Jednostki w usłudze Microsoft Sentinel

  • Artykuł

Gdy alerty są wysyłane do usługi Microsoft Sentinel lub generowane przez usługę Microsoft Sentinel, zawierają elementy danych, które usługa Sentinel może rozpoznawać i klasyfikować w kategoriach jako jednostki. Gdy usługa Microsoft Sentinel rozumie, jaki rodzaj jednostki reprezentuje konkretny element danych, zna odpowiednie pytania, które należy zadać, i może następnie porównać szczegółowe informacje o tym elemencie w pełnym zakresie źródeł danych i łatwo śledzić je i odwoływać się do niego w całym środowisku usługi Sentinel — analiza, badanie, korygowanie, wyszukiwanie, wyszukiwanie zagrożeń itd. Niektóre typowe przykłady jednostek to konta użytkowników, hosty, skrzynki pocztowe, adresy IP, pliki, aplikacje w chmurze, procesy i adresy URL.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

W ujednoliconej platformie operacji zabezpieczeń w portalu usługi Microsoft Defender jednostki zazwyczaj należą do dwóch głównych kategorii:

Kategoria jednostki Charakterystyka Główne przykłady
Zasoby
  • Obiekty wewnętrzne
  • Chronione obiekty
  • Obiekty spisane
    		•
  • Konta (użytkownicy)
  • Hosty (urządzenia)
  • Skrzynki pocztowe
  • Zasoby platformy Azure
    		•
    Inne jednostki
    (dowody)
  • Elementy zewnętrzne
  • Nie w twojej kontrolce
  • Wskaźniki naruszenia zabezpieczeń
    		•
  • Adresy IP
  • Pliki
  • Procesy
  • Adresy URL
    		•

    Identyfikatory jednostek

    Usługa Microsoft Sentinel obsługuje szeroką gamę typów jednostek. Każdy typ ma własne unikatowe atrybuty, które są reprezentowane jako pola w schemacie jednostki i są nazywane identyfikatorami. Zapoznaj się z pełną listą obsługiwanych jednostek poniżej oraz kompletnym zestawem schematów jednostek i identyfikatorów w dokumentacji typów jednostek usługi Microsoft Sentinel.

    Silne i słabe identyfikatory

    Dla każdego typu jednostki istnieją pola lub zestawy pól, które mogą identyfikować określone wystąpienia tej jednostki. Te pola lub zestawy pól mogą być określane jako silne identyfikatory , jeśli mogą jednoznacznie zidentyfikować jednostkę bez żadnych niejednoznaczności lub jako słabych identyfikatorów , jeśli mogą zidentyfikować jednostkę w pewnych okolicznościach, ale nie mają gwarancji unikatowego identyfikowania jednostki we wszystkich przypadkach. W wielu przypadkach można jednak połączyć wybór słabych identyfikatorów w celu utworzenia silnego identyfikatora.

    Na przykład konta użytkowników można zidentyfikować jako jednostki konta w więcej niż jeden sposób: przy użyciu pojedynczego silnego identyfikatora liczbowego konta Microsoft Entra (pola identyfikatora GUID) lub jego głównej nazwy użytkownika (UPN) lub alternatywnie przy użyciu kombinacjisłabych identyfikatorów, takich jak jego pola Name i NTDomain. Różne źródła danych mogą identyfikować tego samego użytkownika na różne sposoby. Za każdym razem, gdy usługa Microsoft Sentinel napotka dwie jednostki, które może rozpoznać jako tę samą jednostkę na podstawie ich identyfikatorów, scala te dwie jednostki w jedną jednostkę, aby mogła być obsługiwana prawidłowo i spójnie.

    Jeśli jednak jeden z dostawców zasobów tworzy alert, w którym jednostka nie jest wystarczająco zidentyfikowana — na przykład przy użyciu tylko jednego słabego identyfikatora , takiego jak nazwa użytkownika bez kontekstu nazwy domeny, nie można scalić jednostki użytkownika z innymi wystąpieniami tego samego konta użytkownika. Te inne wystąpienia zostaną zidentyfikowane jako oddzielna jednostka, a te dwie jednostki pozostaną oddzielne zamiast ujednolicone.

    Aby zminimalizować ryzyko wystąpienia takiej sytuacji, należy sprawdzić, czy wszyscy dostawcy alertów prawidłowo identyfikują jednostki w wygenerowanych alertach. Ponadto synchronizowanie jednostek konta użytkownika z identyfikatorem Entra firmy Microsoft może utworzyć katalog jednoczący, który będzie mógł scalić jednostki kont użytkowników.

    Obsługiwane jednostki

    Następujące typy jednostek są obecnie identyfikowane w usłudze Microsoft Sentinel:

    Identyfikatory tych jednostek i inne istotne informacje można wyświetlić w odwołaniu do jednostek.

    Mapowanie jednostek

    Jak usługa Microsoft Sentinel rozpoznaje dane w alercie jako identyfikację jednostki?

    Przyjrzyjmy się sposobom przetwarzania danych w usłudze Microsoft Sentinel. Dane są pozyskiwane z różnych źródeł za pośrednictwem łączników, niezależnie od tego, czy usługa do usługi, oparta na agencie, czy oparta na interfejsie API. Dane są przechowywane w tabelach w obszarze roboczym usługi Log Analytics. Te tabele są odpytywane w regularnych odstępach czasu zgodnie z zaplanowanymi lub niemal rzeczywistymi regułami analizy zdefiniowanymi i włączonymi albo na żądanie w ramach zapytań wyszukiwania zagrożeń podczas wyszukiwania zagrożeń. Częścią definicji tych reguł analizy i zapytań wyszukiwania zagrożeń jest mapowanie pól danych w tabelach na typy jednostek rozpoznawane przez usługę Microsoft Sentinel. Zgodnie z zdefiniowanymi mapowaniami usługa Microsoft Sentinel będzie przyjmować pola z wyników zwróconych przez zapytanie, rozpoznać je według identyfikatorów określonych dla każdego typu jednostki i zastosować do nich typ jednostki zidentyfikowany przez te identyfikatory.

    Jaki jest punkt tego wszystkiego?

    Gdy usługa Microsoft Sentinel może identyfikować jednostki w alertach z różnych typów źródeł danych, a zwłaszcza jeśli może to zrobić przy użyciu silnych identyfikatorów wspólnych dla każdego źródła danych lub innego schematu, może łatwo skorelować wszystkie te alerty i źródła danych. Te korelacje pomagają w tworzeniu rozbudowanego magazynu informacji i szczegółowych informacji na temat jednostek, zapewniając solidne podstawy i kontekst do badania zagrożeń bezpieczeństwa i reagowania na nie.

    Dowiedz się, jak mapować pola danych na jednostki.

    Dowiedz się , które identyfikatory zdecydowanie identyfikują jednostkę.

    Strony jednostek

    Informacje o stronach jednostek można teraz znaleźć na stronach jednostki w usłudze Microsoft Sentinel.

    Następne kroki

    W tym dokumencie omówiono pracę z jednostkami w usłudze Microsoft Sentinel. Aby uzyskać praktyczne wskazówki dotyczące implementacji i użyć uzyskanych szczegółowych informacji, zobacz następujące artykuły: