Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Warnungen an Microsoft Sentinel gesendet oder generiert werden, enthalten sie Datenelemente, die Sentinel als Entitäten erkennen und in Kategorien klassifizieren kann. Wenn Microsoft Sentinel versteht, welche Art von Entität ein bestimmtes Datenelement darstellt, kennt Sentinel die richtigen Fragen, die es dazu gestellt werden müssen, und kann dann Erkenntnisse zu diesem Element über die gesamte Bandbreite von Datenquellen hinweg vergleichen, leicht nachverfolgen und während der gesamten Sentinel-Erfahrung darauf verweisen: Analysen, Untersuchungen, Abhilfemaßnahmen, Hunting usw. Einige häufige Beispiele für Entitäten sind Benutzerkonten, Hosts, Postfächer, IP-Adressen, Dateien, Cloudanwendungen, Prozesse und URLs.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Im Microsoft Defender-Portal fallen Entitäten in der Regel in zwei Hauptkategorien:
| Entitätskategorie | Eigenschaften | Hauptbeispiele |
|---|---|---|
| Objekte | ||
| Andere Entitäten (Nachweise) |
Entitätsbezeichner
Microsoft Sentinel unterstützt eine Vielzahl von Entitätstypen. Jeder Typ verfügt über eigene eindeutige Attribute, die als Felder im Entitätsschema dargestellt werden und als Bezeichner bezeichnet werden. Sehen Sie sich die vollständige Liste der unterstützten Entitäten unten sowie den vollständigen Satz von Entitätsschemas und Bezeichnern in der Referenz zu Microsoft Sentinel-Entitätstypen an.
Starke und schwache Bezeichner
Für jeden Entitätstyp gibt es Felder oder Sätze von Feldern, die bestimmte Instanzen dieser Entität identifizieren können. Diese Felder oder Sätze von Feldern können als starke Bezeichner bezeichnet werden, wenn sie eine Entität ohne Mehrdeutigkeit eindeutig identifizieren können, oder als schwache Bezeichner , wenn sie eine Entität unter bestimmten Umständen identifizieren können, aber nicht garantiert sind, eine Entität in allen Fällen eindeutig zu identifizieren. In vielen Fällen kann jedoch eine Auswahl von schwachen Bezeichnern kombiniert werden, um einen starken Bezeichner zu erhalten.
Beispielsweise können Benutzerkonten auf mehr als eine Weise als Kontoentitäten identifiziert werden: Die Verwendung eines einzelnen starken Bezeichners wie der numerische Bezeichner eines Microsoft Entra-Kontos (das GUID-Feld ) oder der Wert des Benutzerprinzipalnamens (User Principal Name, UPN) oder alternativ mithilfe einer Kombination von schwachen Bezeichnern wie den Feldern "Name " und "NTDomain ". Verschiedene Datenquellen können denselben Benutzer auf unterschiedliche Weise identifizieren. Wenn Microsoft Sentinel auf zwei Entitäten stößt, die anhand ihrer Bezeichner als dieselbe Entität erkannt werden können, führt Sentinel die beiden Entitäten in einer einzigen Entität zusammen, damit diese ordnungsgemäß und konsistent behandelt werden kann.
Wenn jedoch einer Ihrer Ressourcenanbieter eine Warnung erstellt, in der eine Entität nicht ausreichend identifiziert wird , z. B. nur einen einzelnen schwachen Bezeichner wie einen Benutzernamen ohne den Domänennamenkontext zu verwenden, kann die Benutzerentität nicht mit anderen Instanzen desselben Benutzerkontos zusammengeführt werden. Diese anderen Instanzen würden als separate Entitäten identifiziert, und diese beiden Entitäten bleiben getrennt, anstatt vereinheitlicht zu werden.
Sie sollten sich vergewissern, dass alle Ihre Anbieter von Warnungen die Entitäten in den von ihnen erstellten Warnungen richtig identifizieren, um das Risiko eines solchen Ereignisses zu minimieren. Zusätzlich kann die Synchronisierung von Benutzerkontoentitäten mit Microsoft Entra ID ein vereinigendes Verzeichnis erstellen, das in der Lage ist, Benutzerkontoentitäten zusammenzuführen.
Unterstützte Entitäten
Die folgenden Arten von Entitäten werden derzeit in Microsoft Sentinel identifiziert:
- Konto
- Gastgeber
- IP-Adresse
- URL
- Azure-Ressource
- Cloudanwendung
- DNS-Auflösung
- Datei
- Dateihash
- Malware
- Prozess
- Registrierungsschlüssel
- Registrierungswert
- Sicherheitsgruppe
- Briefkasten
- E-Mail-Cluster
- E-Mail-Nachricht
- Übermittlungs-E-Mail
Sie können die Bezeichner dieser Entitäten und andere relevante Informationen in der Entitätsreferenz anzeigen.
Entitätszuordnung
Wie erkennt Microsoft Sentinel ein Datenelement in einer Warnung als Identifizierung einer Entität?
Sehen wir uns an, wie die Datenverarbeitung in Microsoft Sentinel erfolgt. Daten werden von verschiedenen Quellen über Connectors aufgenommen, unabhängig davon, ob dienst-zu-Dienst, agentbasiert oder API-basiert. Die Daten werden in Tabellen in Ihrem Log Analytics Arbeitsbereich gespeichert. Diese Tabellen werden in regelmäßigen Abständen durch die geplanten oder nahezu echtzeitbasierten Analyseregeln abgefragt, die Sie definiert und aktiviert haben, oder bei Bedarf als Teil der Suchabfragen, wenn Sie nach Bedrohungen suchen. Ein Teil der Definition dieser Analyseregeln und Suchabfragen ist die Zuordnung von Datenfeldern in den Tabellen zu Entitätstypen, die von Microsoft Sentinel erkannt werden. Gemäß den Zuordnungen, die Sie definieren, verwendet Microsoft Sentinel Felder aus den von Ihrer Abfrage zurückgegebenen Ergebnissen, erkennt sie anhand der Bezeichner, die Sie für jeden Entitätstyp angegeben haben, und wendet auf sie den durch diese Bezeichner identifizierten Entitätstyp an.
Wozu das alles?
Wenn Microsoft Sentinel in der Lage ist, Entitäten in Warnungen aus verschiedenen Arten von Datenquellen zu identifizieren, und vor allem, wenn dies mit starken Bezeichnern erfolgen kann, die jeder Datenquelle oder einem anderen Schema gemeinsam sind, kann Sentinel dann leicht zwischen all diesen Warnungen und Datenquellen eine Korrelation herstellen. Diese Korrelationen helfen dabei, einen umfassenden Informationsspeicher und Einblicke in die Entitäten zu schaffen, sodass Sie eine solide Grundlage und einen soliden Kontext für die Untersuchung und Reaktion auf Sicherheitsbedrohungen erhalten.
Erfahren Sie, wie Sie Datenfelder Entitäten zuordnen.
Erfahren Sie , welche Bezeichner eine Entität stark identifizieren.
Entitätsseiten
Informationen zu Entitätsseiten finden Sie jetzt auf Entitätsseiten in Microsoft Sentinel.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie mit Entitäten in Microsoft Sentinel arbeiten. Eine praktische Anleitung zur Implementierung und zur Verwendung der gewonnenen Erkenntnisse finden Sie in den folgenden Artikeln:
- Aktivieren Sie die Entitätsverhaltensanalyse in Microsoft Sentinel.
- Suchen nach Sicherheitsbedrohungen