Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer waarschuwingen worden verzonden naar of gegenereerd door Microsoft Sentinel, bevatten ze gegevenselementen die Sentinel kunnen herkennen en classificeren in categorieën als entiteiten. Wanneer Microsoft Sentinel begrijpt wat voor soort entiteit een bepaald gegevenselement vertegenwoordigt, weet het de juiste vragen om erover te stellen en kan het vervolgens inzichten over dat item in het volledige bereik van gegevensbronnen vergelijken en het eenvoudig bijhouden en ernaar verwijzen gedurende de hele Sentinel ervaring: analyse, onderzoek, herstel, opsporing, enzovoort. Enkele veelvoorkomende voorbeelden van entiteiten zijn gebruikersaccounts, hosts, postvakken, IP-adressen, bestanden, cloudtoepassingen, processen en URL's.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
In de Microsoft Defender-portal vallen entiteiten over het algemeen in twee hoofdcategorieën:
| Entiteitscategorie | Karakterisering | Belangrijkste voorbeelden |
|---|---|---|
| Activa | ||
| Andere entiteiten (bewijs) |
Entiteits-id's
Microsoft Sentinel ondersteunt een groot aantal entiteitstypen. Elk type heeft zijn eigen unieke kenmerken, die worden weergegeven als velden in het entiteitsschema en worden id's genoemd. Bekijk de volledige lijst met ondersteunde entiteiten hieronder en de volledige set entiteitsschema's en -id's in Microsoft Sentinel verwijzing naar entiteitstypen.
Sterke en zwakke id's
Voor elk type entiteit zijn er velden, of sets velden, waarmee bepaalde exemplaren van die entiteit kunnen worden geïdentificeerd. Deze velden of sets velden kunnen worden aangeduid als sterke id's als ze een entiteit uniek kunnen identificeren zonder dubbelzinnigheid, of als zwakke id's als ze onder bepaalde omstandigheden een entiteit kunnen identificeren, maar niet gegarandeerd een entiteit in alle gevallen uniek kunnen identificeren. In veel gevallen kan een selectie van zwakke id's echter worden gecombineerd om een sterke id te produceren.
Gebruikersaccounts kunnen bijvoorbeeld op meer dan één manier worden geïdentificeerd als accountentiteiten: met behulp van één sterke id, zoals de numerieke id van een Microsoft Entra account (het GUID-veld), of de UPN-waarde (User Principal Name), of een combinatie van zwakke id's, zoals de velden Name en NTDomain. Verschillende gegevensbronnen kunnen dezelfde gebruiker op verschillende manieren identificeren. Wanneer Microsoft Sentinel twee entiteiten tegenkomt die kunnen worden herkend als dezelfde entiteit op basis van hun id's, worden de twee entiteiten samengevoegd tot één entiteit, zodat deze correct en consistent kan worden verwerkt.
Als een van uw resourceproviders echter een waarschuwing maakt waarin een entiteit niet voldoende wordt geïdentificeerd, bijvoorbeeld met slechts één zwakke id , zoals een gebruikersnaam zonder de domeinnaamcontext, kan de gebruikersentiteit niet worden samengevoegd met andere exemplaren van hetzelfde gebruikersaccount. Deze andere exemplaren worden geïdentificeerd als een afzonderlijke entiteit en deze twee entiteiten zouden gescheiden blijven in plaats van samengevoegd.
Om het risico hiervan te minimaliseren, moet u controleren of al uw waarschuwingsproviders de entiteiten in de waarschuwingen die ze produceren, correct identificeren. Daarnaast kan het synchroniseren van gebruikersaccounttiteiten met Microsoft Entra ID een unifying directory maken, waarmee gebruikersaccountentiteiten kunnen worden samengevoegd.
Ondersteunde entiteiten
De volgende typen entiteiten worden momenteel geïdentificeerd in Microsoft Sentinel:
- Account
- Host
- IP-adres
- URL
- Azure resource
- Cloudtoepassing
- DNS-resolutie
- Bestand
- Bestands-hash
- Malware
- Proces
- Registersleutel
- Registerwaarde
- Beveiligingsgroep
- Postvak
- E-mailcluster
- E-mailbericht
- E-mail verzenden
U kunt de id's van deze entiteiten en andere relevante informatie bekijken in de entiteitenreferentie.
Entiteitstoewijzing
Hoe herkent Microsoft Sentinel een stukje gegevens in een waarschuwing als identificatie van een entiteit?
Laten we eens kijken hoe gegevensverwerking wordt uitgevoerd in Microsoft Sentinel. Gegevens worden opgenomen uit verschillende bronnen via connectors, op basis van service-naar-service, agent of API. De gegevens worden opgeslagen in tabellen in uw Log Analytics-werkruimte. Deze tabellen worden regelmatig opgevraagd met behulp van de geplande of bijna realtime analyseregels die u hebt gedefinieerd en ingeschakeld, of op aanvraag als onderdeel van opsporingsquery's wanneer u op bedreigingen zoekt. Onderdeel van de definitie van deze analyseregels en opsporingsquery's is het toewijzen van gegevensvelden in de tabellen aan entiteitstypen die worden herkend door Microsoft Sentinel. Volgens de toewijzingen die u definieert, neemt Microsoft Sentinel velden uit de resultaten die door uw query worden geretourneerd, herkent u deze aan de id's die u hebt opgegeven voor elk entiteitstype en past u het entiteitstype toe dat door deze id's wordt geïdentificeerd.
Wat is het nut van dit alles?
Wanneer Microsoft Sentinel entiteiten in waarschuwingen van verschillende typen gegevensbronnen kan identificeren, en vooral als dit kan met behulp van sterke id's die voor elke gegevensbron of een ander schema worden gebruikt, kan dit eenvoudig correleren tussen al deze waarschuwingen en gegevensbronnen. Deze correlaties helpen bij het opbouwen van een rijke opslag van informatie en inzichten over de entiteiten, waardoor u een solide basis en context krijgt voor het onderzoeken van en reageren op beveiligingsrisico's.
Meer informatie over het toewijzen van gegevensvelden aan entiteiten.
Meer informatie over welke id's een entiteit sterk identificeren.
Entiteitspagina's
Informatie over entiteitspagina's vindt u nu op Entiteitspagina's in Microsoft Sentinel.
Volgende stappen
In dit document hebt u geleerd hoe u werkt met entiteiten in Microsoft Sentinel. Zie de volgende artikelen voor praktische hulp bij de implementatie en om de inzichten te gebruiken die u hebt opgedaan:
- Analyse van entiteitsgedrag inschakelen in Microsoft Sentinel.
- Zoek naar beveiligingsrisico's.