Adatmezők leképezése entitásokra a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Az entitásleképezés az ütemezett lekérdezéselemzési szabályok konfigurálásának szerves része. A szabályok kimenetét (riasztásokat és incidenseket) olyan alapvető információkkal egészíti ki, amelyek a követendő vizsgálati folyamatok és elhárító intézkedések építőelemei.

Az alább részletezett eljárás az elemzési szabály létrehozási varázslójának része. Itt külön kezeljük az entitásleképezések meglévő elemzési szabályban való hozzáadásának vagy módosításának forgatókönyvét.

Fontos

• Az entitásleképezés új és régi verziói közötti különbségekről a dokumentum végén található "Megjegyzések az új verzióhoz" című témakörben olvashat.
• A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Entitások leképezése

1. Adja meg az Elemzés lapot a portálon, amelyen keresztül hozzáférhet a Microsoft Sentinelhez:

   Azure Portalra

   A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

   Defender portál

   A Microsoft Defender navigációs menüjében bontsa ki a Microsoft Sentinel, majd a Konfiguráció elemet. Válassza az Elemzés lehetőséget.

2. Válasszon ki egy ütemezett lekérdezési szabályt, és válassza a Szerkesztés lehetőséget a részletek panelen. Vagy hozzon létre egy új szabályt a képernyő tetején található Ütemezett lekérdezési szabály létrehozása > elemre kattintva.

3. Válassza a Szabály beállítása logikai lapfület. Új szabály esetén írjon be egy lekérdezést a Szabály lekérdezés ablakba.

4. A Riasztás fejlesztése szakaszban bontsa ki az Entitásleképezés elemet.

   

5. A most kibontott entitásleképezés szakaszban válassza az Új entitás hozzáadása lehetőséget.

   

6. Válasszon egy entitástípust az Entitás legördülő listából.

   

7. Válasszon egy azonosítót az entitáshoz. Az azonosítók egy entitás attribútumai, amelyek megfelelően azonosítják azt. Válasszon egyet az Azonosító legördülő listából, majd válasszon egy adatmezőt az Érték legördülő listából, amely megfelel az azonosítónak. Néhány kivételtől eltekintve az Érték listát a szabály lekérdezés tárgyaként definiált tábla adatmezői töltik ki.

   Egy adott entitásleképezéshez legfeljebb három azonosítót definiálhat. Egyes azonosítók megadása kötelező, mások nem kötelezőek. Legalább egy kötelező azonosítót ki kell választania. Ha nem, egy figyelmeztető üzenet jelzi, hogy mely azonosítókra van szükség. A legjobb eredmény érdekében – a maximális egyedi azonosítás érdekében – minden esetben erős azonosítókat kell használnia, és több erős azonosító használata nagyobb korrelációt tesz lehetővé az adatforrások között. Tekintse meg az elérhető entitások és azonosítók teljes listáját.

   

8. További entitások leképezéséhez válassza az Új entitás hozzáadása lehetőséget. Egyetlen elemzési szabályban legfeljebb tíz entitásleképezést határozhat meg. Egynél több típust is megfeleltethet. Leképezhet például két IP-entitást, egyet egy forrás IP-címmezőből, egyet pedig egy cél IP-címmezőből. Így mindkettőt nyomon követheti.

   Ha meggondolta magát, vagy hibát követett el, eltávolíthat egy entitásleképezést az entitás legördülő lista melletti kuka ikonra kattintva.

9. Ha befejezte az entitások leképezését, kattintson a Véleményezés és létrehozás fülre. Ha a szabály érvényesítése sikeres volt, kattintson a Mentés gombra.

Feljegyzés

• Egyszerre legfeljebb 500 entitás azonosítható egyetlen riasztásban, egyenlően elosztva a szabályban meghatározott összes entitásleképezés között.

  • Ha például két entitásleképezés van definiálva a szabályban, mindegyik leképezés legfeljebb 250 entitást azonosíthat; Ha öt leképezés van definiálva, mindegyik legfeljebb 100 entitást azonosíthat, és így tovább.
  • Egy entitástípus (például a forrás IP-címe és a cél IP-címe) több leképezése is külön-külön számít.
  • Ha egy riasztás ezen korlátot meghaladó elemeket tartalmaz, a rendszer ezeket a felesleges elemeket nem ismeri fel és nyeri ki entitásként.

• A riasztás teljes entitásterületére (az Entitások mezőre) vonatkozó méretkorlát 64 KB.

  • A 64 KB-nál nagyobb méretű entitásmezőket csonkolja a rendszer. Az entitások azonosításakor a rendszer egyenként hozzáadja őket a riasztáshoz, amíg a mezőméret el nem éri a 64 KB-ot, és a még azonosítatlan entitások törlődnek a riasztásból.

Megjegyzések az új verzióhoz

• Mivel az új verzió már általánosan elérhető (GA), a régi verzió használatára vonatkozó funkciójelölő kerülő megoldás már nem érhető el.

• Ha korábban már definiált entitásleképezéseket ehhez az elemzési szabályhoz a régi verzióval, azok automatikusan az új verzióra lesznek konvertálva.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan képezhet le adatmezőket entitásokhoz a Microsoft Sentinel elemzési szabályaiban. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Ismerje meg a riasztások bővítésének egyéb módjait:
  • A Microsoft Sentinel riasztásaiban szereplő egyéni esemény részleteinek felszínre kerülése
  • Riasztás részleteinek testreszabása a Microsoft Sentinelben
• Kérje le a teljes képet az ütemezett lekérdezéselemzési szabályokról.
• További információ a Microsoft Sentinel entitásairól.