Entity ve službě Microsoft Sentinel
Když se do Microsoft Sentinelu odesílají nebo generují výstrahy, obsahují datové prvky, které Sentinel dokáže rozpoznat a klasifikovat do kategorií jako entit. Když Microsoft Sentinel pochopí, jaký druh entity konkrétní datový prvek představuje, zná správné otázky, které se na ni mají zeptat, a pak může porovnat přehledy o této položce v celé řadě zdrojů dat a snadno ho sledovat a odkazovat na něj v celém prostředí služby Sentinel – analýzy, vyšetřování, nápravu, proaktivní vyhledávání atd. Mezi běžné příklady entit patří uživatelské účty, hostitelé, poštovní schránky, IP adresy, soubory, cloudové aplikace, procesy a adresy URL.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Entity na portálu Microsoft Defender obecně spadají do dvou hlavních kategorií:
Kategorie entity | Charakterizace | Hlavní příklady |
---|---|---|
Materiály | ||
Jiné entity (důkazy) |
Identifikátory entit
Microsoft Sentinel podporuje širokou škálu typů entit. Každý typ má vlastní jedinečné atributy, které jsou reprezentovány jako pole ve schématu entity a označují se jako identifikátory. Podívejte se na úplný seznam podporovaných entit níže a kompletní sadu schémat entit a identifikátorů v referenčních informacích k typům entit Služby Microsoft Sentinel.
Silné a slabé identifikátory
Pro každý typ entity existují pole nebo sady polí, které mohou identifikovat konkrétní instance dané entity. Tato pole nebo sady polí lze označit jako silné identifikátory , pokud mohou jednoznačně identifikovat entitu bez nejednoznačnosti nebo jako slabé identifikátory , pokud mohou za určitých okolností identifikovat entitu, ale nezaručují se jedinečně identifikovat entitu ve všech případech. V mnoha případech je ale možné zkombinovat výběr slabých identifikátorů, aby se vytvořil silný identifikátor.
Například uživatelské účty lze identifikovat jako entity účtů více než jedním způsobem: pomocí jednoho silného identifikátoru , jako je číselný identifikátor účtu Microsoft Entra ( pole GUID ), nebo jeho hlavní název uživatele (UPN) nebo případně pomocí kombinace slabých identifikátorů , jako jsou pole Název a NTDomain . Různé zdroje dat můžou identifikovat stejného uživatele různými způsoby. Kdykoli Microsoft Sentinel narazí na dvě entity, které dokáže rozpoznat jako stejnou entitu na základě jejich identifikátorů, sloučí obě entity do jedné entity, aby bylo možné ji správně a konzistentně zpracovat.
Pokud ale některý z vašich poskytovatelů prostředků vytvoří výstrahu, ve které není entita dostatečně identifikována – například pomocí jediného slabého identifikátoru , jako je uživatelské jméno bez kontextu názvu domény, nelze entitu uživatele sloučit s jinými instancemi stejného uživatelského účtu. Tyto další instance by byly identifikovány jako samostatná entita a tyto dvě entity by zůstaly oddělené místo jednotné.
Pokud chcete minimalizovat riziko tohoto výskytu, měli byste ověřit, že všichni poskytovatelé výstrah správně identifikují entity v výstrahách, které vytvoří. Kromě toho synchronizace entit uživatelského účtu s Microsoft Entra ID může vytvořit sjednocení adresáře, který bude moci sloučit entity uživatelských účtů.
Podporované entity
V Microsoft Sentinelu jsou aktuálně identifikovány následující typy entit:
- Obchodní vztah
- Hostitel
- IP adresa
- Adresa URL
- Prostředek Azure
- Cloudová aplikace
- Překlad DNS
- Soubor
- Hodnota hash souboru
- Malware
- Proces
- Klíč registru
- Hodnota registru
- Skupina zabezpečení
- Poštovní schránka
- Poštovní cluster
- E-mailová zpráva
- Odeslání e-mailu
Identifikátory těchto entit a další relevantní informace můžete zobrazit v odkazu na entity.
Mapování entit
Jak Microsoft Sentinel rozpozná část dat v upozornění jako identifikaci entity?
Pojďme se podívat, jak se zpracování dat provádí v Microsoft Sentinelu. Data se ingestují z různých zdrojů prostřednictvím konektorů, ať už service-to-service, agentů nebo rozhraní API. Data jsou uložená v tabulkách v pracovním prostoru služby Log Analytics. Tyto tabulky se dotazují v pravidelných intervalech podle plánovaných nebo téměř reálných analytických pravidel, která jste definovali a povolili, nebo na vyžádání jako součást dotazů proaktivního vyhledávání při vyhledávání hrozeb. Součástí definice těchto analytických pravidel a dotazů proaktivního vyhledávání je mapování datových polí v tabulkách na typy entit rozpoznané službou Microsoft Sentinel. Podle vámi definovaných mapování bude Microsoft Sentinel přijímat pole z výsledků vrácených dotazem, rozpozná je podle identifikátorů, které jste zadali pro každý typ entity, a použije se na ně typ entity identifikovaný těmito identifikátory.
Co je to za smysl?
Když Microsoft Sentinel dokáže identifikovat entity v upozorněních z různých typů zdrojů dat, a zejména pokud to může udělat pomocí silných identifikátorů, které jsou společné pro každý zdroj dat nebo jiné schéma, může snadno korelovat mezi všemi těmito výstrahami a zdroji dat. Tyto korelace pomáhají vytvářet bohaté úložiště informací a přehledů o entitách a poskytují solidní základ a kontext pro zkoumání bezpečnostních hrozeb a reagování na ně.
Naučte se mapovat datová pole na entity.
Zjistěte , které identifikátory silně identifikují entitu.
Stránky entit
Informace o stránkách entit se teď dají najít na stránkách entit v Microsoft Sentinelu.
Další kroky
V tomto dokumentu jste se dozvěděli o práci s entitami v Microsoft Sentinelu. Praktické pokyny k implementaci a použití přehledů, které jste získali, najdete v následujících článcích:
- Povolte analýzu chování entit v Microsoft Sentinelu.
- Proaktivní vyhledávání bezpečnostních hrozeb.