Memetakan bidang data ke entitas di Microsoft Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Pemetaan entitas adalah bagian integral dari konfigurasi aturan analitik kueri terjadwal. Pemetaan ini memperkaya output aturan (pemberitahuan dan insiden) dengan informasi penting yang berfungsi sebagai blok penyusun dari setiap proses investigasi dan tindakan perbaikan yang mengikuti.

Prosedur yang dijelaskan di bawah ini adalah bagian dari panduan pembuatan aturan analitik. Prosedur ini diperlakukan secara independen untuk mengatasi skenario menambahkan atau mengubah pemetaan entitas dalam aturan analitik yang ada.

Penting

• Lihat "Catatan pada versi baru" di akhir dokumen ini untuk mengetahui informasi penting tentang kompatibilitas mundur dan perbedaan antara versi baru dan lama dari pemetaan entitas.
• Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Cara memetakan entitas

1. Masukkan halaman Analitik di portal tempat Anda mengakses Microsoft Azure Sentinel:

   Portal Azure

   Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.

   Portal pertahanan

   Dari menu navigasi Pertahanan Microsoft, perluas Microsoft Sentinel, lalu Konfigurasi. Pilih Analitik.

2. Pilih aturan kueri terjadwal dan pilih Edit dari panel detail. Atau buat aturan baru dengan mengeklik Buat > Aturan kueri terjadwal di bagian atas layar.

3. Pilih tab Atur logika aturan. Jika aturan baru, ketik kueri di jendela Kueri aturan.

4. Di bagian Peningkatan pemberitahuan , perluas pemetaan Entitas.

   

5. Di bagian Pemetaan Entitas yang sekarang diperluas, pilih Tambahkan entitas baru.

   

6. Pilih jenis entitas dari daftar drop-down Entitas .

   

7. Pilih pengidentifikasi untuk entitas. Pengidentifikasi adalah atribut entitas yang cukup dapat mengidentifikasinya. Pilih salah satu dari daftar tarik turun Pengidentifikasi, lalu pilih bidang data dari daftar tarik turun Nilai yang sesuai dengan pengidentifikasi. Dengan beberapa pengecualian, daftar Nilai diisi oleh bidang data dalam tabel yang didefinisikan sebagai subjek kueri aturan.

   Anda dapat menentukan hingga tiga pengidentifikasi untuk pemetaan entitas tertentu. Beberapa pengidentifikasi diperlukan, yang lain opsional. Anda harus memilih setidaknya satu pengidentifikasi yang diperlukan. Jika tidak, pesan peringatan akan menunjukkan kepada Anda pengidentifikasi mana yang diperlukan. Untuk hasil terbaik—untuk identifikasi unik maksimum—Anda harus menggunakan pengidentifikasi yang kuat jika memungkinkan, dan menggunakan beberapa pengidentifikasi yang kuat akan memungkinkan korelasi yang lebih besar antara sumber data. Lihat daftar lengkap entitas dan pengidentifikasi yang tersedia.

   

8. Pilih Tambahkan entitas baru untuk memetakan lebih banyak entitas. Anda dapat menentukan hingga sepuluh pemetaan entitas dalam satu aturan analitik. Anda juga dapat memetakan lebih dari satu jenis yang sama. Misalnya, Anda dapat memetakan dua entitas IP, satu dari bidang alamat IP sumber dan satu dari bidang alamat IP tujuan. Dengan cara ini, Anda dapat melacak keduanya.

   Jika Anda berubah pikiran atau jika Anda membuat kesalahan, Anda dapat menghapus pemetaan entitas dengan mengeklik ikon tempat sampah di samping daftar tarik turun entitas.

9. Saat Anda telah selesai memetakan entitas, klik tab Tinjau dan buat. Setelah validasi aturan berhasil, klik Simpan.

Catatan

• Hingga 500 entitas secara kolektif dapat diidentifikasi dalam satu pemberitahuan, dibagi rata di semua pemetaan entitas yang ditentukan dalam aturan.

  • Misalnya, jika dua pemetaan entitas ditentukan dalam aturan, setiap pemetaan dapat mengidentifikasi hingga 250 entitas; jika lima pemetaan ditentukan, masing-masing dapat mengidentifikasi hingga 100 entitas, dan sebagainya.
  • Beberapa pemetaan jenis entitas tunggal (misalnya, IP sumber dan IP tujuan) setiap hitungan secara terpisah.
  • Jika pemberitahuan berisi item yang melebihi batas ini, item berlebih tersebut tidak akan dikenali dan diekstraksi sebagai entitas.

• Batas ukuran untuk seluruh area entitas pemberitahuan ( bidang Entitas ) adalah 64 KB.

  • Bidang entitas yang tumbuh lebih besar dari 64 KB akan dipotong. Saat entitas diidentifikasi, entitas ditambahkan ke pemberitahuan satu per satu sampai ukuran bidang mencapai 64 KB, dan entitas apa pun yang belum diketahui dihilangkan dari pemberitahuan.

Catatan pada versi baru

• Karena versi baru sekarang tersedia secara umum (GA), solusi bendera fitur untuk menggunakan versi lama tidak lagi tersedia.

• Jika sebelumnya Anda telah menentukan pemetaan entitas untuk aturan analitik ini menggunakan versi lama, pemetaan tersebut akan otomatis dikonversi ke versi baru.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara memetakan bidang data ke entitas di aturan analitik Microsoft Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Jelajahi cara lain untuk memperkaya pemberitahuan Anda:
  • Menampilkan detail peristiwa kustom dalam pemberitahuan di Microsoft Azure Sentinel
  • Menyesuaikan detail pemberitahuan di Microsoft Azure Sentinel
• Dapatkan gambaran lengkap tentang aturan analisis kueri terjadwal.
• Pelajari entitas di Microsoft Sentinel lebih lanjut.