Condividi tramite


Eseguire il mapping dei campi dati alle entità in Microsoft Sentinel

Il mapping delle entità è parte integrante della configurazione delle regole di analisi delle query pianificate. Arricchisce l'output delle regole (avvisi e eventi imprevisti) con informazioni essenziali che fungono da blocchi predefiniti di qualsiasi processo investigativo e azioni correttive che seguono.

La procedura descritta di seguito fa parte della creazione guidata delle regole di analisi. Viene trattato in modo indipendente per affrontare lo scenario di aggiunta o modifica dei mapping di entità in una regola di analisi esistente.

Importante

  • Vedere "Note sulla nuova versione" alla fine di questo documento per informazioni importanti sulla compatibilità con le versioni precedenti e sulle differenze tra le versioni nuove e precedenti del mapping delle entità.
  • Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Come eseguire il mapping delle entità

  1. Immettere la pagina Analisi nel portale tramite cui si accede a Microsoft Sentinel:

    Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Selezionare una regola di query pianificata e selezionare Modifica nel riquadro dei dettagli. In alternativa, creare una nuova regola facendo clic su Crea > regola di query pianificata nella parte superiore della schermata.

  3. Selezionare la scheda Imposta logica delle regole. Se una nuova regola, digitare una query nella finestra Query regola .

  4. Nella sezione Miglioramento avvisi espandere Mapping entità.

    Espandere il mapping delle entità

  5. Nella sezione Mapping di entità ora espansa selezionare Aggiungi nuova entità.

    Screenshot che mostra come aggiungere una nuova entità.

  6. Selezionare un tipo di entità dall'elenco a discesa Entità .

    Scegliere un tipo di entità

  7. Selezionare un identificatore per l'entità. Gli identificatori sono attributi di un'entità che può identificarla sufficientemente. Scegliere uno dall'elenco a discesa Identificatore e quindi scegliere un campo dati dall'elenco a discesa Valore che corrisponderà all'identificatore. Con alcune eccezioni, l'elenco Valore viene popolato dai campi dati nella tabella definita come oggetto della query della regola.

    È possibile definire fino a tre identificatori per un determinato mapping di entità. Alcuni identificatori sono obbligatori, altri sono facoltativi. È necessario scegliere almeno un identificatore obbligatorio. In caso contrario, un messaggio di avviso indica quali identificatori sono necessari. Per ottenere risultati ottimali, per l'identificazione univoca massima, è consigliabile usare identificatori sicuri quando possibile e l'uso di più identificatori sicuri consentirà una maggiore correlazione tra origini dati. Vedere l'elenco completo delle entità e degli identificatori disponibili.

    Eseguire il mapping dei campi alle entità

  8. Selezionare Aggiungi nuova entità per eseguire il mapping di altre entità. È possibile definire fino a dieci mapping di entità in una singola regola di analisi. È anche possibile eseguire il mapping di più di uno dello stesso tipo. Ad esempio, è possibile eseguire il mapping di due entità IP , una da un campo indirizzo IP di origine e una da un campo indirizzo IP di destinazione. In questo modo è possibile tenere traccia di entrambi.

    Se si cambia idea o si è commesso un errore, è possibile rimuovere un mapping di entità facendo clic sull'icona del cestino accanto all'elenco a discesa dell'entità.

  9. Al termine del mapping delle entità, fare clic sulla scheda Rivedi e crea . Al termine della convalida della regola, fare clic su Salva.

Nota

  • È possibile identificare collettivamente fino a 500 entità in un singolo avviso, suddivise equamente in tutti i mapping di entità definiti nella regola.

    • Ad esempio, se nella regola sono definiti due mapping di entità, ogni mapping può identificare fino a 250 entità; se vengono definiti cinque mapping, ognuno può identificare fino a 100 entità e così via.
    • Ogni conteggio viene eseguito separatamente da più mapping di un singolo tipo di entità (ad esempio, IP di origine e IP di destinazione).
    • Se un avviso contiene elementi in eccesso a questo limite, tali elementi in eccesso non verranno riconosciuti ed estratti come entità.
  • Il limite di dimensioni per l'intera area delle entità di un avviso (campo Entità ) è di 64 KB.

    • I campi delle entità che aumentano di più di 64 KB verranno troncati. Man mano che le entità vengono identificate, vengono aggiunte all'avviso uno per uno fino a quando le dimensioni del campo non raggiungono 64 KB e tutte le entità ancora non identificate vengono eliminate dall'avviso.

Note sulla nuova versione

  • Poiché la nuova versione è ora disponibile a livello generale, la soluzione alternativa per il flag di funzionalità per l'uso della versione precedente non è più disponibile.

  • Se sono stati definiti in precedenza mapping di entità per questa regola di analisi usando la versione precedente, questi verranno convertiti automaticamente nella nuova versione.

Passaggi successivi

In questo documento si è appreso come eseguire il mapping dei campi dati alle entità nelle regole di analisi di Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: