Esplorare le entità

  • 7 minuti

Gli avvisi inviati ad Microsoft Sentinel includono elementi di dati identificati e classificati da Microsoft Sentinel come entità, ad esempio account utente, host, indirizzi IP e altro. In alcuni casi, l'identificazione può risultare problematica, se l'avviso non contiene informazioni sufficienti sull'entità.

Ad esempio, gli account utente possono essere identificati in più modi: mediante l'identificatore numerico (GUID) di un account di Microsoft Entra o il relativo nome di accesso UPN o, in alternativa, usando una combinazione del nome utente e del relativo nome di dominio NT. Origini dati diverse possono identificare lo stesso utente in modi diversi. Pertanto, quando è possibile, Microsoft Sentinel unisce gli identificatori in un'unica entità, in modo che possa essere identificata correttamente.

Può accadere, tuttavia, che uno dei provider di risorse crei un avviso in cui un'entità non è sufficientemente identificata, ad esempio un nome utente senza il contesto del nome di dominio. In tal caso, l'entità utente non può essere unita ad altre istanze dello stesso account utente, che verrebbero identificate come entità separate, e le due entità rimarranno separate anziché unite.

Per ridurre al minimo il rischio che si verifichi questo problema, è necessario verificare che tutti i provider di avvisi identifichino correttamente le entità negli avvisi che producono. Inoltre, la sincronizzazione delle entità account utente con Microsoft Entra ID può creare una directory di unione, che sarà in grado di unire entità account utente.

Di seguito sono riportati i tipi di entità attualmente identificati in Microsoft Sentinel:

  • Account utente (account)

  • Host

  • Indirizzo IP (IP)

  • Malware

  • file

  • Process

  • Applicazione cloud (CloudApplication)

  • Nome di dominio (DNS)

  • Risorsa di Azure

  • File (FileHash)

  • Chiave del Registro di sistema

  • Valore del Registro di sistema

  • Gruppo di sicurezza

  • URL

  • Dispositivo IoT

  • Cassetta postale

  • Cluster di posta

  • Mail message

  • Posta elettronica inviata

Pagine delle entità

Quando si trova un'entità, attualmente limitata a utenti e host, in una ricerca, un avviso o un'indagine, è possibile selezionarla per essere reindirizzati a una pagina dell'entità, ovvero un foglio dati con informazioni utili su tale entità. I tipi di informazioni disponibili in questa pagina includono nozioni di base sull'entità, una sequenza temporale di eventi rilevanti correlati all'entità e informazioni dettagliate sul relativo comportamento.

Le pagine delle entità sono composte da tre parti:

  • Il pannello a sinistra contiene le informazioni di identificazione dell'entità, raccolte da origini dati come Microsoft Entra ID, Monitoraggio di Azure, Microsoft Defender per il cloud e Microsoft Defender XDR.

  • Il pannello centrale mostra una sequenza temporale grafica e testuale degli eventi rilevanti correlati all'entità, ad esempio avvisi, segnalibri e attività. Le attività sono aggregazioni di eventi rilevanti fornite da Log Analytics. Le query che rilevano tali attività vengono sviluppate dai team di ricerca sulla sicurezza Microsoft.

  • Il pannello a destra presenta informazioni sul comportamento dell'entità. Queste informazioni consentono di identificare rapidamente le anomalie e le minacce per la sicurezza. Le informazioni dettagliate vengono sviluppate dai team di ricerca sulla sicurezza Microsoft e si basano su modelli di rilevamento delle anomalie.

Sequenza temporale

Screen shot of an Entity Behavior timeline.

La sequenza temporale è una parte importante della pagina dell'entità che contribuisce all'analisi del comportamento in Microsoft Sentinel. Presenta una storia degli eventi correlati all'entità, che permette di comprendere l'attività dell'entità in un intervallo di tempo specifico.

È possibile scegliere l'intervallo di tempo tra diverse opzioni predefinite, ad esempio le ultime 24 ore, o impostarlo su qualsiasi intervallo di tempo personalizzato. Inoltre, è possibile impostare i filtri che limitano le informazioni nella sequenza temporale a tipi specifici di eventi o avvisi.

La sequenza temporale include i tipi di elementi seguenti:

Avvisi: tutti gli avvisi in cui l'entità viene definita come entità mappata. Si noti che, se l'organizzazione ha creato avvisi personalizzati usando le regole di analisi, è necessario assicurarsi che il mapping delle entità delle regole venga eseguito correttamente.

Segnalibri: tutti i segnalibri che includono l'entità specifica visualizzata nella pagina.

Attività: aggregazione di eventi rilevanti correlati all'entità.

Informazioni dettagliate sulle entità

Le informazioni dettagliate sulle entità sono query definite dai ricercatori di sicurezza Microsoft per permettere agli analisti di condurre le indagini in modo più efficiente ed efficace. Le informazioni dettagliate vengono presentate come parte della pagina dell'entità e forniscono informazioni di sicurezza importanti su host e utenti, sotto forma di dati tabulari e grafici. Avere le informazioni a disposizioni elimina la necessità di ricorrere a Log Analytics. Le informazioni dettagliate includono dati relativi agli accessi, aggiunte di gruppo, eventi anomali e altro e contengono algoritmi avanzati di apprendimento automatico che consentono di rilevare comportamenti anomali. Le informazioni dettagliate sono basate sui tipi di dati seguenti:

  • syslog

  • SecurityEvent

  • Log di controllo

  • Log di accesso

  • Attività di Office

  • BehaviorAnalytics (UEBA)