Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando gli avvisi vengono inviati o generati da Microsoft Sentinel, contengono elementi dati che Sentinel possono riconoscere e classificare in categorie come entità. Quando Microsoft Sentinel comprende il tipo di entità rappresentato da un particolare elemento dati, conosce le domande corrette da porre al riguardo e può quindi confrontare le informazioni dettagliate su tale elemento nell'intera gamma di origini dati e monitorarle facilmente e farvi riferimento durante l'intera esperienza di Sentinel: analisi, analisi, correzione, ricerca e così via. Alcuni esempi comuni di entità sono account utente, host, cassette postali, indirizzi IP, file, applicazioni cloud, processi e URL.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Nel portale di Microsoft Defender le entità rientrano in genere in due categorie principali:
| Categoria di entità | Caratterizzazione | Esempi principali |
|---|---|---|
| Risorse | ||
| Altre entità (evidenza) |
Identificatori di entità
Microsoft Sentinel supporta un'ampia gamma di tipi di entità. Ogni tipo ha i propri attributi univoci, rappresentati come campi nello schema dell'entità e denominati identificatori. Vedere l'elenco completo delle entità supportate di seguito e il set completo di identificatori e schemi di entità in Microsoft Sentinel riferimento ai tipi di entità.
Identificatori sicuri e deboli
Per ogni tipo di entità sono presenti campi, o set di campi, che possono identificare istanze specifiche di tale entità. Questi campi o set di campi possono essere definiti identificatori sicuri se possono identificare in modo univoco un'entità senza ambiguità o come identificatori deboli se possono identificare un'entità in alcune circostanze, ma non sono garantiti per identificare in modo univoco un'entità in tutti i casi. In molti casi, tuttavia, è possibile combinare una selezione di identificatori deboli per produrre un identificatore sicuro.
Ad esempio, gli account utente possono essere identificati come entità account in più modi: usando un singolo identificatore sicuro come l'identificatore numerico di un account Microsoft Entra (il campo GUID) o il relativo valore UPN (User Principal Name) o in alternativa, usando una combinazione di identificatori deboli come i campi Name e NTDomain. Origini dati diverse possono identificare lo stesso utente in modi diversi. Ogni volta che Microsoft Sentinel rileva due entità che può riconoscere come la stessa entità in base ai relativi identificatori, unisce le due entità in una singola entità, in modo che possa essere gestita in modo corretto e coerente.
Se, tuttavia, uno dei provider di risorse crea un avviso in cui un'entità non è sufficientemente identificata, ad esempio usando un solo identificatore debole come un nome utente senza il contesto del nome di dominio, l'entità utente non può essere unita ad altre istanze dello stesso account utente. Tali altre istanze vengono identificate come entità separate e queste due entità rimarranno separate anziché unificate.
Per ridurre al minimo il rischio che ciò accada, è necessario verificare che tutti i provider di avvisi identifichino correttamente le entità negli avvisi generati. Inoltre, la sincronizzazione delle entità dell'account utente con Microsoft Entra ID può creare una directory unificante, che sarà in grado di unire le entità dell'account utente.
Entità supportate
I tipi di entità seguenti sono attualmente identificati in Microsoft Sentinel:
- Account
- Host
- Indirizzo IP
- URL
- Azure risorsa
- Applicazione cloud
- Risoluzione DNS
- File
- Hash del file
- Malware
- Procedura
- Chiave del Registro di sistema
- Valore del Registro di sistema
- Gruppo di sicurezza
- Cassetta postale
- Cluster di posta elettronica
- Messaggio di posta elettronica
- Posta elettronica invio
È possibile visualizzare gli identificatori di queste entità e altre informazioni rilevanti nel riferimento alle entità.
Mapping di entità
In che modo Microsoft Sentinel riconosce una parte di dati in un avviso come identificazione di un'entità?
Si esaminerà ora come viene eseguita l'elaborazione dei dati in Microsoft Sentinel. I dati vengono inseriti da varie origini tramite connettori, sia da servizio a servizio, basati su agente o basati su API. I dati vengono archiviati in tabelle nell'area di lavoro Log Analytics. Queste tabelle vengono sottoposte a query a intervalli regolari dalle regole di analisi pianificate o quasi in tempo reale definite e abilitate oppure su richiesta come parte della ricerca di query quando si cercano minacce. Parte della definizione di queste regole di analisi e query di ricerca è il mapping dei campi dati nelle tabelle ai tipi di entità riconosciuti da Microsoft Sentinel. In base ai mapping definiti, Microsoft Sentinel prenderà i campi dai risultati restituiti dalla query, li riconoscerà in base agli identificatori specificati per ogni tipo di entità e applicherà loro il tipo di entità identificato da tali identificatori.
Qual è lo scopo di tutto questo?
Quando Microsoft Sentinel è in grado di identificare le entità negli avvisi da tipi diversi di origini dati e soprattutto se può farlo usando identificatori sicuri comuni a ogni origine dati o a un altro schema, può quindi essere facilmente correlato tra tutti questi avvisi e origini dati. Queste correlazioni consentono di creare un archivio completo di informazioni e informazioni dettagliate sulle entità, offrendo una solida base e un contesto per l'analisi e la risposta alle minacce alla sicurezza.
Informazioni su come eseguire il mapping dei campi dati alle entità.
Informazioni su quali identificatori identificano fortemente un'entità.
Pagine di entità
Le informazioni sulle pagine delle entità sono ora disponibili in Pagine entità in Microsoft Sentinel.
Passaggi successivi
In questo documento si è appreso come usare le entità in Microsoft Sentinel. Per indicazioni pratiche sull'implementazione e per usare le informazioni dettagliate acquisite, vedere gli articoli seguenti:
- Abilitare l'analisi del comportamento delle entità in Microsoft Sentinel.
- Cercare le minacce alla sicurezza.