Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Warnungen an Microsoft Sentinel gesendet oder von Microsoft Sentinel generiert werden, enthalten sie Datenelemente, die Sentinel als Entitäten erkennen und in Kategorien klassifizieren können. Wenn Microsoft Sentinel versteht, welche Art von Entität ein bestimmtes Datenelement darstellt, kennt er die richtigen Fragen, die es zu stellen gilt, und kann dann Erkenntnisse zu diesem Element über den gesamten Bereich von Datenquellen hinweg vergleichen, es einfach nachverfolgen und während der gesamten Sentinel Erfahrung – Analyse, Untersuchung, Korrektur, Suche usw. – darauf verweisen. Einige gängige Beispiele für Entitäten sind Benutzerkonten, Hosts, Postfächer, IP-Adressen, Dateien, Cloudanwendungen, Prozesse und URLs.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Im Microsoft Defender-Portal fallen Entitäten in der Regel in zwei Hauptkategorien:
| Entitätskategorie | Charakterisierung | Hauptbeispiele |
|---|---|---|
| Objekte | ||
| Andere Entitäten (Beweis) |
Entitätsbezeichner
Microsoft Sentinel unterstützt eine Vielzahl von Entitätstypen. Jeder Typ verfügt über eigene eindeutige Attribute, die als Felder im Entitätsschema dargestellt werden und als Bezeichner bezeichnet werden. Sehen Sie sich unten die vollständige Liste der unterstützten Entitäten und den vollständigen Satz von Entitätsschemas und Bezeichnern in Microsoft Sentinel Entitätstypenreferenz an.
Starke und schwache Bezeichner
Für jeden Entitätstyp gibt es Felder oder Sätze von Feldern, die bestimmte Instanzen dieser Entität identifizieren können. Diese Felder oder Sätze von Feldern können als starke Bezeichner bezeichnet werden, wenn sie eine Entität eindeutig ohne Mehrdeutigkeit identifizieren können, oder als schwache Bezeichner , wenn sie eine Entität unter bestimmten Umständen identifizieren können, aber nicht garantiert sind, dass sie eine Entität in allen Fällen eindeutig identifizieren. In vielen Fällen kann jedoch eine Auswahl schwacher Bezeichner kombiniert werden, um einen starken Bezeichner zu erzeugen.
Benutzerkonten können beispielsweise auf mehr als eine Weise als Kontoentitäten identifiziert werden: mithilfe eines einzelnen starken Bezeichners wie dem numerischen Bezeichner eines Microsoft Entra Kontos (das GUID-Feld) oder dem Wert des Benutzerprinzipalnamens (USER Principal Name, UPN) oder alternativ mithilfe einer Kombination aus schwachen Bezeichnern wie den Feldern Name und NTDomain. Unterschiedliche Datenquellen können denselben Benutzer auf unterschiedliche Weise identifizieren. Wenn Microsoft Sentinel auf zwei Entitäten trifft, die sie basierend auf ihren Bezeichnern als dieselbe Entität erkennen kann, werden die beiden Entitäten zu einer einzelnen Entität zusammengeführt, sodass sie ordnungsgemäß und konsistent behandelt werden kann.
Wenn jedoch einer Ihrer Ressourcenanbieter eine Warnung erstellt, in der eine Entität nicht ausreichend identifiziert wird (z. B. nur mit einem einzelnen schwachen Bezeichner wie einem Benutzernamen ohne domänennamenskontext), kann die Benutzerentität nicht mit anderen Instanzen desselben Benutzerkontos zusammengeführt werden. Diese anderen Instanzen werden als separate Entität identifiziert, und diese beiden Entitäten bleiben getrennt und nicht vereinheitlicht.
Um das Risiko zu minimieren, sollten Sie überprüfen, ob alle Ihre Warnungsanbieter die Entitäten in den von ihnen erzeugten Warnungen ordnungsgemäß identifizieren. Darüber hinaus kann durch die Synchronisierung von Benutzerkontoentitäten mit Microsoft Entra ID ein vereinheitlichendes Verzeichnis erstellt werden, das Benutzerkontoentitäten zusammenführen kann.
Unterstützte Entitäten
Die folgenden Entitätstypen werden derzeit in Microsoft Sentinel identifiziert:
- Account
- Host
- IP-Adresse
- URL
- Azure-Ressource
- Cloudanwendung
- DNS-Auflösung
- Datei
- Dateihash
- Schadsoftware
- Prozess
- Registrierungsschlüssel
- Registrierungswert
- Sicherheitsgruppe
- Postfach
- E-Mail-Cluster
- E-Mail-Nachricht
- Übermittlungs-E-Mail
Sie können die Bezeichner dieser Entitäten und andere relevante Informationen in der Entitätsreferenz anzeigen.
Entitätszuordnung
Wie erkennt Microsoft Sentinel ein Datenelement in einer Warnung als Identifizierung einer Entität?
Sehen wir uns an, wie die Datenverarbeitung in Microsoft Sentinel erfolgt. Daten werden über Connectors aus verschiedenen Quellen erfasst, unabhängig davon, ob es sich um Dienst-zu-Dienst-, Agent- oder API-basierte Verbindungen handelt. Die Daten werden in Tabellen in Ihrem Log Analytics-Arbeitsbereich gespeichert. Diese Tabellen werden in regelmäßigen Abständen von den geplanten analyseregeln oder nahezu in Echtzeit abgefragt, die Sie definiert und aktiviert haben, oder bei Bedarf als Teil von Huntingabfragen, wenn Sie nach Bedrohungen suchen. Teil der Definition dieser Analyseregeln und Hunting-Abfragen ist die Zuordnung von Datenfeldern in den Tabellen zu Entitätstypen, die von Microsoft Sentinel erkannt werden. Gemäß den von Ihnen definierten Zuordnungen übernehmen Microsoft Sentinel Felder aus den ergebnissen, die von Ihrer Abfrage zurückgegeben werden, erkennen sie anhand der Bezeichner, die Sie für jeden Entitätstyp angegeben haben, und wenden ihnen den von diesen Bezeichnern identifizierten Entitätstyp an.
Was ist der Sinn von all dem?
Wenn Microsoft Sentinel in der Lage ist, Entitäten in Warnungen aus verschiedenen Arten von Datenquellen zu identifizieren, und insbesondere, wenn dies mit starken Bezeichnern möglich ist, die für jede Datenquelle oder ein anderes Schema gemeinsam sind, kann es dann problemlos zwischen all diesen Warnungen und Datenquellen korrelieren. Diese Korrelationen tragen dazu bei, einen umfangreichen Informations- und Erkenntnisspeicher über die Entitäten zu schaffen, sodass Sie eine solide Grundlage und einen guten Kontext für die Untersuchung und Reaktion auf Sicherheitsbedrohungen erhalten.
Erfahren Sie, wie Sie Datenfelder Entitäten zuordnen.
Erfahren Sie , welche Bezeichner eine Entität stark identifizieren.
Entitätsseiten
Informationen zu Entitätsseiten finden Sie jetzt unter Entitätsseiten in Microsoft Sentinel.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie mit Entitäten in Microsoft Sentinel arbeiten. Praktische Anleitungen zur Implementierung und zur Nutzung der gewonnenen Erkenntnisse finden Sie in den folgenden Artikeln:
- Aktivieren Sie die Analyse des Entitätsverhaltens in Microsoft Sentinel.
- Suchen nach Sicherheitsbedrohungen.