Entity ve službě Microsoft Sentinel

  • Článek

Když se do Microsoft Sentinelu odesílají nebo generují výstrahy, obsahují datové prvky, které Sentinel dokáže rozpoznat a klasifikovat do kategorií jako entit. Když Microsoft Sentinel pochopí, jaký druh entity konkrétní datový prvek představuje, zná správné otázky, které se na ni mají zeptat, a pak může porovnat přehledy o této položce v celé řadě zdrojů dat a snadno ho sledovat a odkazovat na něj v celém prostředí služby Sentinel – analýzy, vyšetřování, nápravu, proaktivní vyhledávání atd. Mezi běžné příklady entit patří uživatelské účty, hostitelé, poštovní schránky, IP adresy, soubory, cloudové aplikace, procesy a adresy URL.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

V jednotné platformě operací zabezpečení na portálu Microsoft Defender obecně spadají entity do dvou hlavních kategorií:

Kategorie entity Charakterizace Hlavní příklady
Materiály
  • Interní objekty
  • Chráněné objekty
  • Inventarizované objekty
    		•
  • Účty (uživatelé)
  • Hostitelé (zařízení)
  • Poštovní schránky
  • Prostředky Azure
    		•
    Jiné entity
    (důkazy)
  • Externí položky
  • Ne ve vašem ovládacím prvku
  • Indikátory ohrožení zabezpečení
    		•
  • Adresy IP
  • Soubory
  • Procesy
  • Adresy URL
    		•

    Identifikátory entit

    Microsoft Sentinel podporuje širokou škálu typů entit. Každý typ má vlastní jedinečné atributy, které jsou reprezentovány jako pole ve schématu entity a označují se jako identifikátory. Podívejte se na úplný seznam podporovaných entit níže a kompletní sadu schémat entit a identifikátorů v referenčních informacích k typům entit Služby Microsoft Sentinel.

    Silné a slabé identifikátory

    Pro každý typ entity existují pole nebo sady polí, které mohou identifikovat konkrétní instance dané entity. Tato pole nebo sady polí lze označit jako silné identifikátory , pokud mohou jednoznačně identifikovat entitu bez nejednoznačnosti nebo jako slabé identifikátory , pokud mohou za určitých okolností identifikovat entitu, ale nezaručují se jedinečně identifikovat entitu ve všech případech. V mnoha případech je ale možné zkombinovat výběr slabých identifikátorů, aby se vytvořil silný identifikátor.

    Například uživatelské účty lze identifikovat jako entity účtů více než jedním způsobem: pomocí jednoho silného identifikátoru , jako je číselný identifikátor účtu Microsoft Entra ( pole GUID ), nebo jeho hlavní název uživatele (UPN) nebo případně pomocí kombinace slabých identifikátorů , jako jsou pole Název a NTDomain . Různé zdroje dat můžou identifikovat stejného uživatele různými způsoby. Kdykoli Microsoft Sentinel narazí na dvě entity, které dokáže rozpoznat jako stejnou entitu na základě jejich identifikátorů, sloučí obě entity do jedné entity, aby bylo možné ji správně a konzistentně zpracovat.

    Pokud ale některý z vašich poskytovatelů prostředků vytvoří výstrahu, ve které není entita dostatečně identifikována – například pomocí jediného slabého identifikátoru , jako je uživatelské jméno bez kontextu názvu domény, nelze entitu uživatele sloučit s jinými instancemi stejného uživatelského účtu. Tyto další instance by byly identifikovány jako samostatná entita a tyto dvě entity by zůstaly oddělené místo jednotné.

    Pokud chcete minimalizovat riziko tohoto výskytu, měli byste ověřit, že všichni poskytovatelé výstrah správně identifikují entity v výstrahách, které vytvoří. Kromě toho synchronizace entit uživatelského účtu s Microsoft Entra ID může vytvořit sjednocení adresáře, který bude moci sloučit entity uživatelských účtů.

    Podporované entity

    V Microsoft Sentinelu jsou aktuálně identifikovány následující typy entit:

    Identifikátory těchto entit a další relevantní informace můžete zobrazit v odkazu na entity.

    Mapování entit

    Jak Microsoft Sentinel rozpozná část dat v upozornění jako identifikaci entity?

    Pojďme se podívat, jak se zpracování dat provádí v Microsoft Sentinelu. Data se ingestují z různých zdrojů prostřednictvím konektorů, ať už service-to-service, agentů nebo rozhraní API. Data jsou uložená v tabulkách v pracovním prostoru služby Log Analytics. Tyto tabulky se dotazují v pravidelných intervalech podle plánovaných nebo téměř reálných analytických pravidel, která jste definovali a povolili, nebo na vyžádání jako součást dotazů proaktivního vyhledávání při vyhledávání hrozeb. Součástí definice těchto analytických pravidel a dotazů proaktivního vyhledávání je mapování datových polí v tabulkách na typy entit rozpoznané službou Microsoft Sentinel. Podle vámi definovaných mapování bude Microsoft Sentinel přijímat pole z výsledků vrácených dotazem, rozpozná je podle identifikátorů, které jste zadali pro každý typ entity, a použije se na ně typ entity identifikovaný těmito identifikátory.

    Co je to za smysl?

    Když Microsoft Sentinel dokáže identifikovat entity v upozorněních z různých typů zdrojů dat, a zejména pokud to může udělat pomocí silných identifikátorů, které jsou společné pro každý zdroj dat nebo jiné schéma, může snadno korelovat mezi všemi těmito výstrahami a zdroji dat. Tyto korelace pomáhají vytvářet bohaté úložiště informací a přehledů o entitách a poskytují solidní základ a kontext pro zkoumání bezpečnostních hrozeb a reagování na ně.

    Naučte se mapovat datová pole na entity.

    Zjistěte , které identifikátory silně identifikují entitu.

    Stránky entit

    Informace o stránkách entit se teď dají najít na stránkách entit v Microsoft Sentinelu.

    Další kroky

    V tomto dokumentu jste se dozvěděli o práci s entitami v Microsoft Sentinelu. Praktické pokyny k implementaci a použití přehledů, které jste získali, najdete v následujících článcích: