Zuordnen von Datenfeldern zu Entitäten in Microsoft Sentinel

Wichtig

  • Wichtige Informationen zur Abwärtskompatibilität und zu den Unterschieden zwischen der neuen und alten Version der Entitätszuordnung finden Sie unter Hinweise zur neuen Version am Ende dieses Dokuments.

Einführung

Die Entitätszuordnung ist ein wesentlicher Bestandteil der Konfiguration von Analyseregeln mit geplanter Abfrage. Dadurch wird die Ausgabe der Regeln (Warnungen und Vorfälle) um wesentliche Informationen erweitert, die als Bausteine für alle nachfolgenden Untersuchungsprozesse und Korrekturmaßnahmen dienen.

Das unten beschriebene Verfahren ist Teil des Assistenten zum Erstellen von Analyseregeln. Es wird hier separat beschrieben, um das Szenario für das Hinzufügen oder Ändern von Entitätszuordnungen in einer vorhandenen Analyseregel zu erläutern.

Zuordnen von Entitäten

  1. Klicken Sie im Microsoft Sentinel-Navigationsmenü auf Analytics.

  2. Wählen Sie eine geplante Abfrageregel und dann im Detailbereich Bearbeiten aus. Oder erstellen Sie eine neue Regel, indem Sie oben auf dem Bildschirm auf Erstellen und Geplante Abfrageregel klicken.

  3. Wählen Sie die Registerkarte Regellogik festlegen aus.

  4. Erweitern Sie im Abschnitt Warnungsanreicherung den Bereich Entitätszuordnung.

    Erweitern der Entitätszuordnung

  5. Wählen Sie im jetzt erweiterten Abschnitt Entitätszuordnung in der Dropdownliste Entitätstyp einen Entitätstyp aus.

    Auswählen eines Entitätstyps

  6. Wählen Sie einen Bezeichner für die Entität aus. Bezeichner sind Attribute einer Entität, die diese ausreichend identifizieren können. Wählen Sie einen Bezeichner in der Dropdownliste Bezeichner und dann in der Dropdownliste Wert ein Datenfeld aus, das dem Bezeichner entspricht. Mit wenigen Ausnahmen wird die Liste Wert durch die Datenfelder in der Tabelle gefüllt, die als Gegenstand der Regelabfrage definiert ist.

    Pro Entität können Sie bis zu drei Bezeichner definieren. Einige Bezeichner sind erforderlich, andere dagegen optional. Sie müssen mindestens einen erforderlichen Bezeichner auswählen. Andernfalls werden Sie in einer Warnmeldung auf die erforderlichen Bezeichner hingewiesen. Um optimale Ergebnisse (die bestmögliche eindeutige Identifizierung) zu erzielen, sollten Sie nach Möglichkeit starke Bezeichner verwenden. Die Verwendung mehrerer starker Bezeichner ermöglicht eine größere Korrelation zwischen Datenquellen. Die vollständige Liste der verfügbaren Entitäten und Bezeichner finden Sie hier.

    Zuordnen von Feldern zu Entitäten

  7. Klicken Sie auf Neue Entität hinzufügen, um weitere Entitäten zuzuordnen. Sie können bis zu fünf Entitäten in einer Analyseregel zuordnen. Außerdem können Sie mehrere Entitäten desselben Typs zuordnen. Beispielsweise können Sie zwei IP-Entitäten zuordnen: eine aus dem Feld Quell-IP-Adresse und eine aus dem Feld Ziel-IP-Adresse. So können beide nachverfolgt werden.

    Wenn Sie Ihre Meinung ändern oder einen Fehler verursacht haben, können Sie eine Entitätszuordnung entfernen, indem Sie auf das Papierkorbsymbol neben der Dropdownliste der Entität klicken.

  8. Klicken Sie nach der Zuordnung der Entitäten auf die Registerkarte Überprüfen und erstellen. Klicken Sie nach der erfolgten Regelüberprüfung auf Speichern.

Hinweis

  • Jede zugeordnete Entität kann bis zu zehn Entitätenidentifizieren.

    • Wenn eine Warnung mehr als zehn Elemente enthält, die einer einzelnen Entitätszuordnung entsprechen, werden nur die ersten zehn als Entitäten erkannt und können als solche analysiert werden.
    • Diese Einschränkung gilt für tatsächliche Zuordnungen, nicht für Entitätstypen. Wenn Sie also über drei verschiedene zugeordnete Entitäten für IP-Adressen verfügen (z. B. Quelle, Ziel und Gateway), kann jede dieser Zuordnungen zehn Entitäten aufnehmen.
  • Die Größenbeschränkung für eine gesamte Warnung beträgt 64 KB.

    • Warnungen, die größer als 64 KB werden, werden abgeschnitten. Wenn Entitäten identifiziert werden, werden sie der Warnung nacheinander hinzugefügt, bis die Warnungsgröße 64 KB erreicht und alle verbleibenden Entitäten aus der Warnung gelöscht werden.

Hinweise zur neuen Version

  • Da die neue Version jetzt allgemein verfügbar ist (GA), ist die Feature-Flag-Problemumgehung zur Verwendung der alten Version nicht mehr verfügbar.

  • Wenn Sie zuvor Entitätszuordnungen für diese Analyseregel mithilfe der alten Version definiert haben, werden diese automatisch in die neue Version konvertiert.

Nächste Schritte

In diesem Dokument wurde beschrieben, wie Sie Datenfelder Entitäten in Microsoft Sentinel-Analyseregeln zuordnen. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: