Adatok osztályozása és elemzése entitások használatával a Microsoft Sentinelben

Amikor a riasztásokat a Microsoft Sentinel küldi vagy hozza létre, azok olyan adatelemeket tartalmaznak, amelyeket a Sentinel entitásokként képes felismerni és kategóriákba sorolni. Amikor a Microsoft Sentinel tisztában van azzal, hogy egy adott adatelem milyen entitást jelöl, tudja a megfelelő kérdéseket, amelyeket feltehet róla, majd összehasonlíthatja az adott elemre vonatkozó megállapításokat az adatforrások teljes körében, és egyszerűen nyomon követheti és hivatkozhat rá a Sentinel teljes felületén – elemzés, vizsgálat, szervizelés, vadászat stb. Az entitások néhány gyakori példája a felhasználói fiókok, gazdagépek, fájlok, folyamatok, IP-címek és URL-címek.

Entitásazonosítók

A Microsoft Sentinel számos entitástípust támogat. Minden típus saját egyedi attribútumokkal rendelkezik, beleértve néhányat, amelyek egy adott entitás azonosítására használhatók. Ezek az attribútumok az entitás mezőiként jelennek meg, és azonosítóknak nevezik őket. A támogatott entitások és azonosítóik teljes listáját alább találja.

Erős és gyenge azonosítók

Ahogy fentebb már említettük, minden entitástípushoz vannak olyan mezők vagy mezőkészletek, amelyek azonosíthatják azt. Ezek a mezők vagy mezőkészletek akkor nevezhetők erős azonosítóknak, ha egyedileg azonosíthatnak egy entitást kétértelműség nélkül, vagy gyenge azonosítóként, ha bizonyos körülmények között képesek azonosítani egy entitást, de nem garantálják az entitás egyedi azonosítását minden esetben. Sok esetben azonban a gyenge azonosítók kiválasztása kombinálható egy erős azonosító létrehozásához.

A felhasználói fiókok például több módon is azonosíthatók fiókentitásokként: egyetlen erős azonosító, például a Microsoft Entra-fiók numerikus azonosítója (a GUID mező) vagy a felhasználónév (UPN) értéke, vagy másik lehetőségként a gyenge azonosítók, például a Név és az NTDomain mezők kombinációja. A különböző adatforrások különböző módokon azonosíthatják ugyanazt a felhasználót. Amikor a Microsoft Sentinel két entitással találkozik, amelyeket az azonosítójuk alapján azonos entitásként ismerhet fel, a két entitást egyetlen entitásba egyesíti, hogy megfelelően és következetesen kezelhető legyen.

Ha azonban az egyik erőforrás-szolgáltató olyan riasztást hoz létre, amelyben egy entitás nincs megfelelően azonosítva – például csak egyetlen gyenge azonosítót használ, például egy tartománynév-környezet nélküli felhasználónevet –, akkor a felhasználói entitás nem egyesíthető ugyanazon felhasználói fiók más példányaival. Ezek a többi példány külön entitásként lesznek azonosítva, és ez a két entitás külön marad az egységes helyett.

A kockázat minimalizálása érdekében ellenőriznie kell, hogy az összes riasztásszolgáltató megfelelően azonosítja-e az általuk előállított riasztásokban szereplő entitásokat. Emellett a felhasználói fiók entitásainak a Microsoft Entra-azonosítóval való szinkronizálása létrehozhat egy egységesítő könyvtárat, amely képes lesz egyesíteni a felhasználói fiók entitásokat.

Támogatott entitások

A Microsoft Sentinel jelenleg a következő entitástípusokat azonosítja:

  • Számla
  • Gazdagép
  • IP-cím
  • URL
  • Azure-erőforrás
  • Felhőalkalmazás
  • DNS feloldása
  • Fájl
  • Fájlkivonat
  • Kártevő
  • Folyamat
  • Registry key
  • Beállításjegyzék-érték
  • Biztonsági csoport
  • Postaláda
  • Levelezőfürt
  • E-mail üzenet
  • Küldési e-mail

Az entitások azonosítóit és egyéb releváns adatait az entitások hivatkozásában tekintheti meg.

Entitás-hozzárendelés

Hogyan ismeri fel a Microsoft Sentinel egy riasztásban szereplő adatrészt egy entitás azonosítására?

Nézzük meg, hogyan történik az adatfeldolgozás a Microsoft Sentinelben. Az adatok különböző forrásokból, összekötőken keresztül kerülnek betöltésre, akár szolgáltatásról szolgáltatásra, ügynökalapúra, akár egy syslog-szolgáltatás és egy naplótovábbító használatával. Az adatok a Log Analytics-munkaterület tábláiban lesznek tárolva. Ezeket a táblákat ezután rendszeresen ütemezett időközönként lekérdezi az Ön által definiált és engedélyezett elemzési szabályok. Az elemzési szabályok által végrehajtott számos művelet egyike a táblák adatmezőinek a Microsoft Sentinel által felismert entitásokhoz való leképezése. Az elemzési szabályokban meghatározott leképezések szerint a Microsoft Sentinel mezőket vesz fel a lekérdezés által visszaadott eredményekből, felismeri őket az egyes entitástípusokhoz megadott azonosítók alapján, és alkalmazza rájuk az azonosítók által azonosított entitástípust.

Mi értelme ennek az egésznek?

Ha a Microsoft Sentinel képes azonosítani a különböző típusú adatforrásokból származó riasztásokban lévő entitásokat, és különösen akkor, ha az egyes adatforrásokra vagy egy harmadik sémára jellemző erős azonosítók használatával képes erre, könnyen korrelálhat az összes riasztás és adatforrás között. Ezek a korrelációk segítenek az entitásokra vonatkozó információk és megállapítások gazdag tárházának kialakításában, így szilárd alapot nyújtanak a biztonsági műveletekhez.

Megtudhatja, hogyan képezhet le adatmezőket entitásokra.

Megtudhatja , hogy mely azonosítók azonosítják erősen az entitásokat.

Entitásoldalak

Az entitásoldalakra vonatkozó információk mostantól megtalálhatók a Microsoft Sentinel entitáslapjaival rendelkező entitások vizsgálatánál.

Következő lépések

Ebben a dokumentumban megismerkedett az entitások Microsoft Sentinelben való használatával. A megvalósítással kapcsolatos gyakorlati útmutatásért és a megszerzett megállapítások használatához tekintse meg a következő cikkeket: