Entitások felfedezése

  • 7 perc

Amikor riasztásokat küldenek a Microsoft Sentinelnek, azok olyan adatelemeket tartalmaznak, amelyeket a Microsoft Sentinel entitásként azonosít és sorol be, például felhasználói fiókokat, gazdagépeket, IP-címeket és másokat. Ez az azonosítás időnként kihívást jelenthet, ha a riasztás nem tartalmaz elegendő információt az entitásról.

A felhasználói fiókok például több módon is azonosíthatók: a Microsoft Entra-fiók numerikus azonosítójának (GUID) vagy egyszerű felhasználóneve (UPN) értékének használatával, vagy másik lehetőségként a felhasználónév és az NT-tartománynév kombinációjával. A különböző adatforrások különböző módokon azonosíthatják ugyanazt a felhasználót. Ezért amikor csak lehetséges, a Microsoft Sentinel egyetlen entitásba egyesíti ezeket az azonosítókat, hogy azok megfelelően azonosíthatók legyenek.

Előfordulhat azonban, hogy az egyik erőforrás-szolgáltató létrehoz egy riasztást, amelyben egy entitás nincs megfelelően azonosítva – például a tartománynév-környezet nélküli felhasználónevet. Ilyen esetben a felhasználói entitás nem egyesíthető ugyanazon felhasználói fiók más példányaival, amelyek külön entitásként lennének azonosítva, és ez a két entitás egységes helyett külön maradna.

A kockázat minimalizálása érdekében ellenőriznie kell, hogy az összes riasztásszolgáltató megfelelően azonosítja-e az általuk előállított riasztásokban szereplő entitásokat. Emellett a felhasználói fiók entitásainak a Microsoft Entra-azonosítóval való szinkronizálása létrehozhat egy egységesítő könyvtárat, amely képes lesz egyesíteni a felhasználói fiók entitásokat.

A Microsoft Sentinel jelenleg a következő entitástípusokat azonosítja:

  • Felhasználói fiók (fiók)

  • Gazdagép

  • IP-cím (IP)

  • Kártevő

  • Fájl

  • Feldolgozás

  • Felhőalkalmazás (CloudApplication)

  • Tartománynév (DNS)

  • Azure-erőforrás

  • Fájl (FileHash)

  • Registry key

  • Beállításjegyzék-érték

  • Biztonsági csoport

  • URL

  • IoT-eszköz

  • Postaláda

  • Levelezőfürt

  • E-mail üzenet

  • Küldési e-mail

Entitásoldalak

Ha bármilyen entitást (jelenleg csak felhasználókra és gazdagépekre korlátozva) talál egy keresésben, egy riasztásban vagy egy vizsgálatban, kiválaszthatja az entitást, és egy entitásoldalra helyezheti, amely egy olyan adatlap, amely tele van az entitással kapcsolatos hasznos információkkal. Az ezen az oldalon található információtípusok közé tartoznak az entitással kapcsolatos alapvető tények, az entitáshoz kapcsolódó jelentős események idővonala, valamint az entitás viselkedésével kapcsolatos megállapítások.

Az entitásoldalak három részből állnak:

  • A bal oldali panel tartalmazza az entitás azonosító adatait, amelyeket olyan adatforrásokból gyűjtenek össze, mint a Microsoft Entra ID, az Azure Monitor, a Felhőhöz készült Microsoft Defender és a Microsoft Defender XDR.

  • A középső panel egy grafikus és szöveges ütemtervet jelenít meg az entitáshoz kapcsolódó jelentős eseményekről, például riasztásokról, könyvjelzőkről és tevékenységekről. A tevékenységek a Log Analytics jelentős eseményeinek összesítései. Az ilyen tevékenységeket észlelő lekérdezéseket a Microsoft biztonsági kutatócsapatai fejlesztették ki.

  • A jobb oldali panel viselkedési elemzéseket jelenít meg az entitásról. Ezek az elemzések segítenek gyorsan azonosítani az anomáliákat és a biztonsági fenyegetéseket. Az elemzéseket a Microsoft biztonsági kutatócsapatai fejlesztették ki, és anomáliadetektálási modelleken alapulnak.

Az ütemterv

Screen shot of an Entity Behavior timeline.

Az idővonal az entitásoldalnak a Microsoft Sentinel viselkedéselemzéshez való hozzájárulásának jelentős része. Bemutatja az entitásokkal kapcsolatos eseményeket, segít megérteni az entitás tevékenységeit egy adott időkereten belül.

Az időtartományt számos előre beállított beállítás (például az elmúlt 24 óra) közül választhatja ki, vagy bármilyen egyénileg meghatározott időkeretre állíthatja. Emellett olyan szűrőket is beállíthat, amelyek az ütemterv információit meghatározott típusú eseményekre vagy riasztásokra korlátozzák.

Az ütemterv a következő típusú elemeket tartalmazza:

Riasztások – olyan riasztások, amelyekben az entitás megfeleltetett entitásként van definiálva. Ha a szervezet elemzési szabályokkal hozott létre egyéni riasztásokat, győződjön meg arról, hogy a szabályok entitásleképezése megfelelően van végrehajtva.

Könyvjelzők – minden olyan könyvjelző, amely tartalmazza az adott entitást az oldalon.

Tevékenységek – az entitáshoz kapcsolódó jelentős események összesítése.

Entitás Elemzések

Az entitáselemzések a Microsoft biztonsági kutatói által meghatározott lekérdezések, amelyek segítenek az elemzőknek a hatékonyabb és hatékonyabb vizsgálatban. Az elemzések az entitásoldal részeként jelennek meg, és táblázatos adatok és diagramok formájában értékes biztonsági információkat nyújtanak a gazdagépekről és a felhasználókról. Az itt található információk azt jelentik, hogy nem kell kitérnie a Log Analyticsre. Az elemzések közé tartoznak a bejelentkezésekre, csoportbeadásokra, rendellenes eseményekre és egyebekre vonatkozó adatok, valamint fejlett ML-algoritmusok a rendellenes viselkedés észleléséhez. Az elemzések a következő adattípusokon alapulnak:

  • Rendszernapló

  • Biztonsági esemény

  • Audit Logs

  • Bejelentkezési naplók

  • Office-tevékenység

  • BehaviorAnalytics (UEBA)