Adatmezők leképezése entitásokra Microsoft Sentinelben

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és a következő hetekben frissíteni fogjuk ezeket az oldalakat. További információ a Microsoft biztonsági fejlesztéseiről.

Fontos

  • A dokumentum végén található "Megjegyzések az új verzióhoz" című szakasz fontos információkat tartalmaz a visszamenőleges kompatibilitásról, valamint az entitásleképezés új és régi verziói közötti különbségekről.

Bevezetés

Az entitásleképezés az ütemezett lekérdezéselemzési szabályok konfigurációjának szerves része. A szabályok kimenetét (riasztásokat és incidenseket) olyan alapvető információkkal egészíti ki, amelyek az ezt követő vizsgálati folyamatok és javítási műveletek építőelemei.

Az alábbi eljárás az elemzési szabálylétrehozási varázsló része. Itt külön kezeli a rendszer, hogy kezelje az entitásleképezések meglévő elemzési szabályban való hozzáadásának vagy módosításának forgatókönyvét.

Entitások leképezése

  1. A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.

  2. Válasszon ki egy ütemezett lekérdezési szabályt, és válassza a Szerkesztés lehetőséget a részletek panelen. Vagy hozzon létre egy új szabályt a képernyő tetején található Ütemezett lekérdezési szabály létrehozása > elemre kattintva.

  3. Válassza a Szabálylogika beállítása lapot.

  4. A Riasztásbővítés szakaszban bontsa ki az Entitásleképezés elemet.

    Entitásleképezés kibontása

  5. A most kibontott Entitásleképezés szakaszban válasszon ki egy entitástípust az Entitás típusa legördülő listából.

    Entitástípus kiválasztása

  6. Válasszon egy azonosítót az entitáshoz. Az azonosítók olyan entitások attribútumai, amelyek képesek megfelelően azonosítani azt. Válasszon egyet az Azonosító legördülő listából, majd válasszon ki egy adatmezőt az Érték legördülő listából, amely megfelel az azonosítónak. Néhány kivétellel az Érték listát a szabály lekérdezés tárgyaként definiált tábla adatmezői töltik ki.

    Egy adott entitáshoz legfeljebb három azonosítót definiálhat. Egyes azonosítók megadása kötelező, mások nem kötelezőek. Legalább egy kötelező azonosítót ki kell választania. Ha nem, egy figyelmeztető üzenet tájékoztatja, hogy mely azonosítókra van szükség. A legjobb eredmény érdekében – a maximális egyedi azonosításhoz – amikor csak lehetséges, erős azonosítókat kell használnia, és több erős azonosító használata nagyobb korrelációt tesz lehetővé az adatforrások között. Tekintse meg az elérhető entitások és azonosítók teljes listáját.

    Mezők leképezése entitásokra

  7. Kattintson az Új entitás hozzáadása elemre további entitások leképezéséhez. Egyetlen elemzési szabályban legfeljebb öt entitást képezhet le. Egynél több típust is megfeleltethet. Leképezhet például két IP-entitást , egyet egy forrás IP-címmezőből , egyet pedig egy cél IP-címmezőből . Így mindkettőt nyomon követheti.

    Ha meggondolja magát, vagy hibát vétett, eltávolíthat egy entitásleképezést az entitás legördülő lista melletti kuka ikonra kattintva.

  8. Ha befejezte az entitások leképezését, kattintson a Véleményezés és létrehozás fülre. Ha a szabály érvényesítése sikeres volt, kattintson a Mentés gombra.

Megjegyzés

  • Minden leképezett entitás legfeljebb tíz entitást képes azonosítani.

    • Ha egy riasztás több mint tíz elemet tartalmaz, amelyek egyetlen entitásleképezésnek felelnek meg, csak az első tíz lesz entitásként felismerve, és így elemezhető.
    • Ez a korlátozás a tényleges leképezésekre vonatkozik, nem az entitástípusokra. Ha tehát három különböző leképezett entitása van az IP-címekhez (például a forráshoz, a célhoz és az átjáróhoz), ezek mindegyike tíz entitást képes kezelni.
  • A teljes riasztás méretkorlátja 64 KB.

    • A 64 KB-nál nagyobb méretű riasztások csonkulnak. Az entitások azonosításakor a rendszer egyenként hozzáadja őket a riasztáshoz, amíg a riasztás mérete el nem éri a 64 KB-ot, és a fennmaradó entitások el lesznek távolítva a riasztásból.

Megjegyzések az új verzióhoz

  • Mivel az új verzió már általánosan elérhető (GA), a funkciójelölő megkerülő megoldása a régi verzió használatára már nem érhető el.

  • Ha korábban már definiált entitásleképezéseket ehhez az elemzési szabályhoz a régi verzióval, azok automatikusan az új verzióra lesznek konvertálva.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan képezhet le adatmezőket entitásokra Microsoft Sentinel-elemzési szabályokban. Ha többet szeretne megtudni Microsoft Sentinelről, tekintse meg a következő cikkeket: