Entitások a Microsoft Sentinelben

  • Cikk

A Microsoft Sentinel által küldött vagy létrehozott riasztások olyan adatelemeket tartalmaznak, amelyeket a Sentinel entitásokként képes felismerni és kategóriákba sorolni. Amikor a Microsoft Sentinel megérti, hogy egy adott adatelem milyen entitást jelöl, tudja a megfelelő kérdéseket, amelyeket fel kell tennie róla, majd összehasonlíthatja az adott elemre vonatkozó megállapításokat az adatforrások teljes körében, és egyszerűen nyomon követheti és hivatkozhat rá a Sentinel teljes felületén – elemzés, vizsgálat, szervizelés, vadászat stb. Az entitásokra gyakori példák a felhasználói fiókok, gazdagépek, postaládák, IP-címek, fájlok, felhőalkalmazások, folyamatok és URL-címek.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

A Microsoft Defender portál egyesített biztonsági üzemeltetési platformján az entitások általában két fő kategóriába sorolhatók:

Entitáskategória Jellemzők definiálása Fő példák
Eszközök
  • Belső objektumok
  • Védett objektumok
  • Leltározott objektumok
    		•
  • Fiókok (felhasználók)
  • Gazdagépek (eszközök)
  • Postaládák
  • Azure-erőforrások
    		•
    Egyéb entitások
    (bizonyíték)
  • Külső elemek
  • Nincs a vezérlőben
  • A biztonsági rések mutatói
    		•
  • IP-címek
  • Fájlok
  • Folyamatok
  • URL-címek
    		•

    Entitásazonosítók

    A Microsoft Sentinel számos entitástípust támogat. Minden típus saját egyedi attribútumokkal rendelkezik, amelyeket az entitásséma mezőiként jelölnek, és azonosítóknak nevezik őket. Tekintse meg alább a támogatott entitások teljes listáját, valamint a Microsoft Sentinel entitástípusokban található entitásséma és -azonosítók teljes halmazát.

    Erős és gyenge azonosítók

    Minden entitástípushoz vannak olyan mezők vagy mezőkészletek, amelyek képesek azonosítani az adott entitás bizonyos példányait. Ezek a mezők vagy mezőkészletek akkor nevezhetők erős azonosítóknak, ha egyedileg azonosíthatnak egy entitást kétértelműség nélkül, vagy gyenge azonosítóként, ha bizonyos körülmények között képesek azonosítani egy entitást, de nem garantálják az entitás egyedi azonosítását minden esetben. Sok esetben azonban a gyenge azonosítók kiválasztása kombinálható egy erős azonosító létrehozásához.

    A felhasználói fiókok például több módon is azonosíthatók fiókentitásokként: egyetlen erős azonosító, például a Microsoft Entra-fiók numerikus azonosítója (a GUID mező) vagy a felhasználónév (UPN) értéke, vagy másik lehetőségként a gyenge azonosítók, például a Név és az NTDomain mezők kombinációja. A különböző adatforrások különböző módokon azonosíthatják ugyanazt a felhasználót. Amikor a Microsoft Sentinel két entitással találkozik, amelyeket az azonosítójuk alapján azonos entitásként ismerhet fel, a két entitást egyetlen entitásba egyesíti, hogy megfelelően és következetesen kezelhető legyen.

    Ha azonban az egyik erőforrás-szolgáltató olyan riasztást hoz létre, amelyben egy entitás nincs megfelelően azonosítva – például csak egyetlen gyenge azonosítót használ, például egy felhasználónevet a tartománynév kontextusa nélkül –, akkor a felhasználói entitás nem egyesíthető ugyanazon felhasználói fiók más példányaival. Ezek a többi példány külön entitásként lesznek azonosítva, és ez a két entitás külön marad az egységes helyett.

    A kockázat minimalizálása érdekében ellenőriznie kell, hogy az összes riasztásszolgáltató megfelelően azonosítja-e az általuk előállított riasztásokban szereplő entitásokat. Emellett a felhasználói fiók entitásainak a Microsoft Entra-azonosítóval való szinkronizálása létrehozhat egy egységesítő könyvtárat, amely képes lesz egyesíteni a felhasználói fiók entitásokat.

    Támogatott entitások

    A Microsoft Sentinel jelenleg a következő entitástípusokat azonosítja:

    Az entitások azonosítóit és egyéb releváns adatait az entitások hivatkozásában tekintheti meg.

    Entitás-hozzárendelés

    Hogyan ismeri fel a Microsoft Sentinel egy riasztásban szereplő adatrészt egy entitás azonosítására?

    Nézzük meg, hogyan történik az adatfeldolgozás a Microsoft Sentinelben. Az adatok különböző forrásokból, összekötőken keresztül kerülnek betöltésre, legyen szó szolgáltatásról szolgáltatásra, ügynökalapúról vagy API-alapúról. Az adatok a Log Analytics-munkaterület tábláiban lesznek tárolva. Ezeket a táblákat rendszeres időközönként lekérdezi az ön által definiált és engedélyezett ütemezett vagy közel valós idejű elemzési szabályok, vagy igény szerinti lekérdezések részeként, amikor fenyegetésekre vadászik. Ezen elemzési szabályok és keresési lekérdezések definíciójának része a táblák adatmezőinek leképezése a Microsoft Sentinel által felismert entitástípusokhoz. A megadott leképezések szerint a Microsoft Sentinel mezőket vesz fel a lekérdezés által visszaadott eredményekből, felismeri őket az egyes entitástípusokhoz megadott azonosítók alapján, és alkalmazza rájuk az azonosítók által azonosított entitástípust.

    Mi értelme ennek az egésznek?

    Ha a Microsoft Sentinel képes azonosítani a különböző típusú adatforrásokból származó riasztásokban lévő entitásokat, és különösen akkor, ha az egyes adatforrásokhoz vagy más sémákhoz gyakran használt erős azonosítók használatával képes erre, akkor könnyen korrelálhat az összes riasztás és adatforrás között. Ezek a korrelációk segítenek az entitásokra vonatkozó információk és megállapítások gazdag tárházának kialakításában, így szilárd alapot és kontextust biztosít a biztonsági fenyegetések kivizsgálásához és megválaszolásához.

    Megtudhatja, hogyan képezhet le adatmezőket entitásokra.

    Megtudhatja , hogy mely azonosítók azonosítják erősen az entitásokat.

    Entitásoldalak

    Az entitásoldalakra vonatkozó információk mostantól megtalálhatók a Microsoft Sentinel entitásoldalain.

    Következő lépések

    Ebben a dokumentumban megismerkedett az entitások Microsoft Sentinelben való használatával. A megvalósítással kapcsolatos gyakorlati útmutatásért és a megszerzett megállapítások használatához tekintse meg a következő cikkeket: