Strony jednostek w Microsoft Sentinel

Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jeśli natkniesz się na konto użytkownika, nazwę hosta, adres IP lub zasób Azure w badaniu zdarzeń, możesz zdecydować, że chcesz dowiedzieć się więcej na ten temat. Na przykład możesz chcieć poznać jego historię aktywności, niezależnie od tego, czy jest ona pojawiana w innych alertach czy zdarzeniach, czy jest wykonywana cokolwiek nieoczekiwanego, czy też nie ma charakteru itd. Krótko mówiąc, potrzebujesz informacji, które pomogą Ci określić, jakie zagrożenia te jednostki reprezentują, i odpowiednio kierować badaniem.

W tym artykule opisano Microsoft Sentinel stron jednostek w Azure Portal. Aby uzyskać informacje o stronach jednostek w portalu usługi Defender, zobacz:

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Strony jednostek

W takich sytuacjach możesz wybrać jednostkę (będzie ona wyświetlana jako link możliwy do kliknięcia) i zostać przekierowana do strony jednostki, arkusza danych pełnego przydatnych informacji o tej jednostce. Możesz również dotrzeć do strony jednostki, wyszukując bezpośrednio jednostki na stronie zachowania jednostki Microsoft Sentinel. Typy informacji, które można znaleźć na stronach jednostki, obejmują podstawowe fakty dotyczące jednostki, oś czasu istotnych zdarzeń związanych z tą jednostką i szczegółowe informacje o zachowaniu jednostki.

Dokładniej mówiąc, strony jednostek składają się z trzech części:

Panel po lewej stronie zawiera informacje identyfikacyjne jednostki zebrane ze źródeł danych, takich jak Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog i Microsoft Defender XDR (ze wszystkimi jego składnikami).
W panelu centralnym przedstawiono graficzną i tekstową oś czasu istotnych zdarzeń związanych z jednostką, takich jak alerty, zakładki, anomalie i działania. Działania to agregacja istotnych zdarzeń z usługi Log Analytics. Zapytania, które wykrywają te działania, są opracowywane przez zespoły badawcze ds. zabezpieczeń firmy Microsoft. Teraz możesz dodawać własne zapytania niestandardowe w celu wykrywania wybranej aktywności.
Panel po prawej stronie przedstawia szczegółowe informacje behawioralne dotyczące jednostki. Te szczegółowe informacje są stale opracowywane przez zespoły badawcze ds. zabezpieczeń firmy Microsoft. Są one oparte na różnych źródłach danych i zapewniają kontekst dla jednostki i jej obserwowanych działań, co ułatwia szybkie identyfikowanie nietypowych zachowań i zagrożeń bezpieczeństwa.

Jeśli badasz zdarzenie przy użyciu nowego środowiska badania, zobaczysz wersję panelizowaną strony jednostki bezpośrednio na stronie szczegółów zdarzenia. Masz listę wszystkich jednostek w danym zdarzeniu, a wybranie jednostki powoduje otwarcie panelu bocznego z trzema "kartami" — informacjami, osią czasu i szczegółowymi informacjami — przedstawiającymi wszystkie te same informacje opisane powyżej w określonym przedziale czasowym odpowiadającym alertom w zdarzeniu.

Jeśli używasz Microsoft Sentinel w portalu usługi Defender, panele osi czasu i szczegółowych informacji pojawią się na karcie zdarzeń Sentinel na stronie jednostki usługi Defender.

Oś czasu

Oś czasu jest główną częścią udziału strony jednostki w analizie zachowań w Microsoft Sentinel. Przedstawia ona historię zdarzeń związanych z jednostkami, ułatwiając zrozumienie działania jednostki w określonym przedziale czasowym.

Możesz wybrać zakres czasu spośród kilku wstępnie ustawionych opcji (takich jak ostatnie 24 godziny) lub ustawić go na dowolne niestandardowe ramy czasowe. Ponadto można ustawić filtry ograniczające informacje na osi czasu do określonych typów zdarzeń lub alertów.

Na osi czasu znajdują się następujące typy elementów.

Alerty: wszystkie alerty, w których jednostka jest definiowana jako jednostka mapowana. Pamiętaj, że jeśli organizacja utworzyła niestandardowe alerty przy użyciu reguł analizy, upewnij się, że mapowanie jednostek reguł zostało wykonane prawidłowo.
Zakładki: wszystkie zakładki, które zawierają określoną jednostkę wyświetlaną na stronie.
Anomalie: wykrywanie UEBA oparte na dynamicznych punktach odniesienia utworzonych dla każdej jednostki w różnych danych wejściowych i względem jej własnych działań historycznych, elementów równorzędnych i całej organizacji.
Działania: agregacja istotnych zdarzeń związanych z jednostką. Wiele działań jest zbieranych automatycznie. Teraz możesz dostosować tę sekcję, dodając własne działania .

Szczegółowe informacje o jednostkach

Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, które ułatwiają analitykom wydajniejsze i wydajniejsze badanie. Szczegółowe informacje są prezentowane jako część strony jednostki i zapewniają cenne informacje o zabezpieczeniach hostów i użytkowników w postaci danych tabelarycznych i wykresów. Posiadanie informacji w tym miejscu oznacza, że nie musisz odjechać do usługi Log Analytics. Szczegółowe informacje obejmują dane dotyczące logowania, dodawania grup, nietypowych zdarzeń i nie tylko oraz obejmują zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowych zachowań.

Szczegółowe informacje są oparte na następujących źródłach danych:

Syslog (Linux)
SecurityEvent (Windows)
AuditLogs (Microsoft Entra ID)
SigninLogs (Microsoft Entra ID)
OfficeActivity (Office 365)
BehaviorAnalytics (Microsoft Sentinel UEBA)
Puls (agent Azure Monitor)
CommonSecurityLog (Microsoft Sentinel)

Ogólnie rzecz biorąc, każdemu wglądowi jednostki wyświetlanemu na stronie jednostki towarzyszy link, który przeprowadzi Cię do strony, na której jest wyświetlane zapytanie leżące u podstaw analizy, wraz z wynikami, dzięki czemu można dokładniej zbadać wyniki.

W Microsoft Sentinel w Azure Portal link prowadzi do strony Dzienniki.
W portalu Microsoft Defender link prowadzi do strony Zaawansowane wyszukiwanie zagrożeń.

Jak używać stron jednostki

Strony jednostek zostały zaprojektowane tak, aby były częścią wielu scenariuszy użycia i mogą być dostępne z zarządzania zdarzeniami, wykresu badania, zakładek lub bezpośrednio ze strony wyszukiwania jednostek w obszarze Zachowanie jednostki w menu głównym Microsoft Sentinel.

Diagram obszarów, z których można uzyskać dostęp do stron jednostki, odpowiadających przypadkom użycia.

Informacje o stronie jednostki są przechowywane w tabeli BehaviorAnalytics, opisanej szczegółowo w dokumentacji Microsoft Sentinel UEBA.

Obsługiwane strony jednostek

Microsoft Sentinel obecnie oferuje następujące strony jednostek:

Konto użytkownika
Host
Adres IP (wersja zapoznawcza)

Uwaga

Strona jednostki adresu IP (obecnie w wersji zapoznawczej) zawiera dane geolokalizacji dostarczone przez usługę Microsoft Threat Intelligence. Ta usługa łączy dane geolokalizacji od rozwiązań firmy Microsoft oraz innych dostawców i partnerów. Dane są następnie dostępne do analizy i badania w kontekście zdarzenia zabezpieczeń. Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w Microsoft Sentinel z danymi geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza).
zasób Azure (wersja zapoznawcza)
Urządzenie IoT (wersja zapoznawcza) — na razie tylko w Microsoft Sentinel w Azure Portal.

Następne kroki

W tym dokumencie przedstawiono informacje o uzyskiwaniu informacji o jednostkach w Microsoft Sentinel przy użyciu stron jednostek. Aby uzyskać więcej informacji na temat jednostek i sposobu ich używania, zobacz następujące artykuły:

Opinia

Czy ta strona była pomocna?

Last updated on 2026-04-23