Klasyfikowanie i analizowanie danych przy użyciu jednostek w usłudze Microsoft Sentinel

Gdy alerty są wysyłane do lub generowane przez usługę Microsoft Sentinel, zawierają elementy danych, które usługa Sentinel może rozpoznawać i klasyfikować w kategoriach jako jednostki. Gdy usługa Microsoft Sentinel rozumie, jaki rodzaj jednostki reprezentuje konkretny element danych, zna odpowiednie pytania, które należy zadać, a następnie może porównać szczegółowe informacje o tym elemencie w pełnym zakresie źródeł danych, a także łatwo go śledzić i odwoływać się do niego w całym środowisku usługi Sentinel — analiza, badanie, korygowanie, wyszukiwanie zagrożeń itd. Niektóre typowe przykłady jednostek to użytkownicy, hosty, pliki, procesy, adresy IP i adresy URL.

Identyfikatory jednostek

Usługa Microsoft Sentinel obsługuje szeroką gamę typów jednostek. Każdy typ ma własne unikatowe atrybuty, w tym niektóre, które mogą służyć do identyfikowania określonej jednostki. Te atrybuty są reprezentowane jako pola w jednostce i są nazywane identyfikatorami. Zobacz pełną listę obsługiwanych jednostek i ich identyfikatorów poniżej.

Silne i słabe identyfikatory

Jak wspomniano powyżej, dla każdego typu jednostki istnieją pola lub zestawy pól, które mogą je zidentyfikować. Te pola lub zestawy pól mogą być określane jako silne identyfikatory , jeśli mogą jednoznacznie zidentyfikować jednostkę bez żadnych niejednoznaczności lub jako słabe identyfikatory , jeśli mogą zidentyfikować jednostkę w pewnych okolicznościach, ale nie mają gwarancji unikatowego identyfikowania jednostki we wszystkich przypadkach. W wielu przypadkach można jednak połączyć wybór słabych identyfikatorów w celu utworzenia silnego identyfikatora.

Na przykład konta użytkowników można zidentyfikować jako jednostki konta w więcej niż jeden sposób: przy użyciu pojedynczego silnego identyfikatora, takiego jak identyfikator liczbowy konta Azure AD (pole IDENTYFIKATOR GUID) lub jego wartość Główna nazwa użytkownika (UPN) lub alternatywnie, używając kombinacji słabych identyfikatorów, takich jak pola Nazwa i NTDomain. Różne źródła danych mogą identyfikować tego samego użytkownika na różne sposoby. Za każdym razem, gdy usługa Microsoft Sentinel napotka dwie jednostki, które mogą rozpoznać jako tę samą jednostkę na podstawie ich identyfikatorów, scala te dwie jednostki w jedną jednostkę, dzięki czemu może być prawidłowo i spójnie obsługiwana.

Jeśli jednak jeden z dostawców zasobów tworzy alert, w którym jednostka nie jest wystarczająco zidentyfikowana — na przykład przy użyciu tylko jednego słabego identyfikatora , takiego jak nazwa użytkownika bez kontekstu nazwy domeny , nie można scalić jednostki użytkownika z innymi wystąpieniami tego samego konta użytkownika. Te inne wystąpienia zostaną zidentyfikowane jako oddzielna jednostka, a te dwie jednostki pozostaną oddzielne zamiast ujednolicone.

Aby zminimalizować ryzyko wystąpienia tego zdarzenia, należy sprawdzić, czy wszyscy dostawcy alertów prawidłowo identyfikują jednostki w wygenerowanych alertach. Ponadto synchronizowanie jednostek konta użytkownika z usługą Azure Active Directory może spowodować utworzenie katalogu ujednolicania, który będzie mógł scalić jednostki konta użytkownika.

Obsługiwane jednostki

W usłudze Microsoft Sentinel są obecnie identyfikowane następujące typy jednostek:

  • Konto użytkownika
  • Host
  • Adres IP
  • Złośliwe oprogramowanie
  • Plik
  • Proces
  • Aplikacja w chmurze
  • Nazwa domeny
  • Zasób platformy Azure
  • Wartość skrótu pliku
  • Klucz rejestru
  • Wartość rejestru
  • Grupa zabezpieczeń
  • Adres URL
  • Urządzenie IoT
  • Mailbox
  • Klaster poczty
  • Wiadomość e-mail
  • Wiadomość e-mail z przesłaniem

Identyfikatory tych jednostek i inne istotne informacje można wyświetlić w odwołaniu do jednostek.

Mapowanie jednostek

Jak usługa Microsoft Sentinel rozpoznaje fragment danych w alercie jako identyfikację jednostki?

Przyjrzyjmy się, jak przetwarzanie danych odbywa się w usłudze Microsoft Sentinel. Dane są pozyskiwane z różnych źródeł za pośrednictwem łączników, niezależnie od tego, czy usługa do usługi, agenta, czy usługa syslog i usługa przesyłania dalej dzienników. Dane są przechowywane w tabelach w obszarze roboczym usługi Log Analytics. Te tabele są następnie odpytywane w regularnych odstępach czasu według zdefiniowanych i włączonych reguł analizy. Jedną z wielu akcji wykonywanych przez te reguły analizy jest mapowanie pól danych w tabelach na jednostki rozpoznawane przez usługę Microsoft Sentinel. Zgodnie z mapowaniami zdefiniowanymi w regułach analizy usługa Microsoft Sentinel będzie przyjmować pola z wyników zwracanych przez zapytanie, rozpoznawać je według identyfikatorów określonych dla każdego typu jednostki i stosować do nich typ jednostki zidentyfikowany przez te identyfikatory.

Jaki jest punkt tego wszystkiego?

Gdy usługa Microsoft Sentinel może identyfikować jednostki w alertach z różnych typów źródeł danych, a zwłaszcza jeśli może to zrobić przy użyciu silnych identyfikatorów wspólnych dla każdego źródła danych lub trzeciego schematu, może następnie łatwo skorelować wszystkie te alerty i źródła danych. Te korelacje pomagają w tworzeniu bogatego magazynu informacji i szczegółowych informacji na temat jednostek, zapewniając solidne podstawy dla operacji zabezpieczeń.

Dowiedz się, jak mapować pola danych na jednostki.

Dowiedz się , które identyfikatory silnie identyfikują jednostkę.

Strony jednostki

Informacje o stronach jednostek można teraz znaleźć w temacie Badanie jednostek ze stronami jednostek w usłudze Microsoft Sentinel.

Następne kroki

W tym dokumencie omówiono pracę z jednostkami w usłudze Microsoft Sentinel. Aby uzyskać praktyczne wskazówki dotyczące implementacji i użyć uzyskanych szczegółowych informacji, zobacz następujące artykuły: