Entità in Microsoft Sentinel
Quando gli avvisi vengono inviati o generati da Microsoft Sentinel, contengono elementi di dati che Sentinel può riconoscere e classificare in categorie come entità. Quando Microsoft Sentinel comprende il tipo di entità rappresentata da un particolare elemento dati, conosce le domande giuste da porre e può quindi confrontare le informazioni dettagliate su tale elemento nell'intera gamma di origini dati e tenerle facilmente traccia e farvi riferimento nell'intera esperienza di Sentinel: analisi, analisi, correzione, ricerca e così via. Alcuni esempi comuni di entità sono account utente, host, cassette postali, indirizzi IP, file, applicazioni cloud, processi e URL.
Importante
Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Nella piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender, le entità in genere rientrano in due categorie principali:
| Categoria di entità | Caratterizzazione | Esempi principali |
|---|---|---|
| Asset | ||
| Altre entità (evidenza) |
Identificatori di entità
Microsoft Sentinel supporta un'ampia gamma di tipi di entità. Ogni tipo ha i propri attributi univoci, rappresentati come campi nello schema dell'entità e denominati identificatori. Vedere l'elenco completo delle entità supportate di seguito e il set completo di schemi di entità e identiferi nelle informazioni di riferimento sui tipi di entità di Microsoft Sentinel.
Identificatori sicuri e deboli
Per ogni tipo di entità sono presenti campi o set di campi in grado di identificare istanze specifiche di tale entità. Questi campi o set di campi possono essere definiti identificatori sicuri se possono identificare in modo univoco un'entità senza ambiguità o come identificatori deboli se possono identificare un'entità in alcune circostanze, ma non sono garantiti per identificare in modo univoco un'entità in tutti i casi. In molti casi, tuttavia, una selezione di identificatori deboli può essere combinata per produrre un identificatore sicuro.
Ad esempio, gli account utente possono essere identificati come entità di account in più modi: usando un singolo identificatore sicuro come l'identificatore numerico di un account Microsoft Entra (il campo GUID ) o il relativo valore UPN (User Principal Name) o in alternativa, usando una combinazione di identificatori deboli come i relativi campi Name e NTDomain . Origini dati diverse possono identificare lo stesso utente in modi diversi. Ogni volta che Microsoft Sentinel rileva due entità che può riconoscere come la stessa entità in base ai relativi identificatori, unisce le due entità in una singola entità, in modo che possa essere gestita correttamente e in modo coerente.
Se, tuttavia, uno dei provider di risorse crea un avviso in cui un'entità non è sufficientemente identificata, ad esempio usando un solo identificatore debole come un nome utente senza il contesto del nome di dominio, l'entità utente non può essere unita ad altre istanze dello stesso account utente. Tali altre istanze vengono identificate come entità separate e queste due entità rimarranno separate anziché unificate.
Per ridurre al minimo il rischio che si verifichi questo problema, è necessario verificare che tutti i provider di avvisi identifichino correttamente le entità negli avvisi che producono. Inoltre, la sincronizzazione delle entità account utente con Microsoft Entra ID può creare una directory di unione, che sarà in grado di unire entità account utente.
Entità supportate
Di seguito sono riportati i tipi di entità attualmente identificati in Microsoft Sentinel:
- Conto
- Host
- Indirizzo IP
- URL
- Risorsa di Azure
- Applicazione cloud
- Risoluzione DNS
- file
- Hash di file
- Malware
- Processo
- Chiave del Registro di sistema
- Valore del Registro di sistema
- Gruppo di sicurezza
- Cassetta postale
- Cluster di posta elettronica
- Messaggio di posta elettronica
- Posta di invio
È possibile visualizzare gli identificatori di queste entità e altre informazioni pertinenti nel riferimento alle entità.
Mapping di entità
In che modo Microsoft Sentinel riconosce una parte di dati in un avviso come identificazione di un'entità?
Si esaminerà ora come viene eseguita l'elaborazione dei dati in Microsoft Sentinel. I dati vengono inseriti da varie origini tramite connettori, che si tratti di servizi a servizio, basati su agente o basati su API. I dati vengono archiviati in tabelle nell'area di lavoro Log Analytics. Queste tabelle vengono sottoposte a query a intervalli regolari in base alle regole di analisi pianificate o quasi in tempo reale definite e abilitate oppure su richiesta come parte delle query di ricerca quando si cercano minacce. Parte della definizione di queste regole di analisi e query di ricerca è il mapping dei campi dati nelle tabelle ai tipi di entità riconosciuti da Microsoft Sentinel. In base ai mapping definiti, Microsoft Sentinel prende i campi dai risultati restituiti dalla query, li riconosce dagli identificatori specificati per ogni tipo di entità e li applica al tipo di entità identificato da tali identificatori.
Qual è il punto di tutto questo?
Quando Microsoft Sentinel è in grado di identificare le entità negli avvisi di diversi tipi di origini dati e soprattutto se può farlo usando identificatori sicuri comuni a ogni origine dati o a un altro schema, può quindi correlare facilmente tra tutti questi avvisi e origini dati. Queste correlazioni consentono di creare un archivio avanzato di informazioni e informazioni dettagliate sulle entità, offrendo una solida base e contesto per l'analisi e la risposta alle minacce alla sicurezza.
Informazioni su come eseguire il mapping dei campi dati alle entità.
Informazioni su quali identificatori identificano fortemente un'entità.
Pagine delle entità
Le informazioni sulle pagine delle entità sono ora disponibili in Pagine entità in Microsoft Sentinel.
Passaggi successivi
In questo documento si è appreso come usare le entità in Microsoft Sentinel. Per indicazioni pratiche sull'implementazione e per usare le informazioni dettagliate acquisite, vedere gli articoli seguenti:
- Abilitare l'analisi del comportamento delle entità in Microsoft Sentinel.
- Cercare minacce per la sicurezza.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per