Eseguire il mapping dei campi dati alle entità in Microsoft Sentinel

  • Articolo

Importante

  • Vedere "Note sulla nuova versione" alla fine di questo documento per informazioni importanti sulla compatibilità con le versioni precedenti e sulle differenze tra le versioni nuove e precedenti del mapping delle entità.

Introduzione

Il mapping delle entità è parte integrante della configurazione delle regole di analisi delle query pianificate. Arricchisce l'output delle regole (avvisi e incidenti) con informazioni essenziali che fungono da blocchi predefiniti di qualsiasi processo investigativo e azioni correttive che seguono.

La procedura descritta di seguito fa parte della creazione guidata delle regole di analisi. Viene trattato in modo indipendente per affrontare lo scenario di aggiunta o modifica dei mapping di entità in una regola di analisi esistente.

Come eseguire il mapping delle entità

  1. Nel menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Selezionare una regola di query pianificata e selezionare Modifica nel riquadro dei dettagli. In alternativa, creare una nuova regola facendo clic su Crea > regola di query pianificata nella parte superiore della schermata.

  3. Selezionare la scheda Imposta logica regola .

  4. Nella sezione Arricchimento avvisi espandere Mapping entità.

    Espandere il mapping delle entità

  5. Nella sezione Mapping delle entità ora espansa selezionare un tipo di entità dall'elenco a discesa Tipo di entità.

    Scegliere un tipo di entità

  6. Selezionare un identificatore per l'entità. Gli identificatori sono attributi di un'entità in grado di identificarla sufficientemente. Scegliere uno dall'elenco a discesa Identificatore e quindi scegliere un campo dati dall'elenco a discesa Valore che corrisponderà all'identificatore. Con alcune eccezioni, l'elenco Valore viene popolato dai campi dati nella tabella definita come oggetto della query della regola.

    È possibile definire fino a tre identificatori per una determinata entità. Alcuni identificatori sono obbligatori, altri sono facoltativi. È necessario scegliere almeno un identificatore obbligatorio. In caso contrario, un messaggio di avviso indicherà quali identificatori sono necessari. Per ottenere risultati ottimali: per l'identificazione univoca massima, è consigliabile usare identificatori sicuri quando possibile e l'uso di più identificatori sicuri consentirà una maggiore correlazione tra le origini dati. Vedere l'elenco completo delle entità e degli identificatori disponibili.

    Eseguire il mapping dei campi alle entità

  7. Fare clic su Aggiungi nuova entità per eseguire il mapping di altre entità. È possibile eseguire il mapping di un massimo di cinque entità in una singola regola di analisi. È anche possibile eseguire il mapping di più di uno dello stesso tipo. Ad esempio, è possibile eseguire il mapping di due entità IP , una da un campo indirizzo IP di origine e una da un campo indirizzo IP di destinazione . In questo modo è possibile tenere traccia di entrambi.

    Se si cambia idea o si è commesso un errore, è possibile rimuovere un mapping di entità facendo clic sull'icona del cestino accanto all'elenco a discesa dell'entità.

  8. Al termine del mapping delle entità, fare clic sulla scheda Rivedi e crea . Al termine della convalida della regola, fare clic su Salva.

Nota

  • Ogni entità mappata può identificare fino a dieci entità.

    • Se un avviso contiene più di dieci elementi che corrispondono a un singolo mapping di entità, solo i primi dieci verranno riconosciuti come entità e potranno essere analizzati come tali.
    • Questa limitazione si applica ai mapping effettivi, non ai tipi di entità. Pertanto, se sono presenti tre entità mappate diverse per gli indirizzi IP (ad esempio, origine, destinazione e gateway), ognuno di questi mapping può contenere dieci entità.

  • Il limite di dimensioni per un intero avviso è 64 KB.

    • Gli avvisi con dimensioni maggiori di 64 KB verranno troncati. Man mano che le entità vengono identificate, vengono aggiunte all'avviso uno per uno fino a quando le dimensioni dell'avviso non raggiungono i 64 KB e tutte le entità rimanenti vengono eliminate dall'avviso.

Note sulla nuova versione

  • Poiché la nuova versione è ora disponibile a livello generale, la soluzione alternativa al flag di funzionalità per usare la versione precedente non è più disponibile.

  • Se in precedenza sono stati definiti mapping di entità per questa regola di analisi usando la versione precedente, questi verranno convertiti automaticamente nella nuova versione.

Passaggi successivi

In questo documento si è appreso come eseguire il mapping dei campi dati alle entità nelle regole di analisi di Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: