Knyt datafelter til objekter i Microsoft Sentinel

Objekttilknytning er en integreret del af konfigurationen af planlagte analyseregler. Den beriger reglernes output (beskeder og hændelser) med vigtige oplysninger, der fungerer som komponenter i eventuelle undersøgelsesprocesser og afhjælpende handlinger, der følger.

Den procedure, der er beskrevet nedenfor, er en del af guiden til oprettelse af analyseregel. Det behandles her uafhængigt for at håndtere scenariet med tilføjelse eller ændring af objekttilknytninger i en eksisterende analyseregel.

Vigtigt!

• Se "Noter om den nye version" i slutningen af dette dokument for at få vigtige oplysninger om bagudkompatibilitet og forskelle mellem nye og gamle versioner af enhedstilknytning.
• Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen. Fra og med juli 2025 bliver mange nye kunder automatisk onboardet og omdirigeret til Defender-portalen. Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender. Du kan få flere oplysninger under Det er tid til at flytte: Udgå Microsoft Sentinel er Azure Portal for større sikkerhed.

Sådan tilknyttes objekter

1. Angiv siden Analytics på portalen, hvor du får adgang til Microsoft Sentinel:

   Azure Portal

   Vælg Analytics i afsnittet Konfiguration i navigationsmenuen Microsoft Sentinel.

   Defender-portal

   I navigationsmenuen Microsoft Defender skal du udvide Microsoft Sentinel og derefter Konfiguration. Vælg Analyse.

2. Vælg en planlagt forespørgselsregel, og vælg Rediger i detaljeruden. Du kan også oprette en ny regel ved at klikke på Opret > planlagt forespørgselsregel øverst på skærmen.

3. Vælg fanen Angiv regellogik . Hvis der er en ny regel, skal du skrive en forespørgsel i vinduet Regelforespørgsel .

4. I afsnittet Forbedring af besked skal du udvide Objekttilknytning.

   

5. I afsnittet Objekttilknytning , der nu er udvidet, skal du vælge Tilføj nyt objekt.

   

6. Vælg en objekttype på rullelisten Objekt .

   

7. Vælg et id for objektet. Identifikatorer er attributter for et objekt, der i tilstrækkelig grad kan identificere det. Vælg et på rullelisten Id , og vælg derefter et datafelt på rullelisten Værdi , der svarer til identifikatoren. Med nogle undtagelser udfyldes listen Værdi af datafelterne i den tabel, der er defineret som emnet for regelforespørgslen.

   Du kan definere op til tre id'er for en given enhedstilknytning. Nogle id'er er påkrævet, andre er valgfrie. Du skal vælge mindst ét påkrævet id. Hvis du ikke gør det, får du en advarselsmeddelelse om, hvilke id'er der kræves. Hvis du vil opnå de bedste resultater – for at opnå maksimal entydig identifikation – skal du bruge stærke identifikatorer , når det er muligt, og hvis du bruger flere stærke identifikatorer, vil det give større korrelation mellem datakilder. Se den komplette liste over tilgængelige enheder og identifikatorer.

   

8. Vælg Tilføj nyt objekt for at tilknytte flere objekter. Du kan definere op til ti objekttilknytninger i en enkelt analyseregel. Du kan også tilknytte mere end én af samme type. Du kan f.eks. tilknytte to IP-enheder , ét fra et kilde-IP-adressefelt og et fra et destinations-IP-adressefelt . På denne måde kan du spore dem begge.

   Hvis du skifter mening, eller hvis du har lavet en fejl, kan du fjerne en objekttilknytning ved at klikke på ikonet papirkurv ud for rullelisten for enheden.

9. Når du er færdig med at tilknytte objekter, skal du klikke på fanen Gennemse og opret . Når regelvalideringen er fuldført, skal du klikke på Gem.

Bemærk!

• Op til 500 enheder samlet kan identificeres i en enkelt besked, der er ligeligt fordelt på alle objekttilknytninger, der er defineret i reglen.

  • Hvis der f.eks. er defineret to objekttilknytninger i reglen, kan hver tilknytning identificere op til 250 enheder. Hvis der er defineret fem tilknytninger, kan hver af dem identificere op til 100 enheder osv.
  • Flere tilknytninger af en enkelt objekttype (f.eks. kilde-IP og destinations-IP) tæller hver for sig.
  • Hvis en besked indeholder elementer, der overstiger denne grænse, genkendes og udtrækkes disse overskydende elementer ikke som enheder.

• Størrelsesgrænsen for hele objektområdet for en besked (feltet Enheder ) er 64 KB.

  • Objekter , der bliver større end 64 KB, afkortes. Efterhånden som enheder identificeres, føjes de til beskeden én efter én, indtil feltstørrelsen når 64 KB, og alle enheder, der endnu ikke er identificeret, fjernes fra beskeden.

Noter om den nye version

• Da den nye version nu er offentlig tilgængelig, er den midlertidige løsning med funktionsflag til brug af den gamle version ikke længere tilgængelig.

• Hvis du tidligere har defineret objekttilknytninger for denne analyseregel ved hjælp af den gamle version, konverteres de automatisk til den nye version.

Næste trin

I dette dokument har du lært, hvordan du knytter datafelter til objekter i Microsoft Sentinel analyseregler. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:

• Udforsk de andre måder at forbedre dine beskeder på:
  • Surface brugerdefinerede hændelsesoplysninger i beskeder i Microsoft Sentinel
  • Tilpas beskedoplysninger i Microsoft Sentinel
• Få det komplette billede af regler for planlagt forespørgselsanalyse.
• Få mere at vide om objekter i Microsoft Sentinel.