Klasifikace a analýza dat pomocí entit ve službě Microsoft Sentinel

  • Článek

Když se výstrahy odesílají do služby Microsoft Sentinel nebo ji vygenerují, obsahují datové položky, které služba Sentinel dokáže rozpoznat a klasifikovat do kategorií jako entity. Když Služba Microsoft Sentinel pochopí, jaký druh entity konkrétní datová položka představuje, zná správné otázky, na které se má zeptat, a pak může porovnat přehledy o této položce v celé škále zdrojů dat a snadno ji sledovat a odkazovat na ni v celém prostředí služby Sentinel – analýzy, šetření, náprava, proaktivní vyhledávání atd. Mezi běžné příklady entit patří uživatelé, hostitelé, soubory, procesy, IP adresy a adresy URL.

Identifikátory entit

Microsoft Sentinel podporuje širokou škálu typů entit. Každý typ má své vlastní jedinečné atributy, včetně některých, které lze použít k identifikaci konkrétní entity. Tyto atributy jsou v entitě reprezentovány jako pole a nazývají se identifikátory. Úplný seznam podporovaných entit a jejich identifikátorů najdete níže.

Silné a slabé identifikátory

Jak je uvedeno výše, pro každý typ entity existují pole nebo sady polí, které ho můžou identifikovat. Tato pole nebo sady polí lze označovat jako silné identifikátory , pokud můžou jednoznačně identifikovat entitu bez nejednoznačnosti, nebo jako slabé identifikátory , pokud za určitých okolností můžou identifikovat entitu, ale ve všech případech nemají zaručenou jedinečnou identifikaci entity. V mnoha případech je však možné zkombinovat výběr slabých identifikátorů a vytvořit tak silný identifikátor.

Uživatelské účty lze například identifikovat jako entity účtů více než jedním způsobem: pomocí jednoho silného identifikátoru, jako je číselný identifikátor účtu Azure AD (pole GUID) nebo jeho hodnoty hlavního názvu uživatele (UPN), nebo alternativně pomocí kombinace slabých identifikátorů, jako jsou pole Název a NTDomain. Různé zdroje dat můžou identifikovat stejného uživatele různými způsoby. Kdykoli služba Microsoft Sentinel narazí na dvě entity, které může rozpoznat jako stejnou entitu na základě svých identifikátorů, sloučí tyto dvě entity do jedné entity, aby je bylo možné správně a konzistentně zpracovat.

Pokud ale některý z vašich poskytovatelů prostředků vytvoří výstrahu, ve které entita není dostatečně identifikována – například s použitím jediného slabého identifikátoru , jako je uživatelské jméno bez kontextu názvu domény – nelze entitu uživatele sloučit s jinými instancemi stejného uživatelského účtu. Tyto ostatní instance by byly identifikovány jako samostatná entita a tyto dvě entity by zůstaly oddělené místo sjednocené.

Abyste minimalizovali riziko, že k tomu dochází, měli byste ověřit, že všichni vaši poskytovatelé upozornění správně identifikují entity v výstrahách, které vytvářejí. Kromě toho může synchronizace entit uživatelských účtů se službou Azure Active Directory vytvořit sjednocující adresář, který bude moct sloučit entity uživatelských účtů.

Podporované entity

Ve službě Microsoft Sentinel jsou v současné době identifikovány následující typy entit:

  • Uživatelský účet
  • Hostitel
  • IP adresa
  • Malware
  • Soubor
  • Proces
  • Cloudová aplikace
  • Název domény
  • Prostředek Azure
  • Hodnota hash souboru
  • Klíč registru
  • Hodnota registru
  • Skupina zabezpečení
  • URL
  • Zařízení IoT
  • Mailbox
  • Poštovní cluster
  • E-mailová zpráva
  • Odeslání e-mailu

Identifikátory těchto entit a další relevantní informace můžete zobrazit v odkazu na entity.

Mapování entit

Jak Služba Microsoft Sentinel rozpozná část dat v upozornění jako identifikující entitu?

Pojďme se podívat, jak se ve službě Microsoft Sentinel zpracovává data. Data se ingestují z různých zdrojů prostřednictvím konektorů, ať už mezi službami, agenty nebo pomocí služby syslog a nástroje pro předávání protokolů. Data se ukládají v tabulkách v pracovním prostoru služby Log Analytics. Na tyto tabulky se pak v pravidelných intervalech dotazují analytická pravidla, která jste definovali a povolili. Jednou z mnoha akcí, které tato analytická pravidla provádějí, je mapování datových polí v tabulkách na entity rozpoznané službou Microsoft Sentinel. Podle mapování, která definujete v analytických pravidlech, bude Služba Microsoft Sentinel přebírat pole z výsledků vrácených dotazem, rozpozná je podle identifikátorů, které jste zadali pro každý typ entity, a použije pro ně typ entity identifikovaný těmito identifikátory.

Jaký je smysl toho všeho?

Pokud je Microsoft Sentinel schopen identifikovat entity v výstrahách z různých typů zdrojů dat, a zejména pokud to dokáže pomocí silných identifikátorů společných pro každý zdroj dat nebo třetí schéma, může pak snadno korelovat mezi všemi těmito výstrahami a zdroji dat. Tyto korelace pomáhají vytvářet bohaté úložiště informací a přehledů o entitách a poskytují pevný základ pro vaše operace zabezpečení.

Zjistěte, jak mapovat datová pole na entity.

Zjistěte , které identifikátory silně identifikují entitu.

Stránky entit

Informace o stránkách entit teď najdete v tématu Zkoumání entit se stránkami entit ve službě Microsoft Sentinel.

Další kroky

V tomto dokumentu jste se dozvěděli o práci s entitami ve službě Microsoft Sentinel. Praktické pokyny k implementaci a využití získaných přehledů najdete v následujících článcích: