Mapování datových polí na entity ve službě Microsoft Sentinel

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a v nadcházejících týdnech budeme tyto stránky aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení Microsoft.

Důležité

  • Důležité informace o zpětné kompatibilitě a rozdílech mezi novou a starou verzí mapování entit najdete v části Poznámky k nové verzi na konci tohoto dokumentu.

Úvod

Mapování entit je nedílnou součástí konfigurace pravidel plánované analýzy dotazů. Obohacuje výstup pravidel (výstrahy a incidenty) o základní informace, které slouží jako stavební bloky všech následných vyšetřovacích procesů a nápravných opatření.

Níže uvedený postup je součástí průvodce vytvořením analytického pravidla. Je zde zpracováván nezávisle, aby se vyřešil scénář přidání nebo změny mapování entit v existujícím analytickém pravidlu.

Postup mapování entit

  1. V navigační nabídce Microsoft Sentinel vyberte Analýza.

  2. Vyberte naplánované pravidlo dotazu a v podokně podrobností vyberte Upravit . Nebo vytvořte nové pravidlo kliknutím na Vytvořit > pravidlo naplánovaného dotazu v horní části obrazovky.

  3. Vyberte kartu Nastavit logiku pravidla .

  4. V části Rozšíření upozornění rozbalte mapování entit.

    Rozbalit mapování entit

  5. V nově rozbalené části Mapování entit vyberte typ entity z rozevíracího seznamu Typ entity .

    Volba typu entity

  6. Vyberte identifikátor entity. Identifikátory jsou atributy entity, které ji mohou dostatečně identifikovat. Zvolte jednu z rozevíracího seznamu Identifikátor a pak v rozevíracím seznamu Hodnota zvolte datové pole, které bude odpovídat identifikátoru. S některými výjimkami je seznam Hodnota naplněn datovými poli v tabulce definované jako předmět dotazu pravidla.

    Pro danou entitu můžete definovat až tři identifikátory . Některé identifikátory jsou povinné, jiné volitelné. Musíte zvolit alespoň jeden požadovaný identifikátor. Pokud to neuděláte, zobrazí se upozornění, které identifikátory jsou požadovány. Nejlepších výsledků – pro maximální jedinečnou identifikaci – byste měli používat silné identifikátory , kdykoli je to možné, a použití více silných identifikátorů umožní větší korelaci mezi zdroji dat. Podívejte se na úplný seznam dostupných entit a identifikátorů.

    Mapování polí na entity

  7. Kliknutím na Přidat novou entitu namapujete další entity. V jednom analytickém pravidlu můžete namapovat až pět entit . Můžete také namapovat více než jeden ze stejného typu. Můžete například namapovat dvě entity IP adres, jednu z pole zdrojové IP adresy a druhou z pole cílové IP adresy . Tímto způsobem je můžete sledovat oba.

    Pokud změníte názor nebo jste udělali chybu, můžete mapování entit odebrat kliknutím na ikonu koše vedle rozevíracího seznamu entit.

  8. Po dokončení mapování entit klikněte na kartu Zkontrolovat a vytvořit . Po úspěšném ověření pravidla klikněte na Uložit.

Poznámka

  • Každá mapovaná entita může identifikovat až deset entit.

    • Pokud výstraha obsahuje více než deset položek, které odpovídají mapování jedné entity, rozpozná se jako entity pouze prvních deset a bude možné je jako takové analyzovat.
    • Toto omezení se vztahuje na skutečná mapování, nikoli na typy entit. Pokud tedy máte tři různé namapované entity pro IP adresy (například zdroj, cíl a bránu), každé z těchto mapování může obsahovat deset entit.
  • Limit velikosti pro celou výstrahu je 64 kB.

    • Výstrahy, které jsou větší než 64 kB, budou zkráceny. Při identifikaci entit se do výstrahy přidávají jednu po druhé, dokud velikost výstrahy nedosáhne 64 kB, a všechny zbývající entity se z výstrahy vyřadí.

Poznámky k nové verzi

  • Vzhledem k tomu, že nová verze je nyní obecně dostupná, není už k dispozici alternativní řešení příznaku funkce pro použití staré verze.

  • Pokud jste dříve definovali mapování entit pro toto analytické pravidlo pomocí staré verze, budou automaticky převedena na novou verzi.

Další kroky

V tomto dokumentu jste zjistili, jak mapovat datová pole na entity v analytických pravidlech Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích: