Delen via


Gegevensvelden toewijzen aan entiteiten in Microsoft Sentinel

Entiteitstoewijzing is een integraal onderdeel van de configuratie van geplande analyseregels. Het verrijkt de uitvoer van de regels (waarschuwingen en incidenten) met essentiële informatie die fungeert als de bouwstenen van alle onderzoekende processen en herstelacties die volgen.

De onderstaande procedure maakt deel uit van de wizard voor het maken van analyseregels. Het wordt hier onafhankelijk behandeld om het scenario van het toevoegen of wijzigen van entiteitstoewijzingen in een bestaande analyseregel aan te pakken.

Belangrijk

  • Zie 'Notities over de nieuwe versie' aan het einde van dit document voor belangrijke informatie over compatibiliteit met eerdere versies en verschillen tussen de nieuwe en oude versies van entiteitstoewijzing.
  • Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Entiteiten toewijzen

  1. Voer de analytics-pagina in de portal in waarmee u Toegang hebt tot Microsoft Sentinel:

    Selecteer Analytics in de sectie Configuratie van het navigatiemenu van Microsoft Sentinel.

  2. Selecteer een geplande queryregel en selecteer Bewerken in het detailvenster. U kunt ook een nieuwe regel maken door boven aan het scherm op Geplande queryregel maken > te klikken.

  3. Selecteer het tabblad Regellogica instellen. Als er een nieuwe regel is, typt u een query in het venster Regelquery .

  4. Vouw in de sectie Waarschuwingsverbetering de entiteitstoewijzing uit.

    Entiteitstoewijzing uitvouwen

  5. Selecteer in de sectie Nu uitgevouwen entiteitstoewijzing de optie Nieuwe entiteit toevoegen.

    Schermopname die laat zien hoe u een nieuwe entiteit toevoegt.

  6. Selecteer een entiteitstype in de vervolgkeuzelijst Entiteit .

    Een entiteitstype kiezen

  7. Selecteer een id voor de entiteit. Id's zijn kenmerken van een entiteit die deze voldoende kan identificeren. Kies er een in de vervolgkeuzelijst Id en kies vervolgens een gegevensveld in de vervolgkeuzelijst Waarde die overeenkomt met de id. Met enkele uitzonderingen wordt de lijst Met waarden ingevuld door de gegevensvelden in de tabel die zijn gedefinieerd als het onderwerp van de regelquery.

    U kunt maximaal drie id's definiëren voor een bepaalde entiteitstoewijzing. Sommige id's zijn vereist, andere zijn optioneel. U moet ten minste één vereiste id kiezen. Als u dit niet doet, krijgt u een waarschuwingsbericht met de instructies welke id's vereist zijn. Voor de beste resultaten, voor maximale unieke identificatie, moet u waar mogelijk sterke id's gebruiken en meerdere sterke id's gebruiken, waardoor er meer correlatie tussen gegevensbronnen mogelijk is. Bekijk de volledige lijst met beschikbare entiteiten en id's.

    Velden toewijzen aan entiteiten

  8. Selecteer Nieuwe entiteit toevoegen om meer entiteiten toe te wijzen. U kunt maximaal tien entiteitstoewijzingen definiëren in één analyseregel. U kunt ook meer dan één van hetzelfde type toewijzen. U kunt bijvoorbeeld twee IP-entiteiten toewijzen, één uit een bron-IP-adresveld en een van een doel-IP-adresveld . Op deze manier kunt u ze beide bijhouden.

    Als u van gedachten verandert of als u een fout hebt gemaakt, kunt u een entiteitstoewijzing verwijderen door te klikken op het prullenbakpictogram naast de vervolgkeuzelijst voor entiteiten.

  9. Wanneer u klaar bent met het toewijzen van entiteiten, klikt u op het tabblad Controleren en maken . Zodra de regelvalidatie is geslaagd, klikt u op Opslaan.

Notitie

  • Maximaal 500 entiteiten kunnen gezamenlijk worden geïdentificeerd in één waarschuwing, verdeeld over alle entiteitstoewijzingen die in de regel zijn gedefinieerd.

    • Als er bijvoorbeeld twee entiteitstoewijzingen in de regel zijn gedefinieerd, kan elke toewijzing maximaal 250 entiteiten identificeren; als er vijf toewijzingen zijn gedefinieerd, kan elke toewijzing maximaal 100 entiteiten identificeren, enzovoort.
    • Meerdere toewijzingen van één entiteitstype (bijvoorbeeld bron-IP en doel-IP) tellen elk afzonderlijk.
    • Als een waarschuwing items bevat die groter zijn dan deze limiet, worden deze overtollige items niet herkend en geëxtraheerd als entiteiten.
  • De groottelimiet voor het hele gebied van entiteiten van een waarschuwing (het veld Entiteiten ) is 64 kB.

    • Entiteitenvelden die groter zijn dan 64 kB, worden afgekapt. Wanneer entiteiten worden geïdentificeerd, worden ze één voor één toegevoegd aan de waarschuwing totdat de veldgrootte 64 kB bereikt en entiteiten die nog niet zijn geïdentificeerd, uit de waarschuwing worden verwijderd.

Opmerkingen over de nieuwe versie

  • Omdat de nieuwe versie nu algemeen beschikbaar is (GA), is de tijdelijke oplossing voor de functievlag om de oude versie te gebruiken niet meer beschikbaar.

  • Als u eerder entiteitstoewijzingen voor deze analyseregel hebt gedefinieerd met behulp van de oude versie, worden deze automatisch geconverteerd naar de nieuwe versie.

Volgende stappen

In dit document hebt u geleerd hoe u gegevensvelden kunt toewijzen aan entiteiten in Microsoft Sentinel-analyseregels. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: