Eseguire il mapping dei campi dati alle entità in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Il mapping delle entità è parte integrante della configurazione delle regole di analisi delle query pianificate. Arricchisce l'output delle regole (avvisi e eventi imprevisti) con informazioni essenziali che fungono da blocchi predefiniti di qualsiasi processo investigativo e azioni correttive che seguono.

La procedura descritta di seguito fa parte della creazione guidata delle regole di analisi. Viene trattato in modo indipendente per affrontare lo scenario di aggiunta o modifica dei mapping di entità in una regola di analisi esistente.

Importante

• Vedere "Note sulla nuova versione" alla fine di questo documento per informazioni importanti sulla compatibilità con le versioni precedenti e sulle differenze tra le versioni nuove e precedenti del mapping delle entità.
• Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Come eseguire il mapping delle entità

1. Immettere la pagina Analisi nel portale tramite cui si accede a Microsoft Sentinel:

   Azure portal

   Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analisi.

   Portale di Defender

   Dal menu di spostamento di Microsoft Defender espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

2. Selezionare una regola di query pianificata e selezionare Modifica nel riquadro dei dettagli. In alternativa, creare una nuova regola facendo clic su Crea > regola di query pianificata nella parte superiore della schermata.

3. Selezionare la scheda Imposta logica delle regole. Se una nuova regola, digitare una query nella finestra Query regola .

4. Nella sezione Miglioramento avvisi espandere Mapping entità.

   

5. Nella sezione Mapping di entità ora espansa selezionare Aggiungi nuova entità.

   

6. Selezionare un tipo di entità dall'elenco a discesa Entità .

   

7. Selezionare un identificatore per l'entità. Gli identificatori sono attributi di un'entità che può identificarla sufficientemente. Scegliere uno dall'elenco a discesa Identificatore e quindi scegliere un campo dati dall'elenco a discesa Valore che corrisponderà all'identificatore. Con alcune eccezioni, l'elenco Valore viene popolato dai campi dati nella tabella definita come oggetto della query della regola.

   È possibile definire fino a tre identificatori per un determinato mapping di entità. Alcuni identificatori sono obbligatori, altri sono facoltativi. È necessario scegliere almeno un identificatore obbligatorio. In caso contrario, un messaggio di avviso indica quali identificatori sono necessari. Per ottenere risultati ottimali, per l'identificazione univoca massima, è consigliabile usare identificatori sicuri quando possibile e l'uso di più identificatori sicuri consentirà una maggiore correlazione tra origini dati. Vedere l'elenco completo delle entità e degli identificatori disponibili.

   

8. Selezionare Aggiungi nuova entità per eseguire il mapping di altre entità. È possibile definire fino a dieci mapping di entità in una singola regola di analisi. È anche possibile eseguire il mapping di più di uno dello stesso tipo. Ad esempio, è possibile eseguire il mapping di due entità IP , una da un campo indirizzo IP di origine e una da un campo indirizzo IP di destinazione. In questo modo è possibile tenere traccia di entrambi.

   Se si cambia idea o si è commesso un errore, è possibile rimuovere un mapping di entità facendo clic sull'icona del cestino accanto all'elenco a discesa dell'entità.

9. Al termine del mapping delle entità, fare clic sulla scheda Rivedi e crea . Al termine della convalida della regola, fare clic su Salva.

Nota

• È possibile identificare collettivamente fino a 500 entità in un singolo avviso, suddivise equamente in tutti i mapping di entità definiti nella regola.

  • Ad esempio, se nella regola sono definiti due mapping di entità, ogni mapping può identificare fino a 250 entità; se vengono definiti cinque mapping, ognuno può identificare fino a 100 entità e così via.
  • Ogni conteggio viene eseguito separatamente da più mapping di un singolo tipo di entità (ad esempio, IP di origine e IP di destinazione).
  • Se un avviso contiene elementi in eccesso a questo limite, tali elementi in eccesso non verranno riconosciuti ed estratti come entità.

• Il limite di dimensioni per l'intera area delle entità di un avviso (campo Entità ) è di 64 KB.

  • I campi delle entità che aumentano di più di 64 KB verranno troncati. Man mano che le entità vengono identificate, vengono aggiunte all'avviso uno per uno fino a quando le dimensioni del campo non raggiungono 64 KB e tutte le entità ancora non identificate vengono eliminate dall'avviso.

Note sulla nuova versione

• Poiché la nuova versione è ora disponibile a livello generale, la soluzione alternativa per il flag di funzionalità per l'uso della versione precedente non è più disponibile.

• Se sono stati definiti in precedenza mapping di entità per questa regola di analisi usando la versione precedente, questi verranno convertiti automaticamente nella nuova versione.

Passaggi successivi

In questo documento si è appreso come eseguire il mapping dei campi dati alle entità nelle regole di analisi di Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Esplorare gli altri modi per arricchire gli avvisi:
  • Dettagli dell'evento personalizzato di Surface negli avvisi in Microsoft Sentinel
  • Personalizzare i dettagli degli avvisi in Microsoft Sentinel
• Ottenere l'immagine completa sulle regole di analisi delle query pianificate.
• Altre informazioni sulle entità in Microsoft Sentinel.