Mapowanie pól danych na jednostki w usłudze Microsoft Sentinel

Uwaga

Usługa Azure Sentinel jest teraz nazywana Microsoft Sentinel i będziemy aktualizować te strony w najbliższych tygodniach. Dowiedz się więcej o najnowszych ulepszeniach zabezpieczeń Microsoft.

Ważne

  • Zobacz "Uwagi dotyczące nowej wersji" na końcu tego dokumentu, aby uzyskać ważne informacje o zgodności z poprzednimi wersjami i różnice między nowymi i starymi wersjami mapowania jednostek.

Wprowadzenie

Mapowanie jednostek jest integralną częścią konfiguracji zaplanowanych reguł analizy zapytań. Wzbogaca on dane wyjściowe reguł (alerty i zdarzenia) o podstawowe informacje, które służą jako bloki konstrukcyjne wszelkich procesów śledczych i działań naprawczych, które następują.

Procedura opisana poniżej jest częścią kreatora tworzenia reguł analizy. Jest ona traktowana niezależnie od scenariusza dodawania lub zmieniania mapowań jednostek w istniejącej regule analizy.

Jak mapować jednostki

  1. W menu nawigacji Microsoft Sentinel wybierz pozycję Analiza.

  2. Wybierz regułę zaplanowanego zapytania i wybierz pozycję Edytuj w okienku szczegółów. Możesz też utworzyć nową regułę, klikając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.

  3. Wybierz kartę Ustaw logikę reguły .

  4. W sekcji Wzbogacanie alertów rozwiń węzeł Mapowanie jednostek.

    Rozwijanie mapowania jednostek

  5. W teraz rozwiniętej sekcji Mapowanie jednostek wybierz typ jednostki z listy rozwijanej Typ jednostki.

    Wybieranie typu jednostki

  6. Wybierz identyfikator jednostki. Identyfikatory to atrybuty jednostki, które mogą ją wystarczająco zidentyfikować. Wybierz jedno z listy rozwijanej Identyfikator , a następnie wybierz pole danych z listy rozwijanej Wartość , które będzie odpowiadać identyfikatorowi. Z pewnymi wyjątkami lista Wartość jest wypełniana przez pola danych w tabeli zdefiniowane jako podmiot zapytania reguły.

    Dla danej jednostki można zdefiniować maksymalnie trzy identyfikatory . Niektóre identyfikatory są wymagane, inne są opcjonalne. Musisz wybrać co najmniej jeden wymagany identyfikator. Jeśli tego nie zrobisz, zostanie wyświetlony komunikat ostrzegawczy informujący o tym, które identyfikatory są wymagane. Aby uzyskać najlepsze wyniki — w celu maksymalnej unikatowej identyfikacji — należy używać silnych identyfikatorów zawsze wtedy, gdy jest to możliwe, a użycie wielu silnych identyfikatorów umożliwi większą korelację między źródłami danych. Zobacz pełną listę dostępnych jednostek i identyfikatorów.

    Mapowanie pól na jednostki

  7. Kliknij pozycję Dodaj nową jednostkę , aby zamapować więcej jednostek. W jednej regule analizy można mapować maksymalnie pięć jednostek . Można również mapować więcej niż jeden z tego samego typu. Na przykład można mapować dwie jednostki IP : jedną z pola źródłowego adresu IP i jedną z pola docelowego adresu IP . W ten sposób można je śledzić.

    Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć mapowanie jednostek, klikając ikonę kosza obok listy rozwijanej jednostki.

  8. Po zakończeniu mapowania jednostek kliknij kartę Przejrzyj i utwórz . Po pomyślnym zakończeniu walidacji reguły kliknij przycisk Zapisz.

Uwaga

  • Każda zamapowana jednostka może identyfikować maksymalnie dziesięć jednostek.

    • Jeśli alert zawiera więcej niż dziesięć elementów odpowiadających mapowaniu pojedynczej jednostki, tylko pierwsza dziesięć zostanie rozpoznana jako jednostki i będzie mogła zostać przeanalizowana jako taka.
    • To ograniczenie dotyczy rzeczywistych mapowań, a nie typów jednostek. Dlatego jeśli masz trzy różne zamapowane jednostki dla adresów IP (np. źródłowych, docelowych i bram), każde z tych mapowań może pomieścić dziesięć jednostek.
  • Limit rozmiaru całego alertu wynosi 64 KB.

    • Alerty o rozmiarze większym niż 64 KB zostaną obcięte. W miarę identyfikowania jednostek są one dodawane do alertu jeden po drugim, dopóki rozmiar alertu nie osiągnie 64 KB, a pozostałe jednostki zostaną usunięte z alertu.

Uwagi dotyczące nowej wersji

  • Ponieważ nowa wersja jest teraz ogólnie dostępna, obejście flagi funkcji w celu korzystania ze starej wersji nie jest już dostępne.

  • Jeśli wcześniej zdefiniowano mapowania jednostek dla tej reguły analizy przy użyciu starej wersji, zostaną one automatycznie przekonwertowane na nową wersję.

Następne kroki

W tym dokumencie przedstawiono sposób mapowania pól danych na jednostki w regułach analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej na temat Microsoft Sentinel, zobacz następujące artykuły: