Zuordnen von Datenfeldern zu Entitäten in Microsoft Sentinel

Die Entitätszuordnung ist ein integraler Bestandteil der Konfiguration geplanter Analyseregeln. Es reichert die Ausgabe der Regeln (Warnungen und Vorfälle) mit wichtigen Informationen an, die als Bausteine für alle folgenden Ermittlungsprozesse und Abhilfemaßnahmen dienen.

Das unten beschriebene Verfahren ist Teil des Assistenten zum Erstellen von Analyseregeln. Es wird hier unabhängig behandelt, um das Szenario des Hinzufügens oder Änderns von Entitätszuordnungen in einer vorhandenen Analyseregel zu behandeln.

Wichtig

• Unter "Hinweise zur neuen Version" am Ende dieses Dokuments finden Sie wichtige Informationen zur Abwärtskompatibilität und den Unterschieden zwischen der neuen und der alten Version der Entitätszuordnung.
• Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch integriert und an das Defender-Portal umgeleitet. Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfiehlt es sich, mit der Planung des Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen. Weitere Informationen finden Sie unter It's Time to Move: Reaktivierung Microsoft Sentinel Azure-Portal für mehr Sicherheit.

Zuordnen von Entitäten

1. Geben Sie die Seite Analyse im Portal ein, über die Sie auf Microsoft Sentinel zugreifen:

   Azure-Portal

   Wählen Sie im Abschnitt Konfiguration des navigationsmenüs Microsoft Sentinel die Option Analyse aus.

   Defender-Portal

   Erweitern Sie im Microsoft Defender Navigationsmenü Microsoft Sentinel und dann Konfiguration. Wählen Sie Analytics aus.

2. Wählen Sie eine geplante Abfrageregel und dann im Detailbereich Bearbeiten aus. Oder erstellen Sie eine neue Regel, indem Sie oben auf dem Bildschirm auf Geplante Abfrageregel erstellen > klicken.

3. Wählen Sie die Registerkarte Regellogik festlegen aus. Wenn eine neue Regel vorhanden ist, geben Sie im Fenster Regelabfrage eine Abfrage ein.

4. Erweitern Sie im Abschnitt Warnungserweiterungdie Option Entitätszuordnung.

   

5. Wählen Sie im jetzt erweiterten Abschnitt Entitätszuordnung die Option Neue Entität hinzufügen aus.

   

6. Wählen Sie in der Dropdownliste Entität einen Entitätstyp aus.

   

7. Wählen Sie einen Bezeichner für die Entität aus. Bezeichner sind Attribute einer Entität, die sie ausreichend identifizieren können. Wählen Sie einen aus der Dropdownliste Bezeichner und dann ein Datenfeld aus der Dropdownliste Wert aus, das dem Bezeichner entspricht. Mit einigen Ausnahmen wird die Liste Wert durch die Datenfelder in der Tabelle aufgefüllt, die als Betreff der Regelabfrage definiert sind.

   Sie können bis zu drei Bezeichner für eine bestimmte Entitätszuordnung definieren. Einige Bezeichner sind erforderlich, andere sind optional. Sie müssen mindestens einen erforderlichen Bezeichner auswählen. Ist dies nicht der Fall, werden Sie in einer Warnmeldung darüber informiert, welche Bezeichner erforderlich sind. Um optimale Ergebnisse zu erzielen – für eine maximale eindeutige Identifizierung – sollten Sie nach Möglichkeit starke Bezeichner verwenden, und die Verwendung mehrerer starker Bezeichner ermöglicht eine größere Korrelation zwischen Datenquellen. Sehen Sie sich die vollständige Liste der verfügbaren Entitäten und Bezeichner an.

   

8. Wählen Sie Neue Entität hinzufügen aus, um weitere Entitäten zuzuordnen. Sie können bis zu zehn Entitätszuordnungen in einer einzelnen Analyseregel definieren. Sie können auch mehrere desselben Typs zuordnen. Sie können beispielsweise zwei IP-Entitäten zuordnen, eine aus einem Quell-IP-Adressfeld und eine aus einem Ziel-IP-Adressfeld . Auf diese Weise können Sie beide nachverfolgen.

   Wenn Sie Ihre Meinung ändern oder einen Fehler gemacht haben, können Sie eine Entitätszuordnung entfernen, indem Sie auf das Papierkorbsymbol neben der Dropdownliste der Entität klicken.

9. Wenn Sie die Zuordnung von Entitäten abgeschlossen haben, klicken Sie auf die Registerkarte Überprüfen und erstellen . Sobald die Regelüberprüfung erfolgreich war, klicken Sie auf Speichern.

Hinweis

• Bis zu 500 Entitäten können in einer einzigen Warnung identifiziert werden, die gleichmäßig auf alle in der Regel definierten Entitätszuordnungen aufgeteilt werden.

  • Wenn beispielsweise zwei Entitätszuordnungen in der Regel definiert sind, kann jede Zuordnung bis zu 250 Entitäten identifizieren. Wenn fünf Zuordnungen definiert sind, kann jede bis zu 100 Entitäten identifizieren usw.
  • Mehrere Zuordnungen eines einzelnen Entitätstyps (z. B. Quell-IP und Ziel-IP) werden jeweils separat gezählt.
  • Wenn eine Warnung Elemente enthält, die diesen Grenzwert überschreiten, werden diese überschüssigen Elemente nicht erkannt und als Entitäten extrahiert.

• Die Größenbeschränkung für den gesamten Entitätsbereich einer Warnung (das Feld Entitäten ) beträgt 64 KB.

  • Entitätsfelder , die größer als 64 KB sind, werden abgeschnitten. Wenn Entitäten identifiziert werden, werden sie der Warnung nacheinander hinzugefügt, bis die Feldgröße 64 KB erreicht und alle entitäten, die noch nicht identifiziert wurden, aus der Warnung gelöscht werden.

Hinweise zur neuen Version

• Da die neue Version jetzt allgemein verfügbar (GA) ist, ist die Problemumgehung des Featureflags zur Verwendung der alten Version nicht mehr verfügbar.

• Wenn Sie zuvor Entitätszuordnungen für diese Analyseregel mit der alten Version definiert haben, werden diese automatisch in die neue Version konvertiert.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Datenfelder Entitäten in Microsoft Sentinel Analyseregeln zuordnen. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

• Erkunden Sie die anderen Möglichkeiten, Ihre Warnungen anzureichern:
  • Details zu benutzerdefinierten Surface-Ereignissen in Warnungen in Microsoft Sentinel
  • Anpassen von Warnungsdetails in Microsoft Sentinel
• Erhalten Sie ein vollständiges Bild zu geplanten Abfrageanalyseregeln.
• Erfahren Sie mehr über Entitäten in Microsoft Sentinel.