Sdílet prostřednictvím


Stránky entit v Microsoft Sentinelu

Když při vyšetřování incidentu narazíte na uživatelský účet, název hostitele, IP adresu nebo prostředek Azure, můžete se rozhodnout, že se o něm chcete dozvědět víc. Můžete například chtít znát jeho historii aktivit, ať už se zobrazuje v jiných výstrahách nebo incidentech, ať už se jedná o něco neočekávaného nebo neočekávanýho charakteru atd. Stručně řečeno, potřebujete informace, které vám můžou pomoct určit, jaký druh hrozby tyto entity představují, a odpovídajícím způsobem vás provedou vyšetřováním.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Stránky entit

V těchto situacích můžete vybrat entitu (zobrazí se jako odkaz umožňující kliknutí) a přejít na stránku entity, datový list plný užitečných informací o dané entitě. Na stránku entity můžete také přijít tak, že vyhledáte entity přímo na stránce chování entit služby Microsoft Sentinel. Typy informací, které najdete na stránkách entit, zahrnují základní fakta o entitě, časovou osu událostí souvisejících s touto entitou a přehledy o chování entity.

Konkrétně se stránky entit skládají ze tří částí:

  • Levý panel obsahuje identifikační informace entity, které se shromažďují ze zdrojů dat, jako je Microsoft Entra ID, Azure Monitor, Aktivita Azure, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog a XDR v programu Microsoft Defender (se všemi jeho komponentami).

  • Na prostředním panelu se zobrazuje grafická a textová časová osa událostí souvisejících s entitou, jako jsou výstrahy, záložky, anomálie a aktivity. Aktivity jsou agregace náhonných událostí z Log Analytics. Dotazy, které tyto aktivity detekují, vyvíjejí týmy microsoftu pro výzkum zabezpečení a teď můžete přidat vlastní dotazy, které vám umožní detekovat aktivity podle vašeho výběru.

  • Na pravém panelu se zobrazí přehledy chování entity. Tyto přehledy průběžně vyvíjejí týmy microsoftu pro výzkum zabezpečení. Jsou založeny na různých zdrojích dat a poskytují kontext pro entitu a její pozorované aktivity a pomáhají vám rychle identifikovat neobvyklé chování a bezpečnostní hrozby.

    Od listopadu 2023 začíná být nová generace přehledů dostupná ve verzi PREVIEW ve formě widgetů pro rozšiřování. Tyto nové přehledy můžou integrovat data z externích zdrojů a získávat aktualizace v reálném čase a dají se zobrazit společně s existujícími přehledy. Pokud chcete tyto nové widgety využít, musíte povolit prostředí widgetu.

Pokud prošetřujete incident pomocí nového prostředí pro šetření, uvidíte přímo na stránce podrobností incidentu panelizovanou verzi stránky entity. Máte seznam všech entit v daném incidentu a výběrem entity otevřete boční panel se třemi kartami – informace, časová osa a Přehledy – se všemi stejnými informacemi popsanými výše v konkrétním časovém rámci odpovídajícím výstrahám v incidentu.

Pokud používáte jednotnou platformu operací zabezpečení na portálu Microsoft Defenderu, zobrazí se na kartě Události služby Sentinel na stránce entity Defenderu panely časových os a přehledů.

Časová osa

Časová osa je hlavní součástí příspěvku stránky entity k analýze chování v Microsoft Sentinelu. Představuje příběh o událostech souvisejících s entitou a pomáhá pochopit aktivitu entity v určitém časovém rámci.

Můžete zvolit časový rozsah z několika přednastavených možností (například posledních 24 hodin) nebo ho nastavit na libovolný vlastní časový rámec. Kromě toho můžete nastavit filtry, které omezují informace na časové ose na konkrétní typy událostí nebo upozornění.

Na časové ose jsou zahrnuty následující typy položek.

  • Výstrahy: všechna upozornění, ve kterých je entita definována jako mapovaná entita. Upozorňujeme, že pokud vaše organizace vytvořila vlastní upozornění pomocí analytických pravidel, měli byste se ujistit, že se mapování entit pravidel provádí správně.

  • Záložky: všechny záložky, které obsahují konkrétní entitu zobrazenou na stránce.

  • Anomálie: Detekce UEBA založené na dynamických směrných plánech vytvořených pro každou entitu napříč různými datovými vstupy a proti svým vlastním historickým aktivitám, těm z partnerských vztahů a objektů organizace jako celku.

  • Aktivity: agregace neschůdných událostí týkajících se entity. Automaticky se shromažďuje široká škála aktivit a teď můžete tuto část přizpůsobit přidáním aktivit podle vlastního výběru.

Snímek obrazovky s příkladem časové osy na stránce entity na webu Azure Portal

Přehledy entit

Přehledy entit jsou dotazy definované odborníky v oblasti zabezpečení Microsoftu, které pomáhají analytikům efektivněji a efektivněji zkoumat. Přehledy jsou prezentovány jako součást stránky entity a poskytují cenné informace o zabezpečení hostitelů a uživatelů ve formě tabulkových dat a grafů. Když budete mít informace, znamená to, že nemusíte objíždět log Analytics. Mezi přehledy patří data týkající se přihlášení, sčítání skupin, neobvyklých událostí a dalších a zahrnují pokročilé algoritmy ML pro detekci neobvyklého chování.

Přehledy jsou založené na následujících zdrojích dat:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Prezenčních signálů (agent Azure Monitoru)
  • CommonSecurityLog (Microsoft Sentinel)

Obecně řečeno, každý přehled entit zobrazený na stránce entity je doprovázen odkazem, který vás přesouvá na stránku, kde se zobrazí dotaz podkladového přehledu spolu s výsledky, abyste mohli výsledky prozkoumat podrobněji.

  • V Microsoft Sentinelu na webu Azure Portal vás odkaz přejde na stránku Protokoly .
  • Na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení vás odkaz zavede na stránku Rozšířené proaktivní vyhledávání .

Jak používat stránky entit

Stránky entit jsou navržené tak, aby byly součástí několika scénářů použití a můžou být přístupné ze správy incidentů, grafu šetření, záložek nebo přímo ze stránky vyhledávání entit v části Chování entit v hlavní nabídce Služby Microsoft Sentinel.

Diagram oblastí, ze kterých můžete získat přístup ke stránkám entit, odpovídající případům použití

Informace o stránce entity jsou uložené v tabulce BehaviorAnalytics, které jsou podrobně popsány v referenčních informacích k jazyku UEBA služby Microsoft Sentinel.

Podporované stránky entit

Microsoft Sentinel aktuálně nabízí následující stránky entit:

  • Uživatelský účet

  • Hostitelský počítač

  • IP adresa (Preview)

    Poznámka:

    Stránka entity IP adresy (nyní ve verzi Preview) obsahuje data o geografické poloze poskytnutá službou Microsoft Threat Intelligence. Tato služba kombinuje data o geografické poloze od řešení Microsoftu a dodavatelů a partnerů třetích stran. Data jsou pak k dispozici k analýze a prošetření v kontextu incidentu zabezpečení. Další informace najdete také v tématu Obohacení entit v Microsoft Sentinelu o data geografické polohy prostřednictvím rozhraní REST API (Public Preview).

  • Prostředek Azure (Preview)

  • Zařízení IoT (Preview) – jenom v Microsoft Sentinelu na webu Azure Portal.

Další kroky

V tomto dokumentu jste se dozvěděli o získání informací o entitách v Microsoft Sentinelu pomocí stránek entit. Další informace o entitách a jejich použití najdete v následujících článcích: