Freigeben über


Entitätsseiten in Microsoft Sentinel

Wenn Sie bei der Untersuchung eines Vorfalls auf ein Benutzerkonto, einen Hostnamen, eine IP-Adresse oder eine Azure-Ressource stoßen, möchten Sie vielleicht mehr darüber erfahren. So möchten Sie z. B. den Verlauf seiner Aktivitäten kennen, ob er in anderen Warnungen oder Vorfällen aufgetaucht ist, ob er etwas Unerwartetes oder Ungewöhnliches vorgenommen hat usw. Kurz gesagt, Sie möchten Informationen, die Ihnen helfen, die Art der Bedrohung, die diese Entitäten darstellen, zu bestimmen und Ihre Ermittlungen entsprechend zu lenken.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Entitätsseiten

In diesen Fällen können Sie die Entität auswählen (sie wird als klickbarer Link angezeigt) und zu einer Entitätsseite weitergeleitet, einem Datenblatt mit nützlichen Informationen zu dieser Entität. Sie können auch auf einer Entitätsseite ankommen, indem Sie direkt auf der Microsoft Sentinel-Entitätsverhaltensseite nach Entitäten suchen. Zu den Informationen auf Entitätsseiten gehören grundlegende Fakten über die Entität, eine Zeitachse mit für diese Entität wichtigen Ereignissen sowie Erkenntnisse über das Verhalten der Entität.

Genauer gesagt bestehen Entitätsseiten aus drei Teilen:

  • Der linke Bereich enthält Informationen zur Identifizierung der Entität, die über Datenquellen wie Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog und Microsoft Defender XDR (mit all seinen Komponenten) erfasst werden.

  • Im mittleren Bereich wird eine grafische und textbezogene Zeitachse mit wichtigen Ereignissen im Zusammenhang mit der Entität angezeigt, z. B. Warnungen, Lesezeichen, Anomalien und Aktivitäten. Aktivitäten sind Aggregationen von wichtigen Ereignissen von Log Analytics. Die Abfragen, die diese Aktivitäten erkennen, werden von Microsoft-Sicherheitsforschungsteams entwickelt, und Sie können jetzt Eigene benutzerdefinierte Abfragen hinzufügen, um Aktivitäten Ihrer Wahl zu erkennen .

  • Im rechten Bereich werden verhaltensbezogene Einblicke in die Entität dargestellt. Diese Erkenntnisse werden von den Microsoft-Sicherheitsexpertenteams kontinuierlich weiterentwickelt. Sie basieren auf verschiedenen Datenquellen und stellen Kontext für die Entität und deren beobachtete Aktivitäten bereit, sodass Sie schnell anomales Verhalten und Sicherheitsbedrohungen erkennen können.

Wenn Sie einen Vorfall mithilfe der neuen Untersuchungsoberfläche untersuchen, können Sie direkt auf der Seite "Vorfalldetails" eine panelisierte Version der Entitätsseite anzeigen. Sie haben eine Liste aller Entitäten in einem bestimmten Vorfall, und die Auswahl einer Entität öffnet ein Seitenpanel mit drei "Karten", "Info", "Zeitachse" und "Insights", die alle oben beschriebenen Informationen innerhalb des spezifischen Zeitrahmens anzeigt, der mit der der Warnung im Vorfall übereinstimmt.

Wenn Sie Microsoft Sentinel im Defender-Portal verwenden, werden die Zeitachse und Einblicke-Bereiche auf der Registerkarte „Sentinel-Ereignisse“ der Defender-Entitätsseite angezeigt.

Die Zeitachse

Die Zeitachse auf der Registerkarte Sentinel-Ereignisse fügt einen wesentlichen Teil des Beitrags der Entitätsseite zur Verhaltensanalyse im Defender-Portal hinzu. Sie stellt den Verlauf von für eine Entität wichtigen Ereignissen dar, sodass Sie sich einen Überblick über die Aktivitäten der Entität innerhalb eines bestimmten Zeitraums verschaffen können.

Insbesondere sehen Sie auf der Sentinel-Ereigniszeitachse Warnungen und Ereignisse aus Drittanbieterquellen, die nur von Microsoft Sentinel gesammelt werden, z. B. syslog/CEF und benutzerdefinierte Protokolle, die über den Azure Monitor Agent oder benutzerdefinierte Connectors aufgenommen wurden.

Die folgenden Elemente sind auf der Zeitachse enthalten.

  • Warnungen: Alle Warnungen, in denen die Entität als zugeordnete Entität definiert ist. Wenn Ihre Organisation benutzerdefinierte Warnungen mithilfe von Analyseregeln erstellt hat, stellen Sie sicher, dass die Entitätszuordnung der Regeln ordnungsgemäß ausgeführt wird.

  • Lesezeichen: Alle Lesezeichen, die die spezifische Entität enthalten, die auf der Seite angezeigt wird.

  • Anomalien: UEBA-Erkennungen basierend auf dynamischen Basiswerten, die für jede Entität über verschiedene Dateneingaben und gegen ihre eigenen historischen Aktivitäten, die ihrer Peers und die der Organisation als Ganzes erstellt wurden.

  • Aktivitäten: Aggregation wichtiger Ereignisse im Zusammenhang mit der Entität. Eine vielzahl von Aktivitäten werden automatisch gesammelt, und Sie können diesen Abschnitt jetzt anpassen, indem Sie Eigene Aktivitäten hinzufügen .

    Für Geräteentitäten wurde im Januar 2025 ein neuer Aktivitätstyp hinzugefügt. Diese Aktivität umfasst verworfenen, blockierten oder verweigerten Netzwerkdatenverkehr, der von einem bestimmten Gerät ausgeht, basierend auf Daten, die von branchenführenden Netzwerkgeräteprotokollen gesammelt wurden. Diese Protokolle liefern Ihren Sicherheitsteams wichtige Informationen, um potenzielle Bedrohungen schnell zu erkennen und zu bekämpfen.

Ab Januar 2025 sind Aktivitäten für die Geräteentität auf der Hauptregisterkarte "Zeitachse" der Geräteentitätsseite sowie auf der Sentinel-Ereignisregisterkarte wie zuvor sichtbar. Weitere Informationen finden Sie unter Unified Timeline (Vorschau).

Screenshot eines Beispiels für eine Zeitachse auf einer Entitätsseite im Defender-Portal.

Diese Zeitachse zeigt Informationen aus den letzten 24 Stunden an. Dieser Zeitraum ist derzeit nicht anpassbar.

Erkenntnisse über Entitäten

Bei Erkenntnissen über Entitäten handelt es sich um Abfragen, die von Microsoft-Sicherheitsexperten definiert werden, um Ihren Analysten eine effizientere und effektivere Untersuchung zu ermöglichen. Die Erkenntnisse werden auf der Entitätsseite angezeigt. Sie stellen wichtige Sicherheitsinformationen über Hosts und Benutzer in Form von Tabellendaten und -diagrammen bereit. Dadurch, dass die Informationen hier angezeigt werden, müssen Sie keinen Umweg über Log Analytics machen. Zu den Erkenntnissen zählen Daten zu Anmeldungen, Gruppenerweiterungen, anomalen Ereignissen und vielem mehr sowie intelligente ML-Algorithmen zur Erkennung von anormalem Verhalten.

Die Erkenntnisse basieren auf den folgenden Datenquellen:

  • Syslog (Linux)
  • Sicherheitsereignis (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor-Agent)
  • CommonSecurityLog (Microsoft Sentinel)

Im Allgemeinen wird jeder auf der Entitätsseite angezeigte Entitätseinblick mit einem Link begleitet, über den Sie zu einer Seite gelangen, auf der die Abfrage, die dem Einblick zugrunde liegt, zusammen mit den Ergebnissen angezeigt wird, sodass Sie die Ergebnisse genauer untersuchen können.

  • In Microsoft Sentinel im Azure-Portal gelangen Sie über den Link zur Seite "Protokolle ".
  • Im Microsoft Defender-Portal gelangen Sie über den Link zur Seite " Erweiterte Suche ".

Verwenden von Entitätsseiten

Entitätsseiten sind für mehrere Verwendungsszenarien konzipiert und können über die Vorfallverwaltung, das Untersuchungsdiagramm, Lesezeichen oder direkt von der Entitätssuchseite unter Entity behavior im Hauptmenü von Microsoft Sentinel aufgerufen werden.

Diagramm der Bereiche, aus denen Sie auf Entitätsseiten zugreifen können, die den Anwendungsfällen entsprechen.

Entitätsseiteninformationen werden in der BehaviorAnalytics-Tabelle gespeichert, die in der Microsoft Sentinel UEBA-Referenz ausführlich beschrieben wird.

Unterstützte Entitätsseiten

Microsoft Sentinel bietet derzeit die folgenden Entitätsseiten:

  • Benutzerkonto

  • Gastgeber

  • IP-Adresse (Vorschau)

    Hinweis

    Die IP-Adressseite (jetzt in der Vorschau) enthält Geolokalisierungsdaten, die vom Microsoft Threat Intelligence-Dienst bereitgestellt werden. Dieser Dienst kombiniert Geolocationdaten von Microsoft-Lösungen sowie Drittanbietern und Partnern. Die Daten stehen dann für Analyse und Untersuchung im Kontext eines Sicherheitsvorfalls zur Verfügung. Weitere Informationen finden Sie unter " Anreichern von Entitäten in Microsoft Sentinel mit Geolocation-Daten über DIE REST-API (öffentliche Vorschau)".

  • Azure-Ressource (Vorschau)

  • IoT-Gerät (Vorschau) – derzeit nur in Microsoft Sentinel im Azure-Portal.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Informationen über Entitäten in Microsoft Sentinel mithilfe von Entitätsseiten erhalten. Weitere Informationen über Entitäten und wie Sie sie verwenden können, finden Sie in den folgenden Artikeln: