Tietokenttien yhdistäminen entiteetteihin Microsoft Sentinel

Entiteettien yhdistäminen on olennainen osa ajoitettujen analyysisääntöjen määritystä. Se täydentää sääntöjen tulosta (hälytykset ja tapaukset) olennaisilla tiedoilla, jotka toimivat kaikkien sitä seuraavien tutkintaprosessien ja korjaavien toimien rakenneosana.

Alla kuvattu toimintosarja on osa ohjattua analytiikkasäännön luomista. Sitä käsitellään tässä itsenäisesti, jotta voidaan käsitellä skenaariota entiteettien yhdistämismääritysten lisäämisestä tai muuttamisesta olemassa olevassa analytiikkasäännössä.

Tärkeää

• Lisätietoja yhteensopivuudesta aiempien versioiden ja entiteettien yhdistämismääritysten uusien ja vanhojen versioiden välillä on tämän asiakirjan lopussa kohdassa "Huomautukset uudesta versiosta".
• 31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa. Heinäkuusta 2025 alkaen monet uudet asiakkaat lisätään automaattisesti ja ohjataan Defender-portaaliin. Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta. Lisätietoja on kohdassa Siirron aika: Microsoft Sentinel käytöstä poistamisen Azure-portaali suojauksen lisäämiseksi.

Entiteettien yhdistäminen

1. Anna analytiikkasivu portaalissa, jonka kautta voit käyttää Microsoft Sentinel:

   Azure-portaali

   Valitse Microsoft Sentinel siirtymisvalikon Määritys-osiosta Analytiikka.

   Defender-portaali

   Laajenna Microsoft Defender siirtymisvalikosta Microsoft Sentinel ja sitten Määritys. Valitse Analytiikka.

2. Valitse ajoitettu kyselysääntö ja valitse Tiedot-ruudusta Muokkaa . Voit myös luoda uuden säännön valitsemalla näytön yläreunasta Luo > ajoitettu kyselysääntö .

3. Valitse Aseta sääntölogiikka -välilehti. Jos uusi sääntö, kirjoita kysely Sääntökysely-ikkunaan .

4. Laajenna Ilmoituksen parannus -osiossa Entiteetin yhdistämismääritystä.

   

5. Valitse nyt laajennetussa Entiteetin yhdistämismääritys -osiossa Lisää uusi entiteetti.

   

6. Valitse entiteettityyppi avattavasta Entiteetti-luettelosta .

   

7. Valitse entiteetin tunnus . Tunnisteet ovat entiteetin määritteitä, jotka pystyvät tunnistamaan sen riittävän hyvin. Valitse yksi avattavasta Tunniste-luettelosta ja valitse sitten tietokenttä avattavasta Arvo-luettelosta , joka vastaa tunnusta. Joitakin poikkeuksia lukuun ottamatta Arvo-luettelo täytetään sääntökyselyn aiheeksi määritetyn taulukon tietokentillä.

   Voit määrittää enintään kolme tunnistetta tietylle entiteetin yhdistämismääritykselle. Jotkin tunnisteet ovat pakollisia, toiset valinnaisia. Valitse vähintään yksi pakollinen tunniste. Jos et tee niin, näyttöön tulee varoitussanoma, joka kertoo, mitkä tunnisteet vaaditaan. Jotta saat parhaat tulokset mahdollisimman yksilölliseen tunnistamiseen, käytä vahvoja tunnisteita aina kun se on mahdollista, ja useiden vahvojen tunnisteiden käyttäminen mahdollistaa suuremman korrelaation tietolähteiden välillä. Katso täydellinen luettelo käytettävissä olevista entiteeteistä ja tunnisteista.

   

8. Yhdistä lisää entiteettejä valitsemalla Lisää uusi entiteetti . Voit määrittää enintään kymmenen entiteetin yhdistämismääritystä yksittäisessä analytiikkasäännössä. Voit myös yhdistää useamman kuin yhden samantyyppisen. Voit esimerkiksi yhdistää kaksi IP-entiteettiä , yhden IP-lähdeosoitekentästä ja toisen IP-kohdeosoitekentästä . Näin voit seurata molempia.

   Jos muutat mielesi tai teit virheen, voit poistaa entiteetin yhdistämismäärityksen napsauttamalla avattavan entiteetin luettelon vieressä olevaa roskakorikuvaketta.

9. Kun entiteettien yhdistäminen on valmis, napsauta Tarkista ja luo -välilehteä. Kun säännön vahvistus on onnistunut, valitse Tallenna.

Huomautus

• Yksittäisessä hälytyksessä voidaan yhdessä tunnistaa enintään 500 entiteettiä, jotka on jaettu tasan kaikkiin säännössä määritettyihin entiteettien yhdistämismäärityksiin.

  • Jos esimerkiksi säännössä on määritetty kaksi entiteetin yhdistämismääritystä, kukin yhdistämismääritys voi tunnistaa jopa 250 entiteettiä. jos viisi yhdistämismääritystä on määritetty, kukin niistä voi tunnistaa enintään 100 entiteettiä ja niin edelleen.
  • Yksittäisen entiteettityypin (esimerkiksi IP-lähde- ja kohde-IP-osoitteen) useat yhdistämismääritykset lasketaan erikseen.
  • Jos ilmoitus sisältää kohteita, jotka ylittävät tämän rajan, näitä ylimääräisiä kohteita ei tunnisteta ja poimita entiteeteiksi.

• Hälytyksen koko entiteettialueen ( Entiteetit-kentän ) kokorajoitus on 64 kt.

  • Entiteettikentät , jotka kasvavat yli 64 kilotavua, katkaistaan. Kun entiteetit tunnistetaan, ne lisätään hälytykseen yksi kerrallaan, kunnes kentän koko on 64 kt ja kaikki vielä tunnistamattomat entiteetit pudotetaan hälytyksestä.

Muistiinpanot uudesta versiosta

• Koska uusi versio on nyt yleisesti saatavilla (GA), vanhan version käyttöön käytettävä ominaisuusmerkinnän kiertotapa ei ole enää käytettävissä.

• Jos olet aiemmin määrittänyt entiteettien yhdistämismääritykset tälle analytiikkasäännölle vanhalla versiolla, ne muunnetaan automaattisesti uuteen versioon.

Seuraavat vaiheet

Tässä asiakirjassa opit yhdistämään tietokenttiä entiteetteihin Microsoft Sentinel analytiikkasäännöissä. Lisätietoja Microsoft Sentinel on seuraavissa artikkeleissa:

• Tutustu muihin tapoihin rikastaa ilmoituksia:
  • Pintaan mukautetun tapahtuman tiedot hälytyksissä Microsoft Sentinel
  • Ilmoituksen tietojen mukauttaminen Microsoft Sentinel
• Hanki täydellinen kuva ajoitettujen kyselyanalyysien säännöistä.
• Lue lisätietoja Microsoft Sentinel entiteeteistä.