Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Když jsou výstrahy odesílány Microsoft Sentinel nebo generovány, obsahují datové prvky, které Sentinel rozpoznat a klasifikovat do kategorií jako entity. Když Microsoft Sentinel porozumíte tomu, jaký druh entity konkrétní datový prvek představuje, ví o ní správné otázky a pak může porovnat přehledy o této položce v celé škále zdrojů dat a snadno ji sledovat a odkazovat na ni v rámci celého prostředí Sentinel – analýzy, šetření, nápravy, proaktivního vyhledávání atd. Mezi běžné příklady entit patří uživatelské účty, hostitelé, poštovní schránky, IP adresy, soubory, cloudové aplikace, procesy a adresy URL.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
Na portálu Microsoft Defender obecně spadají entity do dvou hlavních kategorií:
| Kategorie entity | Charakterizace | Hlavní příklady |
|---|---|---|
| Aktiv | ||
| Další entity (důkaz) |
Identifikátory entit
Microsoft Sentinel podporuje širokou škálu typů entit. Každý typ má své vlastní jedinečné atributy, které jsou reprezentovány jako pole ve schématu entity a nazývají se identifikátory. Níže najdete úplný seznam podporovaných entit a úplnou sadu schémat a identifikátorů entit v Microsoft Sentinel odkazech na typy entit.
Silné a slabé identifikátory
Pro každý typ entity existují pole nebo sady polí, které mohou identifikovat konkrétní instance této entity. Tato pole nebo sady polí lze označovat jako silné identifikátory , pokud dokážou jednoznačně identifikovat entitu bez nejednoznačnosti, nebo jako slabé identifikátory , pokud za určitých okolností dokážou identifikovat entitu, ale ve všech případech nemají zaručenou jedinečnou identifikaci entity. V mnoha případech je ale možné zkombinovat výběr slabých identifikátorů a vytvořit tak silný identifikátor.
Uživatelské účty je například možné identifikovat jako entity účtů více než jedním způsobem: pomocí jednoho silného identifikátoru, jako je číselný identifikátor účtu Microsoft Entra (pole GUID) nebo jeho hlavní název uživatele (UPN), nebo pomocí kombinace slabých identifikátorů, jako jsou jeho pole Název a NTDomain. Různé zdroje dat můžou identifikovat stejného uživatele různými způsoby. Kdykoli Microsoft Sentinel narazí na dvě entity, které může rozpoznat jako stejnou entitu na základě svých identifikátorů, sloučí obě entity do jedné, aby s nimi bylo možné správně a konzistentně pracovat.
Pokud ale některý z vašich poskytovatelů prostředků vytvoří výstrahu, ve které není entita dostatečně identifikována – například pomocí jediného slabého identifikátoru , jako je uživatelské jméno bez kontextu názvu domény – pak entitu uživatele nelze sloučit s jinými instancemi stejného uživatelského účtu. Tyto ostatní instance by byly identifikovány jako samostatná entita a tyto dvě entity by zůstaly oddělené místo sjednocené.
Abyste minimalizovali riziko, že k tomu dochází, měli byste ověřit, že všichni vaši poskytovatelé výstrah správně identifikují entity v výstrahách, které vytvářejí. Kromě toho synchronizace entit uživatelských účtů s Microsoft Entra ID může vytvořit sjednocující adresář, který bude moct sloučit entity uživatelských účtů.
Podporované entity
V Microsoft Sentinel jsou aktuálně identifikovány následující typy entit:
- Účet
- Host (Hostitel)
- IP adresa
- URL
- Azure prostředek
- Cloudová aplikace
- Překlad DNS
- Soubor
- Hodnota hash souboru
- Malware
- Proces
- Klíč registru
- Hodnota registru
- Skupina zabezpečení
- Poštovní schránky
- Poštovní cluster
- Poštovní zpráva
- Odeslání e-mailu
Identifikátory těchto entit a další relevantní informace si můžete prohlédnout v odkazu na entity.
Mapování entit
Jak Microsoft Sentinel rozpozná část dat ve výstraze, která identifikují entitu?
Podívejme se na to, jak se zpracování dat provádí v Microsoft Sentinel. Data se ingestují z různých zdrojů prostřednictvím konektorů, ať už mezi službami, agenty nebo rozhraní API. Data se ukládají v tabulkách v pracovním prostoru služby Log Analytics. Tyto tabulky se dotazují v pravidelných intervalech podle plánovaných analytických pravidel nebo analytických pravidel téměř v reálném čase, která jste definovali a povolili, nebo na vyžádání jako součást dotazů proaktivního vyhledávání při vyhledávání hrozeb. Součástí definice těchto analytických pravidel a dotazů proaktivního vyhledávání je mapování datových polí v tabulkách na typy entit rozpoznané Microsoft Sentinel. Podle mapování, která definujete, Microsoft Sentinel převezme pole z výsledků vrácených dotazem, rozpozná je podle identifikátorů, které jste zadali pro každý typ entity, a použije na ně typ entity identifikovaný těmito identifikátory.
K čemu to všechno je?
Když Microsoft Sentinel dokáže identifikovat entity v výstrahách z různých typů zdrojů dat, a zejména pokud to dokáže pomocí silných identifikátorů společných pro každý zdroj dat nebo jiné schéma, může pak snadno korelovat mezi všemi těmito výstrahami a zdroji dat. Tyto korelace pomáhají vytvářet bohaté úložiště informací a přehledů o entitách a poskytují solidní základ a kontext pro zkoumání bezpečnostních hrozeb a reakce na ně.
Zjistěte, jak mapovat datová pole na entity.
Zjistěte , které identifikátory silně identifikují entitu.
Stránky entit
Informace o stránkách entit teď najdete na stránce Stránky entit v Microsoft Sentinel.
Další kroky
V tomto dokumentu jste se dozvěděli o práci s entitami v Microsoft Sentinel. Praktické pokyny k implementaci a použití získaných přehledů najdete v následujících článcích:
- Povolte analýzu chování entit v Microsoft Sentinel.
- Vyhledávání bezpečnostních hrozeb