Classer et analyser les données à l’aide d’entités dans Microsoft Sentinel

  • Article
  • 4 minutes de lecture

Lorsque des alertes sont envoyées à Microsoft Sentinel ou générées par celui-ci, elles contiennent des éléments de données que Sentinel peut reconnaître et classer en catégories en tant qu’entités. Lorsque Microsoft Sentinel identifie le type d’entité que représente un élément de données particulier, il sait quelles sont les bonnes questions à poser à son sujet, et il peut ensuite comparer les informations relatives à cet élément sur l’ensemble des sources de données et facilement le suivre et s’y référer tout au long de l’expérience Sentinel (analyse, investigation, correction, chasse, etc.). Les utilisateurs, les hôtes, les fichiers, les processus, les adresses IP et les URL sont des exemples courants d'entités.

Identificateurs d’entité

Microsoft Sentinel prend en charge un large éventail de types d’entités. Chaque type possède des attributs uniques, dont certains peuvent être utilisés pour identifier une entité particulière. Ces attributs, représentés sous forme de champs dans l'entité, sont appelés des identificateurs. Consultez la liste complète des entités prises en charge et de leurs identificateurs ci-dessous.

Identificateurs forts et faibles

Comme indiqué ci-dessus, chaque type d'entité est associé à des champs, ou à des ensembles de champs, qui permettent de l'identifier. Ces champs ou ensembles de champs peuvent être qualifiés d'identificateurs forts s'ils permettent d'identifier une entité de manière unique sans aucune ambiguïté, ou d'identificateurs faibles s'ils permettent d'identifier une entité dans certaines circonstances, sans toutefois garantir une identification unique dans tous les cas. Dans de nombreux cas, cependant, différents identificateurs faibles peuvent être combinés pour produire un identificateur fort.

Par exemple, les comptes d'utilisateur peuvent être identifiés en tant qu'entités Compte de plusieurs façons : à l'aide d'un seul identificateur fort, comme l'identificateur numérique d'un compte Azure AD (le champ GUID), ou de sa valeur UPN (nom d'utilisateur principal), ou encore en utilisant une combinaison d'identificateurs faibles tels que ses champs Name et NTDomain. Des sources de données différentes peuvent identifier le même utilisateur de manières différentes. Chaque fois que Microsoft Sentinel rencontre deux entités qu’il reconnaît comme étant la même entité sur la base de leurs identificateurs, il fusionne les deux entités en une seule afin qu’elles puissent être traitées correctement et de manière cohérente.

Cela dit, si l'un de vos fournisseurs de ressources crée une alerte stipulant qu'une entité n'est pas suffisamment identifiée (par exemple, en utilisant un seul identificateur faible comme un nom d'utilisateur sans le contexte de nom de domaine), l'entité utilisateur ne peut pas être fusionnée avec d'autres instances du même compte d'utilisateur. Ces autres instances sont alors identifiées comme une entité distincte, et ces deux entités restent séparées au lieu d'être unifiées.

Afin de minimiser le risque que cela se produise, vous devez vérifier que tous vos fournisseurs d'alertes identifient correctement les entités dans les alertes qu'ils produisent. En outre, la synchronisation d’entités de compte d’utilisateur avec Azure Active Directory peut créer un répertoire d’unification, qui sera en mesure de fusionner les entités de compte d’utilisateur.

Entités prises en charge

Les types d’entités suivants sont actuellement identifiés dans Microsoft Sentinel :

  • Compte d’utilisateur
  • Host
  • Adresse IP
  • Programme malveillant
  • Fichier
  • Process
  • Application cloud
  • Nom de domaine
  • Ressource Azure
  • Hachage du fichier
  • Clé de Registre
  • Valeur de Registre
  • Groupe de sécurité
  • URL
  • Appareil IoT
  • Mailbox
  • Cluster de messagerie
  • Message électronique
  • E-mail d'envoi

Vous pouvez consulter les identificateurs de ces entités ainsi que d'autres informations pertinentes dans Informations de référence sur les entités.

Mappage d’entités

Comment Microsoft Sentinel reconnaît-il une donnée comme identificateur d’une entité dans une alerte ?

Observons le traitement des données dans Microsoft Sentinel. Les données sont ingérées à partir de différentes sources par le biais de connecteurs, que ce soit de service à service, sur la base d'un agent, ou à l'aide d'un service syslog et d'un redirecteur de journal. Les données sont stockées dans des tables de votre espace de travail Log Analytics. Ces tables sont ensuite interrogées à intervalles réguliers par les règles analytiques que vous avez définies et activées. L’une des nombreuses actions entreprises par ces règles d’analyse est le mappage des champs de données des tables aux entités reconnues par Microsoft Sentinel. Selon les mappages que vous définissez dans vos règles d’analyse, Microsoft Sentinel prend des champs dans les résultats renvoyés par votre requête, les reconnaît grâce aux identificateurs que vous avez spécifiés pour chaque type d’entité et leur applique le type d’entité identifié par ces identificateurs.

Quel est l'intérêt de tout cela ?

Lorsque Microsoft Sentinel est en mesure d’identifier des entités dans des alertes provenant de différents types de sources de données, et surtout s’il peut le faire à l’aide d’identificateurs forts communs à chaque source de données ou à un troisième schéma, il peut facilement mettre en corrélation toutes ces alertes et sources de données. Ces corrélations permettent de constituer une précieuse banque d'informations et d'insights sur les entités, ce qui vous confère une base solide pour vos opérations de sécurité.

Apprenez à mapper des champs de données avec des entités.

Découvrez les identificateurs qui permettent une identification forte d'une entité.

Pages d’entité

Vous trouverez désormais des informations sur les pages d’entité dans Examiner les entités avec des pages d’entités dans Microsoft Sentinel.

Étapes suivantes

Ce document vous a permis de vous familiariser avec l’utilisation des entités dans Microsoft Sentinel. Pour obtenir des conseils pratiques sur l’implémentation et pour utiliser les insights que vous avez acquises, consultez les articles suivants :