Classificare e analizzare i dati usando entità in Microsoft Sentinel

  • Articolo

Quando gli avvisi vengono inviati o generati da Microsoft Sentinel, contengono elementi di dati che Sentinel può riconoscere e classificare in categorie come entità. Quando Microsoft Sentinel riconosce il tipo di entità rappresentato da un particolare elemento di dati, conosce le domande corrette da porre e può quindi confrontare informazioni dettagliate su tale elemento nell'intera gamma di origini dati e tenerlo facilmente traccia e farvi riferimento nell'intera esperienza sentinel: analisi, analisi, correzione, ricerca e così via. Alcuni esempi comuni di entità sono account utente, host, file, processi, indirizzi IP e URL.

Identificatori di entità

Microsoft Sentinel supporta un'ampia gamma di tipi di entità. Ogni tipo ha attributi univoci specifici, inclusi alcuni che possono essere usati per identificare una determinata entità. Questi attributi sono rappresentati come campi nell'entità e vengono chiamati identificatori. Vedere l'elenco completo delle entità supportate e dei relativi identificatori di seguito.

Identificatori sicuri e deboli

Come indicato in precedenza, per ogni tipo di entità sono presenti campi o set di campi che possono identificarlo. Questi campi o set di campi possono essere definiti identificatori sicuri se possono identificare in modo univoco un'entità senza ambiguità o come identificatori deboli se possono identificare un'entità in alcune circostanze, ma non è garantito identificare in modo univoco un'entità in tutti i casi. In molti casi, tuttavia, è possibile combinare una selezione di identificatori deboli per produrre un identificatore sicuro.

Ad esempio, gli account utente possono essere identificati come entità account in più modi: usando un singolo identificatore sicuro come l'identificatore numerico di un account Azure AD (il campo GUID ) o il relativo valore UPN (User Principal Name) o in alternativa, usando una combinazione di identificatori deboli come i relativi campi Name e NTDomain . Origini dati diverse possono identificare lo stesso utente in modi diversi. Ogni volta che Microsoft Sentinel rileva due entità che può riconoscere come la stessa entità in base ai relativi identificatori, unisce le due entità in una singola entità, in modo che possa essere gestita correttamente e in modo coerente.

Se, tuttavia, uno dei provider di risorse crea un avviso in cui un'entità non è sufficientemente identificata, ad esempio usando solo un singolo identificatore debole come un nome utente senza il contesto del nome di dominio, l'entità utente non può essere unita ad altre istanze dello stesso account utente. Tali altre istanze verranno identificate come entità separate e queste due entità rimarranno separate anziché unificate.

Per ridurre al minimo il rischio che si verifichi questo problema, è necessario verificare che tutti i provider di avvisi identifichino correttamente le entità negli avvisi che producono. Inoltre, la sincronizzazione delle entità account utente con Azure Active Directory può creare una directory di unione, che sarà in grado di unire entità account utente.

Entità supportate

Di seguito sono riportati i tipi di entità attualmente identificati in Microsoft Sentinel:

  • Account
  • Host
  • indirizzo IP
  • URL
  • Risorsa di Azure
  • Applicazione cloud
  • Risoluzione DNS
  • File
  • Hash file
  • Malware
  • Processo
  • Chiave del Registro di sistema
  • Valore del Registro di sistema
  • Gruppo di protezione
  • Mailbox
  • Cluster di posta
  • Messaggio di posta
  • Posta elettronica inviata

È possibile visualizzare gli identificatori di queste entità e altre informazioni pertinenti nel riferimento alle entità.

Mapping di entità

In che modo Microsoft Sentinel riconosce una parte di dati in un avviso come identificazione di un'entità?

Si esamini ora come viene eseguita l'elaborazione dei dati in Microsoft Sentinel. I dati vengono inseriti da varie origini tramite connettori, da servizio a servizio, basati su agenti o tramite un servizio syslog e un server d'inoltro dei log. I dati vengono archiviati nelle tabelle nell'area di lavoro Log Analytics. Queste tabelle vengono quindi sottoposte a query a intervalli pianificati regolarmente in base alle regole di analisi definite e abilitate. Una delle numerose azioni eseguite da queste regole di analisi è il mapping dei campi dati nelle tabelle alle entità riconosciute da Microsoft Sentinel. In base ai mapping definiti nelle regole di analisi, Microsoft Sentinel accetta campi dai risultati restituiti dalla query, li riconosce dagli identificatori specificati per ogni tipo di entità e si applica al tipo di entità identificato da tali identificatori.

Qual è il punto di tutto questo?

Quando Microsoft Sentinel è in grado di identificare le entità negli avvisi provenienti da diversi tipi di origini dati, e soprattutto se può farlo usando identificatori sicuri comuni a ogni origine dati o a un terzo schema, può quindi correlare facilmente tra tutti questi avvisi e origini dati. Queste correlazioni consentono di creare un archivio avanzato di informazioni e informazioni dettagliate sulle entità, offrendo una solida base per le operazioni di sicurezza.

Informazioni su come eseguire il mapping dei campi dati alle entità.

Informazioni su quali identificatori identificano fortemente un'entità.

Pagine delle entità

Le informazioni sulle pagine delle entità sono ora disponibili in Analizzare le entità con pagine di entità in Microsoft Sentinel.

Passaggi successivi

In questo documento si è appreso come usare le entità in Microsoft Sentinel. Per indicazioni pratiche sull'implementazione e per usare le informazioni dettagliate acquisite, vedere gli articoli seguenti: