayı deneyen kullanıcı |
| IP Address | Tespit edilen istemci IP adresi |
| Country | IP adresine ait ülke |
| Application | Hedef uygulama |
| Score | Hesaplanan risk skoru |
| Severity | Safe / Low / Moderate / High önem düzeyi rozeti |
| Signals | Tetiklenen sinyal sayısı |
| Action | Oturum açmaya izin verildi mi, meydan okuma uygulandı mı yoksa engellendi mi |
Yanlış Pozitif Satırlar
Daha önce yanlış pozitif olarak işaretlenmiş olaylar listede gri arka planla gösterilir. Bu satırlar risk istatistiklerine dahil edilmez ancak kayıt amaçlı saklanmaya devam eder.
Olay Ayrıntısı
Bir olaya tıkladığınızda aşağıdaki bölümleri içeren ayrıntı paneli açılır:
Kimlik & Konum
Bu bölüm oturum açma girişimine ait bağlamsal coğrafi ve ağ bilgilerini gösterir:
- Username — Kullanıcı adı
- IP Address — İstemci IP adresi
- Country / Region / City — Coğrafi çözümleme sonucu
- Coordinates — Enlem ve boylam
- ASN — Otonom Sistem Numarası ve organizasyon adı
- Application — Hedef uygulama
- Auth Result — Kimlik doğrulama sonucu
Cihaz Bilgisi
- Browser — Tarayıcı adı ve sürümü
- Operating System — İşletim sistemi adı ve sürümü
- Device Type — Masaüstü, mobil veya tablet
Zaman Dilimi Analizi
Bu bölüm kullanıcının normal oturum açma saatlerini mevcut girişimle karşılaştırır:
- Local Time — IP adresinin bulunduğu bölgedeki yerel saat
- Usual Login Hours — Kullanıcının son girişimlerine dayanan tipik oturum açma saatleri
- Time Deviation — Mevcut girişimin normal saatten sapması
Seyahat Analizi
Bu bölüm, kullanıcının son başarılı girişimiyle mevcut girişim arasındaki fiziksel mesafeyi değerlendirir:
- Previous Location — Son başarılı girişimin konumu
- Current Location — Mevcut girişimin konumu
- Distance — İki konum arasındaki mesafe (kilometre cinsinden)
- Time Elapsed — İki giriş arasında geçen süre
- Required Speed — Bu mesafeyi bu sürede kat etmek için gereken hız (km/sa)
Hesaplanan hız fiziksel açıdan imkânsız veya olağandışı derecede yüksekse impossible_travel sinyali tetiklenir.
Tetiklenen Sinyaller
Bu bölüm, mevcut olayda aktif olan tüm risk sinyallerini listeler. Her sinyal için şunlar gösterilir:
- Sinyal adı ve açıklaması
- Katkıda bulunduğu skor ağırlığı
- İlişkili MITRE ATT&CK teknik kimliği
Normal Profil
Bu bölüm, mevcut girişimle karşılaştırılan kullanıcı ve IP geçmişini özetler:
- Geçmiş girişimlerde görülen ülkeler
- Geçmiş girişimlerde kullanılan cihazlar
- Geçmiş girişimlerdeki tipik saatler
Yanlış Pozitif Geçişi
Bir olay meşru bir etkinliği yanlışlıkla işaretlediyse ayrıntı panelinin altındaki Mark as False Positive düğmesini kullanın. İşaretlenen olaylar:
- Risk istatistiklerinden çıkarılır
- Listede gri arka planla gösterilir
- Gelecekteki sinyal eşik ayarlamaları için referans olarak kullanılabilir
Risk Sinyalleri Referans Tablosu
Aşağıdaki tablo, Risk Motoru tarafından değerlendirilen 31 sinyalin tamamını listeler:
| Sinyal Adı | Kategori | MITRE ATT&CK ID | Açıklama |
|---|---|---|---|
ip_reputation | Reputation | T1071 | IP adresi bilinen kötü niyetli bir kaynakta eşleşti |
tor_exit_node | Reputation | T1090.003 | IP adresi bilinen bir Tor çıkış düğümüdür |
vpn_proxy | Reputation | T1090 | IP adresi bilinen bir VPN veya proxy hizmetine aittir |
hosting_datacenter | Reputation | T1583.003 | IP adresi bir barındırma veya veri merkezi ağından gelmektedir |
anonymous_network | Reputation | T1090.002 | IP adresi anonim bir ağ altyapısıyla ilişkilidir |
new_country | Location | T1078 | Oturum açma, kullanıcının geçmişinde görülmemiş bir ülkeden gerçekleşti |
new_region | Location | T1078 | Oturum açma, kullanıcının geçmişinde görülmemiş bir bölgeden gerçekleşti |
high_risk_country | Location | T1078.004 | Oturum açma, yüksek riskli olarak sınıflandırılmış bir ülkeden gerçekleşti |
impossible_travel | Location | T1078 | Fiziksel olarak imkânsız seyahat hızı tespit edildi |
distance_anomaly | Location | T1078 | Mevcut konum, son bilinen konumdan alışılmadık derecede uzak |
asn_anomaly | Location | T1071 | Oturum açma, kullanıcı için alışılmadık bir ASN'den gerçekleşti |
new_device | Device | T1078.002 | Oturum açma, kullanıcı için daha önce görülmemiş bir cihazdan gerçekleşti |
new_browser | Device | T1078 | Oturum açma, kullanıcı için daha önce görülmemiş bir tarayıcıdan gerçekleşti |
new_os | Device | T1078 | Oturum açma, kullanıcı için daha önce görülmemiş bir işletim sisteminden gerçekleşti |
headless_browser | Device | T1185 | User-agent başsız bir tarayıcıya işaret ediyor |
bot_user_agent | Device | T1059 | User-agent bilinen bir bot veya otomatik araçla eşleşiyor |
invalid_user_agent | Device | T1036 | User-agent eksik, hatalı biçimlendirilmiş veya geçersiz |
concurrent_session | Identity | T1078 | Aynı kullanıcı için aynı anda birden fazla etkin oturum tespit edildi |
brute_force | Identity | T1110 | Kısa süre içinde çok sayıda başarısız giriş denemesi yapıldı |
credential_stuffing | Identity | T1110.004 | Farklı IP adreslerinden yüksek hacimli başarısız girişimler yapıldı |
account_sharing | Identity | T1078 | Hesap, kısa süre içinde birden fazla farklı konumdan kullanıldı |
suspicious_username | Identity | T1036 | Kullanıcı adı otomatik araç örüntüleriyle eşleşiyor |
disabled_account | Identity | T1078.003 | Devre dışı bırakılmış bir hesapla oturum açma girişimi yapıldı |
off_hours_login | Time | T1078 | Oturum açma, kullanıcının tipik olmayan bir saatinde gerçekleşti |
weekend_login | Time | T1078 | Oturum açma, kullanıcının hafta sonu giriş yapmadığı bir gün gerçekleşti |
time_zone_mismatch | Time | T1078 | Bildirilen zaman dilimi IP'nin coğrafi konumuyla eşleşmiyor |
login_frequency_spike | Time | T1078 | Belirli bir zaman diliminde anormal derecede yüksek giriş sıklığı |
after_hours_admin | Time | T1078.003 | Mesai saatleri dışında yönetici hesabından oturum açma girişimi |
new_ip | Identity | T1078 | Kullanıcının geçmişinde görülmemiş bir IP adresinden giriş |
ip_user_mismatch | Identity | T1078 | Bir IP adresi kısa süre içinde çok fazla farklı hesapla kullanıldı |
auth_failure_spike | Identity | T1110 | Hesaba yönelik ani ve yüksek başarısız kimlik doğrulama artışı |