Pagine di entità in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Quando si incontra un account utente, un nome host, un indirizzo IP o una risorsa di Azure in un'indagine sugli eventi imprevisti, è possibile decidere di voler saperne di più. Ad esempio, potrebbe essere necessario conoscere la cronologia delle attività, se è presente in altri avvisi o eventi imprevisti, se è stato eseguito qualsiasi operazione imprevista o fuori carattere e così via.For example, you might want to know its activity history, whether it's appeared in other alerts or incidents, whether it's done anything unexpected or out of character, and so on. In breve, si vogliono informazioni che consentono di determinare quale tipo di minaccia queste entità rappresentano e guidano l'indagine di conseguenza.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Pagine delle entità

In queste situazioni, è possibile selezionare l'entità (verrà visualizzata come collegamento selezionabile) e passare a una pagina di entità, un foglio dati completo di informazioni utili su tale entità. È anche possibile arrivare a una pagina di entità cercando direttamente le entità nella pagina comportamento dell'entità di Microsoft Sentinel. I tipi di informazioni disponibili nelle pagine delle entità includono i fatti di base sull'entità, una sequenza temporale di eventi rilevanti correlati a questa entità e informazioni dettagliate sul comportamento dell'entità.

In particolare, le pagine di entità sono costituite da tre parti:

• Il pannello a sinistra contiene le informazioni di identificazione dell'entità, raccolte da origini dati come Microsoft Entra ID, Monitoraggio di Azure, Attività di Azure, Azure Resource Manager, Microsoft Defender per il cloud, CEF/Syslog e Microsoft Defender XDR (con tutti i relativi componenti).

• Il pannello centrale mostra una sequenza temporale grafica e testuale di eventi rilevanti correlati all'entità, ad esempio avvisi, segnalibri, anomalie e attività. Le attività sono aggregazioni di eventi rilevanti fornite da Log Analytics. Le query che rilevano tali attività vengono sviluppate dai team di ricerca sulla sicurezza Microsoft ed è ora possibile aggiungere query personalizzate per rilevare le attività desiderate.

• Il pannello a destra presenta informazioni comportamentali sull'entità. Queste informazioni dettagliate vengono sviluppate continuamente dai team di ricerca sulla sicurezza Microsoft. Si basano su varie origini dati e forniscono contesto per l'entità e le relative attività osservate, consentendo di identificare rapidamente il comportamento anomalo e le minacce alla sicurezza.

  A partire da novembre 2023, la nuova generazione di informazioni dettagliate sta iniziando a essere resa disponibile in ANTEPRIMA, sotto forma di widget di arricchimento. Queste nuove informazioni dettagliate possono integrare i dati da origini esterne e ottenere aggiornamenti in tempo reale e possono essere visualizzati insieme alle informazioni dettagliate esistenti. Per sfruttare i vantaggi di questi nuovi widget, è necessario abilitare l'esperienza del widget.

Se si sta analizzando un evento imprevisto usando la nuova esperienza di indagine, sarà possibile visualizzare una versione panelizzata della pagina dell'entità direttamente all'interno della pagina dei dettagli dell'evento imprevisto. È presente un elenco di tutte le entità in un determinato evento imprevisto e la selezione di un'entità apre un pannello laterale con tre "schede" (Info, Sequenza temporale e Informazioni dettagliate), che mostrano tutte le stesse informazioni descritte in precedenza, entro l'intervallo di tempo specifico corrispondente a quello degli avvisi nell'evento imprevisto.

Se si usa la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender, i pannelli sequenza temporale e informazioni dettagliate vengono visualizzati nella scheda Eventi di Sentinel della pagina dell'entità Defender.

Azure portal

Portale di Defender

Sequenza temporale

Azure portal

La sequenza temporale è una parte importante della pagina dell'entità che contribuisce all'analisi del comportamento in Microsoft Sentinel. Presenta una storia degli eventi correlati all'entità, che permette di comprendere l'attività dell'entità in un intervallo di tempo specifico.

È possibile scegliere l'intervallo di tempo tra diverse opzioni predefinite, ad esempio le ultime 24 ore, o impostarlo su qualsiasi intervallo di tempo personalizzato. Inoltre, è possibile impostare i filtri che limitano le informazioni nella sequenza temporale a tipi specifici di eventi o avvisi.

Nella sequenza temporale sono inclusi i tipi di elementi seguenti.

• Avvisi: tutti gli avvisi in cui l'entità è definita come entità mappata. Si noti che, se l'organizzazione ha creato avvisi personalizzati usando le regole di analisi, è necessario assicurarsi che il mapping di entità delle regole venga eseguito correttamente.

• Segnalibri: tutti i segnalibri che includono l'entità specifica visualizzata nella pagina.

• Anomalie: rilevamenti UEBA basati su baseline dinamiche create per ogni entità in diversi input di dati e rispetto alle proprie attività cronologiche, a quelle dei peer e a quelle dell'intera organizzazione.

• Attività: aggregazione di eventi rilevanti relativi all'entità. Una vasta gamma di attività vengono raccolte automaticamente ed è ora possibile personalizzare questa sezione aggiungendo attività personalizzate.

Portale di Defender

La sequenza temporale nella scheda Eventi di Sentinel aggiunge una parte importante del contributo della pagina di entità all'analisi del comportamento nella piattaforma unificata per le operazioni di sicurezza in Microsoft Defender. Presenta una storia degli eventi correlati all'entità, che permette di comprendere l'attività dell'entità in un intervallo di tempo specifico.

In particolare, gli avvisi e gli eventi della sequenza temporale degli eventi sentinel provenienti da origini di terze parti raccolte solo da Microsoft Sentinel, ad esempio syslog/CEF e i log personalizzati inseriti tramite l'agente di Monitoraggio di Azure o i connettori personalizzati.

Nella sequenza temporale sono inclusi i tipi di elementi seguenti.

• Avvisi: tutti gli avvisi in cui l'entità è definita come entità mappata. Si noti che, se l'organizzazione ha creato avvisi personalizzati usando le regole di analisi, è necessario assicurarsi che il mapping di entità delle regole venga eseguito correttamente.

• Segnalibri: tutti i segnalibri che includono l'entità specifica visualizzata nella pagina.

• Anomalie: rilevamenti UEBA basati su baseline dinamiche create per ogni entità in diversi input di dati e rispetto alle proprie attività cronologiche, a quelle dei peer e a quelle dell'intera organizzazione.

• Attività: aggregazione di eventi rilevanti relativi all'entità. Una vasta gamma di attività vengono raccolte automaticamente ed è ora possibile personalizzare questa sezione aggiungendo attività personalizzate.

Questa sequenza temporale visualizza le informazioni delle ultime 24 ore. Questo periodo non è attualmente regolabile.

Informazioni dettagliate sulle entità

Le informazioni dettagliate sulle entità sono query definite dai ricercatori di sicurezza Microsoft per permettere agli analisti di condurre le indagini in modo più efficiente ed efficace. Le informazioni dettagliate vengono presentate come parte della pagina dell'entità e forniscono informazioni di sicurezza importanti su host e utenti, sotto forma di dati tabulari e grafici. Avere le informazioni a disposizioni elimina la necessità di ricorrere a Log Analytics. Le informazioni dettagliate includono i dati relativi agli accessi, alle aggiunte di gruppo, agli eventi anomali e altro ancora e includono algoritmi di Machine Learning avanzati per rilevare il comportamento anomalo.

Le informazioni dettagliate sono basate sulle origini dati seguenti:

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (Microsoft Entra ID)
• SigninLogs (Microsoft Entra ID)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Heartbeat (agente di Monitoraggio di Azure)
• CommonSecurityLog (Microsoft Sentinel)

In generale, ogni informazioni dettagliate sull'entità visualizzate nella pagina dell'entità è accompagnata da un collegamento che consente di passare a una pagina in cui viene visualizzata la query sottostante le informazioni dettagliate, insieme ai risultati, in modo da poter esaminare i risultati in modo più approfondito.

• In Microsoft Sentinel nel portale di Azure il collegamento consente di accedere alla pagina Log.
• Nella piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender, il collegamento consente di passare alla pagina Ricerca avanzata.

Come usare le pagine delle entità

Le pagine di entità sono progettate per far parte di più scenari di utilizzo e possono essere accessibili dalla gestione degli eventi imprevisti, dal grafico di indagine, dai segnalibri o direttamente dalla pagina di ricerca delle entità in Comportamento entità nel menu principale di Microsoft Sentinel.

Le informazioni sulla pagina delle entità vengono archiviate nella tabella BehaviorAnalytics , descritta in dettaglio nelle informazioni di riferimento UEBA di Microsoft Sentinel.

Pagine di entità supportate

Microsoft Sentinel offre attualmente le pagine di entità seguenti:

• Account utente

• Host

• Indirizzo IP (anteprima)

  Nota

  La pagina dell'entità indirizzo IP (ora in anteprima) contiene i dati di georilevazione forniti dal servizio Microsoft Threat Intelligence. Questo servizio combina i dati di georilevazione provenienti da soluzioni Microsoft e fornitori e partner di terze parti. I dati sono quindi disponibili per l'analisi e l'analisi nel contesto di un evento imprevisto di sicurezza. Per altre informazioni, vedere anche Arricchire le entità in Microsoft Sentinel con dati di georilevazione tramite l'API REST (anteprima pubblica).

• Risorsa di Azure (anteprima)

• Dispositivo IoT (anteprima): solo in Microsoft Sentinel nel portale di Azure per il momento.

Passaggi successivi

In questo documento si è appreso come ottenere informazioni sulle entità in Microsoft Sentinel usando le pagine di entità. Per altre informazioni sulle entità e su come usarle, vedere gli articoli seguenti:

• Informazioni sulle entità in Microsoft Sentinel.
• Personalizzare le attività nelle sequenze temporali delle pagine delle entità.
• Identificare le minacce avanzate con Analisi del comportamento dell'utente e dell'entità in Microsoft Sentinel
• Abilitare l'analisi del comportamento delle entità in Microsoft Sentinel.
• Cercare minacce per la sicurezza.