Eseguire il mapping dei campi dati alle entità in Microsoft Sentinel
Il mapping di entità è parte integrante della configurazione delle regole di analisi pianificata. Il mapping arricchisce l'output delle regole (avvisi ed eventi imprevisti) con informazioni essenziali che fungono da blocchi predefiniti di qualsiasi processo investigativo e azione correttiva che segue.
La procedura descritta di seguito fa parte della creazione guidata delle regole di analisi. Viene trattato in modo indipendente per affrontare lo scenario di aggiunta o modifica del mapping di entità in una regola di analisi esistente.
Importante
- Vedere "Note sulla nuova versione" alla fine di questo documento per informazioni importanti sulla compatibilità con le versioni precedenti e sulle differenze tra le versioni nuove e precedenti del mapping di entità.
- Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Come eseguire il mapping delle entità
Immettere la pagina Analisi nel portale tramite cui si accede a Microsoft Sentinel:
Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analytics.
Selezionare una regola di query pianificata e selezionare Modifica dal riquadro dei dettagli. In alternativa, creare una nuova regola facendo clic su Crea regola di query pianificata > nella parte superiore della schermata.
Selezionare la scheda Imposta logica delle regole. Nel caso di una nuova regola, digitare una query nella finestra Query della regola.
Nella sezione Miglioramento degli avvisi espandere Mapping di entità.
Nella sezione Mapping di entità ora espanso, selezionare Aggiungi nuova entità.
Nell'elenco a discesa Entità selezionare un tipo di entità.
Selezionare un identificatore per l'entità. Gli identificatori sono attributi di un'entità che possono identificarla sufficientemente. Sceglierne uno dall'elenco a discesa Identificatore, quindi scegliere un campo dati dall'elenco a discesa Valore che corrisponderà all'identificatore. Con alcune eccezioni, l'elenco Valore viene popolato dai campi dati nella tabella definita come oggetto della query della regola.
È possibile definire fino a tre identificatori per un determinato mapping di entità. Alcuni identificatori sono obbligatori, altri sono facoltativi. È necessario scegliere almeno un identificatore obbligatorio. In caso contrario, un messaggio di avviso indica quali identificatori sono necessari. Per ottenere risultati ottimali per una massima identificazione univoca, è consigliabile usare identificatori sicuri quando possibile; l'uso di più identificatori sicuri consentirà una maggiore correlazione tra origini dati. Vedere l'elenco completo di entità e identificatori disponibili.
Selezionare Aggiungi nuova entità per eseguire il mapping di altre entità. È possibile definire fino a 10 mapping di entità in una singola regola di analisi. È anche possibile eseguire il mapping di più di uno dello stesso tipo. Ad esempio, è possibile eseguire il mapping di due entità IP, una da un campo indirizzo IP di origine e una da un campo indirizzo IP di destinazione. In questo modo è possibile tenere traccia di entrambi.
Se si cambia idea o si è commesso un errore, è possibile rimuovere un mapping di entità facendo clic sull'icona del cestino accanto all'elenco a discesa dell'entità.
Al termine del mapping delle entità, fare clic sulla scheda Rivedi e crea. Al termine della convalida della regola, fare clic su Salva.
Nota
È possibile identificare fino a 500 entità collettivamente in un singolo avviso, diviso equamente tra tutti i mapping di entità definiti nella regola.
- Ad esempio, se nella regola sono definiti due mapping di entità, ogni mapping può identificare fino a 250 entità; se vengono definiti cinque mapping, ognuno può identificare fino a 100 entità e così via.
- I mapping multipli di un singolo tipo di entità (ad esempio, IP di origine e IP di destinazione) vengono conteggiate separatamente.
- Se un avviso contiene elementi che superano questo limite, tali elementi in eccesso non verranno riconosciuti ed estratti come entità.
Il limite di dimensioni per l'intera area di entità di un avviso (il campo Entità) è 64 KB.
- I campi Entità che aumentano oltre i 64 KB verranno troncati. Man mano che le entità vengono identificate, vengono aggiunte all'avviso uno per uno fino a quando le dimensioni del campo non raggiungono 64 KB e tutte le entità ancora non identificate vengono eliminate dall'avviso.
Note sulla nuova versione
Poiché la nuova versione è ora disponibile a livello generale, la soluzione alternativa per il flag di funzionalità per utilizzare la versione precedente non è più disponibile.
Se sono stati definiti in precedenza mapping di entità per questa regola di analisi usando la versione precedente, questi verranno convertiti automaticamente nella nuova versione.
Passaggi successivi
In questo documento si è appreso come eseguire il mapping dei campi dei dati alle entità nelle regole di analisi di Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Esplorare gli altri modi per arricchire gli avvisi:
- Ottenere l'immagine completa sulle regole di analisi delle query pianificate.
- Altre informazioni sulle entità in Microsoft Sentinel.