Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsque des alertes sont envoyées ou générées par Microsoft Sentinel, elles contiennent des éléments de données que Sentinel pouvez reconnaître et classer en catégories en tant qu’entités. Quand Microsoft Sentinel comprend le type d’entité qu’un élément de données particulier représente, il connaît les bonnes questions à poser à son sujet, et il peut ensuite comparer des insights sur cet élément dans la gamme complète de sources de données, le suivre et y faire facilement référence tout au long de l’expérience Sentinel ( analyse, investigation, correction, chasse, etc.). Voici quelques exemples courants d’entités : comptes d’utilisateur, hôtes, boîtes aux lettres, adresses IP, fichiers, applications cloud, processus et URL.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Dans le portail Microsoft Defender, les entités se répartissent généralement en deux catégories principales :
| Catégorie d’entité | Caractérisation | Exemples principaux |
|---|---|---|
| Éléments | ||
| Autres entités (preuve) |
Identificateurs d’entité
Microsoft Sentinel prend en charge un large éventail de types d’entités. Chaque type a ses propres attributs uniques, qui sont représentés sous forme de champs dans le schéma d’entité et sont appelés identificateurs. Consultez la liste complète des entités prises en charge ci-dessous, ainsi que l’ensemble complet de schémas d’entité et d’identificateurs dans Microsoft Sentinel informations de référence sur les types d’entités.
Identificateurs forts et faibles
Pour chaque type d’entité, il existe des champs, ou des ensembles de champs, qui peuvent identifier des instances particulières de cette entité. Ces champs ou ensembles de champs peuvent être appelés identificateurs forts s’ils peuvent identifier une entité de manière unique sans ambiguïté, ou comme identificateurs faibles s’ils peuvent identifier une entité dans certaines circonstances, mais ne sont pas garantis pour identifier une entité de manière unique dans tous les cas. Dans de nombreux cas, cependant, une sélection d’identificateurs faibles peut être combinée pour produire un identificateur fort.
Par exemple, les comptes d’utilisateur peuvent être identifiés en tant qu’entités de compte de plusieurs façons : à l’aide d’un identificateur fort unique comme l’identificateur numérique d’un compte Microsoft Entra (le champ GUID), ou sa valeur de nom d’utilisateur principal (UPN), ou à l’aide d’une combinaison d’identificateurs faibles tels que ses champs Name et NTDomain. Différentes sources de données peuvent identifier le même utilisateur de différentes façons. Chaque fois que Microsoft Sentinel rencontre deux entités qu’il peut reconnaître comme la même entité en fonction de leurs identificateurs, il fusionne les deux entités en une seule entité, afin qu’elles puissent être gérées correctement et de manière cohérente.
Toutefois, si l’un de vos fournisseurs de ressources crée une alerte dans laquelle une entité n’est pas suffisamment identifiée( par exemple, en utilisant un seul identificateur faible comme un nom d’utilisateur sans le contexte de nom de domaine), l’entité utilisateur ne peut pas être fusionnée avec d’autres instances du même compte d’utilisateur. Ces autres instances seraient identifiées comme une entité distincte, et ces deux entités resteraient distinctes au lieu d’être unifiées.
Afin de réduire le risque que cela se produise, vous devez vérifier que tous vos fournisseurs d’alertes identifient correctement les entités dans les alertes qu’ils produisent. En outre, la synchronisation des entités de compte d’utilisateur avec Microsoft Entra ID peut créer un répertoire d’unification, qui sera en mesure de fusionner des entités de compte d’utilisateur.
Entités prises en charge
Les types d’entités suivants sont actuellement identifiés dans Microsoft Sentinel :
- Account
- Host
- Adresse IP
- URL
- Ressource Azure
- Application cloud
- Résolution DNS
- Fichier
- Hachage de fichier
- Programme malveillant
- Processus
- Clé de Registre
- Valeur de Registre
- Groupe de sécurité
- Boîte aux lettres
- Cluster de messagerie
- Courrier électronique
- Message d’envoi
Vous pouvez afficher les identificateurs de ces entités et d’autres informations pertinentes dans la référence des entités.
Mappage d’entités
Comment Microsoft Sentinel reconnaître un élément de données dans une alerte comme identifiant une entité ?
Voyons comment le traitement des données est effectué dans Microsoft Sentinel. Les données sont ingérées à partir de différentes sources via des connecteurs, qu’il s’agisse d’un service à service, d’un agent ou d’une API. Les données sont stockées dans des tables de votre espace de travail Log Analytics. Ces tables sont interrogées à intervalles réguliers par les règles d’analyse planifiées ou en quasi-temps réel que vous avez définies et activées, ou à la demande dans le cadre de requêtes de chasse lorsque vous recherchez des menaces. Une partie de la définition de ces règles d’analyse et requêtes de chasse est le mappage des champs de données dans les tables aux types d’entités reconnus par Microsoft Sentinel. Selon les mappages que vous définissez, Microsoft Sentinel prend les champs des résultats retournés par votre requête, les reconnaît par les identificateurs que vous avez spécifiés pour chaque type d’entité et leur applique le type d’entité identifié par ces identificateurs.
Quel est le but de tout cela ?
Lorsque Microsoft Sentinel est en mesure d’identifier des entités dans des alertes à partir de différents types de sources de données, et en particulier s’il peut le faire à l’aide d’identificateurs forts communs à chaque source de données ou à un autre schéma, il peut alors facilement mettre en corrélation toutes ces alertes et sources de données. Ces corrélations aident à créer un magasin complet d’informations et d’insights sur les entités, ce qui vous donne une base et un contexte solides pour examiner et répondre aux menaces de sécurité.
Découvrez comment mapper des champs de données à des entités.
Découvrez quels identificateurs identifient fortement une entité.
Pages d’entité
Vous trouverez désormais des informations sur les pages d’entité dans pages d’entité dans Microsoft Sentinel.
Étapes suivantes
Dans ce document, vous avez appris à utiliser des entités dans Microsoft Sentinel. Pour obtenir des conseils pratiques sur l’implémentation et pour utiliser les insights que vous avez obtenus, consultez les articles suivants :
- Activez l’analyse du comportement des entités dans Microsoft Sentinel.
- Recherchez les menaces de sécurité.