Entitas di Microsoft Azure Sentinel
Saat pemberitahuan dikirim atau dihasilkan oleh Microsoft Azure Sentinel, pemberitahuan tersebut berisi elemen data yang dapat dikenali dan diklasifikasikan Sentinel ke dalam kategori sebagai entitas. Ketika Microsoft Azure Sentinel memahami jenis entitas yang diwakili elemen data tertentu, Microsoft Azure Sentinel mengetahui pertanyaan yang tepat untuk ditanyakan tentang hal itu, dan kemudian dapat membandingkan wawasan tentang item tersebut di seluruh rentang sumber data, dan dengan mudah melacaknya dan merujuknya di seluruh pengalaman Sentinel - analitik, penyelidikan, remediasi, perburuan, dan sebagainya. Beberapa contoh umum entitas adalah akun pengguna, host, kotak surat, alamat IP, file, aplikasi cloud, proses, dan URL.
Penting
Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Di portal Microsoft Defender, entitas umumnya termasuk dalam dua kategori utama:
Kategori entitas | Karakterisasi | Contoh utama |
---|---|---|
Aset | ||
Entitas lain (bukti) |
Pengidentifikasi entitas
Microsoft Azure Sentinel mendukung berbagai jenis entitas. Setiap jenis memiliki atribut uniknya sendiri, yang direpresentasikan sebagai bidang dalam skema entitas, dan disebut pengidentifikasi. Lihat daftar lengkap entitas yang didukung di bawah ini, dan kumpulan lengkap skema entitas dan pengidentifikasi dalam referensi jenis entitas Microsoft Azure Sentinel.
Pengidentifikasi yang kuat dan lemah
Untuk setiap jenis entitas ada bidang, atau kumpulan bidang, yang dapat mengidentifikasi instans tertentu dari entitas tersebut. Bidang atau set bidang ini dapat disebut sebagai pengidentifikasi yang kuat jika dapat mengidentifikasi entitas secara unik tanpa ambiguitas, atau sebagai pengidentifikasi yang lemah jika dapat mengidentifikasi entitas dalam beberapa keadaan, tetapi tidak dijamin untuk mengidentifikasi entitas secara unik dalam semua kasus. Namun, dalam banyak kasus, pilihan pengidentifikasi yang lemah dapat dikombinasikan untuk menghasilkan pengidentifikasi yang kuat.
Misalnya, akun pengguna dapat diidentifikasi sebagai entitas akun dengan lebih dari satu cara: menggunakan satu pengidentifikasi kuat seperti pengidentifikasi numerik akun Microsoft Entra (bidang GUID), atau nilai Nama Prinsipal Pengguna (UPN), atau sebagai alternatif, menggunakan kombinasi pengidentifikasi lemah seperti bidang Nama dan NTDomain-nya. Sumber data yang berbeda dapat mengidentifikasi pengguna yang sama dengan cara yang berbeda. Setiap kali Microsoft Azure Sentinel menemukan dua entitas yang dapat dikenali sebagai entitas yang sama berdasarkan pengidentifikasinya, ia menggabungkan kedua entitas tersebut menjadi satu entitas, sehingga dapat ditangani dengan baik dan konsisten.
Namun, jika salah satu penyedia sumber daya Anda membuat pemberitahuan di mana entitas tidak cukup diidentifikasi—misalnya, hanya menggunakan satu pengidentifikasi lemah seperti nama pengguna tanpa konteks nama domain—maka entitas pengguna tidak dapat digabungkan dengan instans lain dari akun pengguna yang sama. Contoh lain tersebut akan diidentifikasi sebagai entitas terpisah, dan kedua entitas itu akan tetap terpisah alih-alih bersatu.
Untuk meminimalkan risiko terjadinya hal ini, Anda harus memverifikasi bahwa semua penyedia pemberitahuan Anda mengidentifikasi entitas dengan benar dalam pemberitahuan yang mereka hasilkan. Selain itu, menyinkronkan entitas akun pengguna dengan ID Microsoft Entra dapat membuat direktori pemersatu, yang akan dapat menggabungkan entitas akun pengguna.
Entitas yang didukung
Jenis entitas berikut yang saat ini diidentifikasi di Microsoft Azure Sentinel:
- Rekening
- Host
- Alamat IP
- URL
- Sumber daya Azure
- Aplikasi cloud
- Resolusi DNS
- File
- Hash file
- Malware
- Proses
- Kunci Registri
- Nilai registri
- Kelompok keamanan
- Kotak Pesan
- Kluster surat
- Pesan surat
- Pengiriman surat
Anda dapat melihat pengidentifikasi entitas ini dan informasi relevan lainnya dalam referensi entitas.
Pemetaan entitas
Bagaimana Microsoft Azure Sentinel mengenali sepotong data dalam pemberitahuan sebagai mengidentifikasi entitas?
Mari kita lihat bagaimana pemrosesan data dilakukan di Microsoft Azure Sentinel. Data diserap dari berbagai sumber melalui konektor, baik layanan ke layanan, berbasis agen, atau berbasis API. Data disimpan dalam tabel di ruang kerja Analitik Log Anda. Tabel ini dikueri secara berkala oleh aturan analitik terjadwal atau hampir real-time yang telah Anda tentukan dan aktifkan, atau sesuai permintaan sebagai bagian dari kueri perburuan saat Anda berburu ancaman. Bagian dari definisi aturan analitik dan kueri perburuan ini adalah pemetaan bidang data dalam tabel ke jenis entitas yang dikenali oleh Microsoft Azure Sentinel. Menurut pemetaan yang Anda tentukan, Microsoft Azure Sentinel akan mengambil bidang dari hasil yang dikembalikan oleh kueri Anda, mengenalinya oleh pengidentifikasi yang Anda tentukan untuk setiap jenis entitas, dan menerapkannya jenis entitas yang diidentifikasi oleh pengidentifikasi tersebut.
Apa gunanya semua ini?
Ketika Microsoft Sentinel dapat mengidentifikasi entitas dalam pemberitahuan dari berbagai jenis sumber data, dan terutama jika dapat melakukannya menggunakan pengidentifikasi kuat yang umum untuk setiap sumber data atau ke skema lain, itu kemudian dapat dengan mudah berkorelasi antara semua pemberitahuan dan sumber data ini. Korelasi ini membantu membangun penyimpanan informasi dan wawasan yang kaya tentang entitas, memberi Anda fondasi dan konteks yang kuat untuk menyelidiki dan menanggapi ancaman keamanan.
Pelajari cara memetakan bidang data ke entitas.
Pelajari pengidentifikasi mana yang sangat mengidentifikasi entitas.
halaman entitas
Informasi tentang halaman entitas sekarang dapat ditemukan di halaman Entitas di Microsoft Azure Sentinel.
Langkah berikutnya
Dalam dokumen ini, Anda belajar tentang bekerja dengan entitas di Microsoft Azure Sentinel. Untuk panduan praktis tentang implementasi dan untuk menggunakan wawasan yang Anda peroleh, lihat artikel berikut:
- Aktifkan analitik perilaku entitas di Microsoft Azure Sentinel.
- Lakukan perburuan ancaman keamanan.