Entitáslapok a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ha egy incidensvizsgálat során felhasználói fiókkal, gazdagépnévvel, IP-címmel vagy Azure-erőforrással találkozik, dönthet úgy, hogy többet szeretne tudni róla. Előfordulhat például, hogy szeretné tudni a tevékenységelőzményeit, hogy más riasztásokban vagy incidensekben jelent-e meg, hogy valami váratlant vagy karakteren kívül tett-e, és így tovább. Röviden, olyan információkat szeretne, amelyek segíthetnek meghatározni, hogy ezek az entitások milyen fenyegetést jelentenek, és ennek megfelelően irányítják a vizsgálatot.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Entitásoldalak

Ezekben az esetekben kiválaszthatja az entitást (kattintásra használható hivatkozásként jelenik meg), és egy entitásoldalra, egy, az entitással kapcsolatos hasznos információkat tartalmazó adatlapra helyezheti. Az entitásoldalakra úgy is érkezhet, hogy közvetlenül keres entitásokat a Microsoft Sentinel entitás viselkedési oldalán. Az entitásoldalakon található információtípusok közé tartoznak az entitással kapcsolatos alapvető tények, az entitáshoz kapcsolódó jelentős események idővonala, valamint az entitás viselkedésével kapcsolatos megállapítások.

Pontosabban az entitásoldalak három részből állnak:

• A bal oldali panel tartalmazza az entitás azonosító adatait, amelyeket olyan adatforrásokból gyűjtöttek össze, mint a Microsoft Entra ID, az Azure Monitor, az Azure Activity, az Azure Resource Manager, a Felhőhöz készült Microsoft Defender, a CEF/Syslog és a Microsoft Defender XDR (az összes összetevővel együtt).

• A középső panel az entitáshoz kapcsolódó jelentős események, például riasztások, könyvjelzők, anomáliák és tevékenységek grafikus és szöveges ütemtervét jeleníti meg. A tevékenységek a Log Analytics jelentős eseményeinek összesítései. Az ilyen tevékenységeket észlelő lekérdezéseket a Microsoft biztonsági kutatócsapatai fejlesztették ki, és mostantól saját egyéni lekérdezéseket is hozzáadhat az Ön által választott tevékenységek észleléséhez.

• A jobb oldali panel viselkedési elemzéseket jelenít meg az entitásról. Ezeket az elemzéseket a Microsoft biztonsági kutatócsapatai folyamatosan fejlesztik. Ezek különböző adatforrásokon alapulnak, és kontextust biztosítanak az entitáshoz és a megfigyelt tevékenységekhez, segítve a rendellenes viselkedés és a biztonsági fenyegetések gyors azonosítását.

  2023 novemberétől kezdődően az elemzések következő generációja előzetes verzióban, bővítési widgetek formájában válik elérhetővé. Ezek az új megállapítások integrálhatják a külső forrásokból származó adatokat, és valós időben kaphatják meg a frissítéseket, és a meglévő elemzések mellett láthatók. Az új widgetek előnyeinek kihasználásához engedélyeznie kell a widget használatát.

Ha egy incidenst az új vizsgálati felülettel vizsgál, az entitásoldal paneles verzióját láthatja közvetlenül az incidens részleteinek oldalán. Egy adott incidens összes entitását felsorolja, és egy entitás kiválasztásával megnyit egy oldalpanelt három "kártyával", információval, idővonallal és Elemzések, amelyek a fent leírt összes információt megjelenítik az incidens riasztásainak megfelelő adott időkereten belül.

Ha az egyesített biztonsági üzemeltetési platformot használja a Microsoft Defender portálon, az idővonal - és elemzési panelek a Defender entitáslapJának Sentinel-események lapján jelennek meg.

Azure Portalra

Defender portál

Az ütemterv

Azure Portalra

Az idővonal az entitásoldalnak a Microsoft Sentinel viselkedéselemzéshez való hozzájárulásának jelentős része. Bemutatja az entitásokkal kapcsolatos eseményeket, segít megérteni az entitás tevékenységeit egy adott időkereten belül.

Az időtartományt számos előre beállított beállítás (például az elmúlt 24 óra) közül választhatja ki, vagy bármilyen egyénileg meghatározott időkeretre állíthatja. Emellett olyan szűrőket is beállíthat, amelyek az ütemterv információit meghatározott típusú eseményekre vagy riasztásokra korlátozzák.

Az ütemterv a következő típusú elemeket tartalmazza.

• Riasztások: olyan riasztások, amelyekben az entitás megfeleltetett entitásként van definiálva. Vegye figyelembe, hogy ha a szervezet elemzési szabályokkal hozott létre egyéni riasztásokat, győződjön meg arról, hogy a szabályok entitásleképezése megfelelően van végrehajtva.

• Könyvjelzők: minden olyan könyvjelző, amely tartalmazza az adott entitást az oldalon.

• Anomáliák: Az UEBA-észlelések az egyes entitásokhoz különböző adatbemenetek és saját előzménytevékenységeik, a társaik és a szervezet egésze által létrehozott dinamikus alapkonfigurációkon alapulnak.

• Tevékenységek: az entitáshoz kapcsolódó jelentős események összesítése. A rendszer automatikusan összegyűjti a tevékenységek széles körét, és most már testre szabhatja ezt a szakaszt a saját igényeinek megfelelő tevékenységek hozzáadásával.

Defender portál

A Sentinel-események lapon található ütemterv az entitásoldal viselkedéselemzéshez való hozzájárulásának jelentős részét adja hozzá a Microsoft Defender egyesített biztonsági üzemeltetési platformján. Bemutatja az entitásokkal kapcsolatos eseményeket, segít megérteni az entitás tevékenységeit egy adott időkereten belül.

A Sentinel-események idővonalának riasztásai és a csak a Microsoft Sentinel által gyűjtött külső forrásokból származó események, például a syslog/CEF és az Azure Monitor-ügynökön vagy egyéni összekötőkön keresztül betöltött egyéni naplók láthatók.

Az ütemterv a következő típusú elemeket tartalmazza.

• Riasztások: olyan riasztások, amelyekben az entitás megfeleltetett entitásként van definiálva. Vegye figyelembe, hogy ha a szervezet elemzési szabályokkal hozott létre egyéni riasztásokat, győződjön meg arról, hogy a szabályok entitásleképezése megfelelően van végrehajtva.

• Könyvjelzők: minden olyan könyvjelző, amely tartalmazza az adott entitást az oldalon.

• Anomáliák: Az UEBA-észlelések az egyes entitásokhoz különböző adatbemenetek és saját előzménytevékenységeik, a társaik és a szervezet egésze által létrehozott dinamikus alapkonfigurációkon alapulnak.

• Tevékenységek: az entitáshoz kapcsolódó jelentős események összesítése. A rendszer automatikusan összegyűjti a tevékenységek széles körét, és most már testre szabhatja ezt a szakaszt a saját igényeinek megfelelő tevékenységek hozzáadásával.

Ez az ütemterv az elmúlt 24 óra adatait jeleníti meg. Ez az időszak jelenleg nem állítható be.

Entitáselemzések

Az entitáselemzések a Microsoft biztonsági kutatói által meghatározott lekérdezések, amelyek segítenek az elemzőknek a hatékonyabb és hatékonyabb vizsgálatban. Az elemzések az entitásoldal részeként jelennek meg, és táblázatos adatok és diagramok formájában értékes biztonsági információkat nyújtanak a gazdagépekről és a felhasználókról. Az itt található információk azt jelentik, hogy nem kell kitérnie a Log Analyticsre. Az elemzések magukban foglalják a bejelentkezésekkel, csoporthozzáadásokkal, rendellenes eseményekkel és egyebekkel kapcsolatos adatokat, valamint fejlett ML-algoritmusokat is tartalmaznak a rendellenes viselkedés észleléséhez.

Az elemzések a következő adatforrásokon alapulnak:

• Syslog (Linux)
• SecurityEvent (Windows)
• Naplók (Microsoft Entra ID)
• SigninLogs (Microsoft Entra ID)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Szívverés (Azure Monitor-ügynök)
• CommonSecurityLog (Microsoft Sentinel)

Általánosságban elmondható, hogy az entitásoldalon megjelenő entitás-megállapításokat egy hivatkozás kíséri, amely egy olyan oldalra viszi, ahol megjelenik az elemzés alapjául szolgáló lekérdezés, valamint az eredmények, így részletesebben is megvizsgálhatja az eredményeket.

• A Microsoft Sentinelben az Azure Portalon a hivatkozás a Naplók lapra viszi.
• A Microsoft Defender portál egyesített biztonsági üzemeltetési platformján a hivatkozás a Speciális keresési lapra viszi.

Entitásoldalak használata

Az entitásoldalak több használati forgatókönyv részét képezik, és az incidenskezelésből, a vizsgálati grafikonból, a könyvjelzőkből vagy közvetlenül az entitáskeresési oldalról érhetők el a Microsoft Sentinel főmenüjének Entitás viselkedése területén.

Az entitásoldal adatait a BehaviorAnalytics tábla tárolja, amelyet a Microsoft Sentinel UEBA-referencia részletesen ismertet.

Támogatott entitáslapok

A Microsoft Sentinel jelenleg a következő entitásoldalakat kínálja:

• Felhasználói fiók

• Gazdagép

• IP-cím (előzetes verzió)

  Feljegyzés

  Az IP-cím entitáslapja (most előzetes verzióban) a Microsoft Threat Intelligence szolgáltatás által biztosított földrajzi helyadatokat tartalmazza. Ez a szolgáltatás egyesíti a Microsoft-megoldások és külső gyártók és partnerek földrajzi helymeghatározási adatait. Az adatok ezután elemzéshez és vizsgálathoz érhetők el egy biztonsági incidens kontextusában. További információ: Entitások bővítése a Microsoft Sentinelben geolokációs adatokkal REST API-n (nyilvános előzetes verzió) keresztül.

• Azure-erőforrás (előzetes verzió)

• IoT-eszköz (előzetes verzió) – egyelőre csak a Microsoft Sentinelben az Azure Portalon.

Következő lépések

Ebben a dokumentumban megismerkedett a Microsoft Sentinel entitásoldalakon található entitásokkal kapcsolatos információinak lekérésével. Az entitásokról és azok használatáról az alábbi cikkekben talál további információt:

• Tudnivalók a Microsoft Sentinel entitásairól.
• Tevékenységek testreszabása az entitásoldal idővonalán.
• Speciális fenyegetések azonosítása a Microsoft Sentinel felhasználói és entitásviselkedési elemzésével (UEBA)
• Entitás viselkedéselemzésének engedélyezése a Microsoft Sentinelben.
• Keresse meg a biztonsági fenyegetéseket.