Klassifizieren und Analysieren von Daten mithilfe von Entitäten in Microsoft Sentinel

  • Artikel
  • 3 Minuten Lesedauer

Wenn Warnungen an Microsoft Sentinel gesendet oder von Microsoft Sentinel generiert werden, enthalten sie Datenelemente, die Sentinel erkennen und in Kategorien wie Entitäten einordnen kann. Wenn Microsoft Sentinel versteht, welche Art von Entität ein bestimmtes Datenelement darstellt, kennt Sentinel die richtigen Fragen, die es dazu gestellt werden müssen, und kann dann Erkenntnisse zu diesem Element über die gesamte Bandbreite von Datenquellen hinweg vergleichen, leicht nachverfolgen und während der gesamten Sentinel-Erfahrung darauf verweisen: Analysen, Untersuchungen, Abhilfemaßnahmen, Hunting usw. Einige gängige Beispiele für Entitäten sind Benutzer, Hosts, Dateien, Prozesse, IP-Adressen und URLs.

Entitätsbezeichner

Microsoft Sentinel unterstützt eine Vielzahl von Entitätstypen. Jeder Typ verfügt über eigene eindeutige Attribute, einschließlich einiger, mit denen eine bestimmte Entität identifiziert werden kann. Diese Attribute werden als Felder in der Entität dargestellt und als Bezeichner bezeichnet. Unten finden Sie die vollständige Liste der unterstützten Entitäten und ihrer Bezeichner.

Starke und schwache Bezeichner

Wie bereits erwähnt, gibt es für jeden Entitätstyp Felder oder Sätze von Feldern, die diesen identifizieren können. Diese Felder oder Gruppen von Feldern können als starke Bezeichner bezeichnet werden, wenn sie eine Entität eindeutig identifizieren können, oder als schwache Bezeichner, wenn sie eine Entität unter bestimmten Umständen identifizieren können, aber nicht garantiert wird, dass sie eine Entität in allen Fällen eindeutig identifizieren. In vielen Fällen kann jedoch eine Auswahl von schwachen Bezeichnern kombiniert werden, um einen starken Bezeichner zu erhalten.

Zum Beispiel können Benutzerkonten als Kontoentitäten auf mehr als eine Weise identifiziert werden: über einen einzelnen starken Bezeichner wie den numerischen Bezeichner eines Azure AD-Kontos (das Feld GUID) oder ihren Wert für den Benutzerprinzipalnamen (User Principal Name, UPN) oder alternativ über eine Kombination von schwachen Bezeichnern, etwa anhand der Felder Name und NTDomain. Verschiedene Datenquellen können denselben Benutzer auf unterschiedliche Weise identifizieren. Wenn Microsoft Sentinel auf zwei Entitäten stößt, die anhand ihrer Bezeichner als dieselbe Entität erkannt werden können, führt Sentinel die beiden Entitäten in einer einzigen Entität zusammen, damit diese ordnungsgemäß und konsistent behandelt werden kann.

Wenn jedoch einer Ihrer Ressourcenanbieter eine Warnung erstellt, in der eine Entität nicht ausreichend identifiziert ist (z. B. durch Verwendung nur eines einzelnen schwachen Bezeichners wie eines Benutzernamens ohne den Kontext des Domänennamens), dann kann die Benutzerentität nicht mit anderen Instanzen desselben Benutzerkontos gemergt werden. Diese anderen Instanzen würden als separate Entitäten identifiziert, und diese beiden Entitäten bleiben getrennt, anstatt vereinheitlicht zu werden.

Sie sollten sich vergewissern, dass alle Ihre Anbieter von Warnungen die Entitäten in den von ihnen erstellten Warnungen richtig identifizieren, um das Risiko eines solchen Ereignisses zu minimieren. Zusätzlich kann die Synchronisierung von Benutzerkontoentitäten mit Azure Active Directory ein vereinheitlichendes Verzeichnis erstellen, das in der Lage ist, Benutzerkontoentitäten zusammenzuführen.

Unterstützte Entitäten

Die folgenden Arten von Entitäten werden derzeit in Microsoft Sentinel identifiziert:

  • Benutzerkonto
  • Host
  • IP address (IP-Adresse)
  • Malware
  • Datei
  • Prozess
  • Cloudanwendung
  • Domänenname
  • Azure-Ressource
  • Dateihash
  • Registrierungsschlüssel
  • Registrierungswert
  • Sicherheitsgruppe
  • URL
  • IoT-Gerät
  • Mailbox
  • E-Mail-Cluster
  • E-Mail
  • Übermittlungs-E-Mail

Sie können die Bezeichner dieser Entitäten und andere relevante Informationen in der Entitätenreferenz einsehen.

Entitätszuordnung

Wie erkennt Microsoft Sentinel ein Datenelement in einer Warnung als Identifizierung einer Entität?

Sehen wir uns an, wie die Datenverarbeitung in Microsoft Sentinel erfolgt. Daten werden aus verschiedenen Quellen über Connectors erfasst, sei es zwischen Diensten, Agent-basiert oder über einen Syslog-Dienst und eine Protokollweiterleitung. Die Daten werden in Tabellen in Ihrem Log Analytics Arbeitsbereich gespeichert. Diese Tabellen werden dann in regelmäßigen Intervallen anhand der von Ihnen definierten und aktivierten Analyseregeln abgefragt. Eine der zahlreichen Aktionen, die von diesen Analyseregeln ausgeführt werden, ist die Zuordnung von Datenfeldern in den Tabellen zu von Microsoft Sentinel erkannten Entitäten. Gemäß den Zuordnungen, die Sie in Ihren Analyseregeln definieren, verwendet Microsoft Sentinel Felder aus den von Ihrer Abfrage zurückgegebenen Ergebnissen, erkennt sie anhand der Bezeichner, die Sie für jeden Entitätstyp angegeben haben, und wendet auf sie den durch diese Bezeichner identifizierten Entitätstyp an.

Wozu das alles?

Wenn Microsoft Sentinel in der Lage ist, Entitäten in Warnungen aus verschiedenen Arten von Datenquellen zu identifizieren, und vor allem, wenn dies mit starken Bezeichnern erfolgen kann, die jeder Datenquelle oder einem dritten Schema gemeinsam sind, kann Sentinel dann leicht zwischen all diesen Warnungen und Datenquellen eine Korrelation herstellen. Diese Korrelationen helfen dabei, einen umfangreichen Speicher mit Informationen und Erkenntnissen zu den Entitäten zu erstellen, der Ihnen eine solide Grundlage für Ihre Sicherheitsmaßnahmen bietet.

Erfahren Sie, wie Sie Datenfelder Entitäten zuordnen.

Erfahren Sie, welche Bezeichner eine Entität stark identifizieren.

Entitätsseiten

Informationen zu Entitätsseiten finden Sie jetzt unter Untersuchen von Entitäten mit Entitätsseiten in Microsoft Sentinel.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie mit Entitäten in Microsoft Sentinel arbeiten. Eine praktische Anleitung zur Implementierung und zur Verwendung der gewonnenen Erkenntnisse finden Sie in den folgenden Artikeln: