Entiteiten in Microsoft Sentinel

  • Artikel

Wanneer waarschuwingen worden verzonden naar of gegenereerd door Microsoft Sentinel, bevatten ze gegevenselementen die Sentinel in categorieën als entiteiten kan herkennen en classificeren. Wanneer Microsoft Sentinel begrijpt wat voor soort entiteit een bepaald gegevenselement vertegenwoordigt, weet het de juiste vragen om erover te stellen en kan het vervolgens inzichten over dat item in het volledige scala aan gegevensbronnen vergelijken en eenvoudig bijhouden en ernaar verwijzen in de hele Sentinel-ervaring: analyses, onderzoek, herstel, opsporing, opsporing, enzovoort. Enkele veelvoorkomende voorbeelden van entiteiten zijn gebruikersaccounts, hosts, postvakken, IP-adressen, bestanden, cloudtoepassingen, processen en URL's.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

In het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal vallen entiteiten over het algemeen in twee hoofdcategorieën:

Entiteitscategorie Karakterisering Hoofdvoorbeelden
Activa
  • Interne objecten
  • Beveiligde objecten
  • Geïnventariseerd objecten
    		•
  • Accounts (gebruikers)
  • Hosts (apparaten)
  • Postvakken
  • Azure-resources
    		•
    Andere entiteiten
    (bewijs)
  • Externe items
  • Niet in uw beheer
  • Indicatoren van inbreuk
    		•
  • IP-adressen
  • Bestanden
  • Processen
  • URL's
    		•

    Entiteits-id's

    Microsoft Sentinel ondersteunt een groot aantal entiteitstypen. Elk type heeft zijn eigen unieke kenmerken, die worden weergegeven als velden in het entiteitsschema en worden id's genoemd. Zie de volledige lijst met ondersteunde entiteiten hieronder en de volledige set entiteitsschema's en id's in microsoft Sentinel-entiteitstypen.

    Sterke en zwakke id's

    Voor elk type entiteit zijn er velden of sets velden waarmee bepaalde exemplaren van die entiteit kunnen worden geïdentificeerd. Deze velden of sets velden kunnen worden aangeduid als sterke id's als ze een entiteit uniek kunnen identificeren zonder dubbelzinnigheid, of als zwakke id's als ze een entiteit onder bepaalde omstandigheden kunnen identificeren, maar in alle gevallen geen unieke identificatie van een entiteit kunnen garanderen. In veel gevallen kan echter een selectie van zwakke id's worden gecombineerd om een sterke id te produceren.

    Gebruikersaccounts kunnen bijvoorbeeld op meer dan één manier worden geïdentificeerd als accountentiteiten : het gebruik van één sterke id, zoals de numerieke id van een Microsoft Entra-account (het GUID-veld ) of de UPN-waarde (User Principal Name) of een combinatie van zwakke id's , zoals de velden Name en NTDomain . Verschillende gegevensbronnen kunnen dezelfde gebruiker op verschillende manieren identificeren. Wanneer Microsoft Sentinel twee entiteiten tegenkomt die kunnen worden herkend als dezelfde entiteit op basis van hun id's, worden de twee entiteiten samengevoegd tot één entiteit, zodat deze correct en consistent kan worden verwerkt.

    Als een van uw resourceproviders echter een waarschuwing maakt waarin een entiteit niet voldoende is geïdentificeerd, bijvoorbeeld door slechts één zwakke id te gebruiken, zoals een gebruikersnaam zonder de domeinnaamcontext, kan de gebruikersentiteit niet worden samengevoegd met andere exemplaren van hetzelfde gebruikersaccount. Deze andere exemplaren worden geïdentificeerd als een afzonderlijke entiteit en deze twee entiteiten blijven gescheiden in plaats van uniform.

    Als u het risico van dit probleem wilt minimaliseren, moet u controleren of al uw waarschuwingsproviders de entiteiten in de waarschuwingen die ze produceren, correct identificeren. Daarnaast kan het synchroniseren van gebruikersaccountentiteiten met Microsoft Entra ID een samenvoegende map maken, waarmee gebruikersaccountentiteiten kunnen worden samengevoegd.

    Ondersteunde entiteiten

    De volgende typen entiteiten worden momenteel geïdentificeerd in Microsoft Sentinel:

    U kunt de id's van deze entiteiten en andere relevante informatie bekijken in de verwijzing naar entiteiten.

    Entiteitstoewijzing

    Hoe herkent Microsoft Sentinel een stukje gegevens in een waarschuwing als het identificeren van een entiteit?

    Laten we eens kijken hoe gegevensverwerking wordt uitgevoerd in Microsoft Sentinel. Gegevens worden uit verschillende bronnen opgenomen via connectors, ongeacht of service-naar-service, op agents of API's is gebaseerd. De gegevens worden opgeslagen in tabellen in uw Log Analytics-werkruimte. Deze tabellen worden regelmatig opgevraagd door de geplande of bijna realtime analyseregels die u hebt gedefinieerd en ingeschakeld, of on-demand als onderdeel van opsporingsquery's wanneer u op bedreigingen zoekt. Een deel van de definitie van deze analyseregels en opsporingsquery's is de toewijzing van gegevensvelden in de tabellen aan entiteitstypen die worden herkend door Microsoft Sentinel. Volgens de toewijzingen die u definieert, neemt Microsoft Sentinel velden uit de resultaten die door uw query worden geretourneerd, herkent u deze door de id's die u hebt opgegeven voor elk entiteitstype en past u deze toe op het entiteitstype dat door deze id's wordt geïdentificeerd.

    Wat is het punt van dit alles?

    Wanneer Microsoft Sentinel entiteiten in waarschuwingen van verschillende typen gegevensbronnen kan identificeren, en vooral als dit kan met behulp van sterke id's die gebruikelijk zijn voor elke gegevensbron of een ander schema, kan het vervolgens eenvoudig correleren tussen al deze waarschuwingen en gegevensbronnen. Deze correlaties helpen bij het bouwen van een uitgebreide opslag van informatie en inzichten over de entiteiten, waardoor u een solide basis en context krijgt voor het onderzoeken en reageren op beveiligingsrisico's.

    Informatie over het toewijzen van gegevensvelden aan entiteiten.

    Ontdek welke id's een entiteit sterk identificeren.

    Entiteitspagina's

    Informatie over entiteitspagina's vindt u nu op entiteitspagina's in Microsoft Sentinel.

    Volgende stappen

    In dit document hebt u geleerd over het werken met entiteiten in Microsoft Sentinel. Zie de volgende artikelen voor praktische hulp bij de implementatie en om de inzichten te gebruiken die u hebt opgedaan: