Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Gdy alerty są wysyłane do lub generowane przez Microsoft Sentinel, zawierają elementy danych, które Sentinel mogą rozpoznawać i klasyfikować jako jednostki. Gdy Microsoft Sentinel rozumie, jaki rodzaj jednostki reprezentuje dany element danych, zna odpowiednie pytania, które należy o nim zadać, a następnie może porównać szczegółowe informacje o tym elemencie w pełnym zakresie źródeł danych i łatwo go śledzić i odwoływać się do niego w całym środowisku Sentinel — analizie, badaniu, korygowaniu, polowaniu itd. Niektóre typowe przykłady jednostek to konta użytkowników, hosty, skrzynki pocztowe, adresy IP, pliki, aplikacje w chmurze, procesy i adresy URL.
Ważna
Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.
Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.
W portalu Microsoft Defender jednostki zazwyczaj dzielą się na dwie główne kategorie:
| Kategoria jednostki | Charakterystyka | Główne przykłady |
|---|---|---|
| Aktywów | ||
| Inne jednostki (dowody) |
Identyfikatory jednostek
Microsoft Sentinel obsługuje szeroką gamę typów jednostek. Każdy typ ma własne unikatowe atrybuty, które są reprezentowane jako pola w schemacie jednostki i są nazywane identyfikatorami. Zapoznaj się z pełną listą obsługiwanych jednostek poniżej oraz kompletnym zestawem schematów i identyfikatorów jednostek w Microsoft Sentinel odwołaniach do typów jednostek.
Silne i słabe identyfikatory
Dla każdego typu jednostki istnieją pola lub zestawy pól, które mogą identyfikować określone wystąpienia tej jednostki. Te pola lub zestawy pól mogą być określane jako silne identyfikatory , jeśli mogą jednoznacznie zidentyfikować jednostkę bez żadnych niejednoznaczności lub jako słabe identyfikatory , jeśli mogą zidentyfikować jednostkę w pewnych okolicznościach, ale nie mają gwarancji unikatowej identyfikacji jednostki we wszystkich przypadkach. Jednak w wielu przypadkach można połączyć wybór słabych identyfikatorów w celu uzyskania silnego identyfikatora.
Na przykład konta użytkowników można zidentyfikować jako jednostki konta w więcej niż jeden sposób: przy użyciu pojedynczego silnego identyfikatora, takiego jak identyfikator liczbowy konta Microsoft Entra (pole GUID) lub jego główna nazwa użytkownika (UPN), lub alternatywnie przy użyciu kombinacji słabych identyfikatorów, takich jak pola Nazwa i NTDomain. Różne źródła danych mogą identyfikować tego samego użytkownika na różne sposoby. Za każdym razem, gdy Microsoft Sentinel napotka dwie jednostki, które może rozpoznać jako tę samą jednostkę na podstawie ich identyfikatorów, scala dwie jednostki w jedną jednostkę, aby można było je prawidłowo i spójnie obsługiwać.
Jeśli jednak jeden z dostawców zasobów utworzy alert, w którym jednostka nie jest wystarczająco zidentyfikowana — na przykład przy użyciu tylko jednego słabego identyfikatora , takiego jak nazwa użytkownika bez kontekstu nazwy domeny , nie można scalić jednostki użytkownika z innymi wystąpieniami tego samego konta użytkownika. Te inne wystąpienia zostałyby zidentyfikowane jako oddzielna jednostka, a te dwie jednostki pozostałyby osobne, a nie ujednolicone.
Aby zminimalizować ryzyko wystąpienia tego zdarzenia, należy sprawdzić, czy wszyscy dostawcy alertów prawidłowo identyfikują jednostki w generowanych alertach. Ponadto synchronizowanie jednostek konta użytkownika z Microsoft Entra ID może utworzyć katalog ujednolicający, który będzie mógł scalać jednostki konta użytkownika.
Obsługiwane jednostki
Następujące typy jednostek są obecnie identyfikowane w Microsoft Sentinel:
- Konta
- Host
- Adres IP
- URL
- zasób Azure
- Aplikacja w chmurze
- Rozpoznawanie nazw DNS
- Plik
- Skrót pliku
- Złośliwego oprogramowania
- Proces
- Klucz rejestru
- Wartość rejestru
- Grupa zabezpieczeń
- Skrzynki pocztowej
- Klaster poczty
- Wiadomość e-mail
- Przesyłanie wiadomości e-mail
Identyfikatory tych jednostek i inne istotne informacje można wyświetlić w dokumentacji jednostek.
Mapowanie jednostek
W jaki sposób Microsoft Sentinel rozpoznawać fragment danych w alercie jako identyfikujący jednostkę?
Przyjrzyjmy się, jak przetwarzanie danych odbywa się w Microsoft Sentinel. Dane są pozyskiwane z różnych źródeł za pośrednictwem łączników, zarówno opartych na usłudze, agentze, jak i interfejsie API. Dane są przechowywane w tabelach w obszarze roboczym usługi Log Analytics. Te tabele są wykonywane w regularnych odstępach czasu przez zdefiniowane i włączone reguły analizy zaplanowane lub prawie w czasie rzeczywistym lub na żądanie w ramach zapytań dotyczących wyszukiwania zagrożeń. Częścią definicji tych reguł analizy i zapytań wyszukiwania zagrożeń jest mapowanie pól danych w tabelach na typy jednostek rozpoznawane przez Microsoft Sentinel. Zgodnie z zdefiniowanymi mapowaniami Microsoft Sentinel będzie przyjmować pola z wyników zwracanych przez zapytanie, rozpoznawać je za pomocą identyfikatorów określonych dla każdego typu jednostki i stosować do nich typ jednostki zidentyfikowany przez te identyfikatory.
Jaki jest sens tego wszystkiego?
Gdy Microsoft Sentinel jest w stanie identyfikować jednostki w alertach z różnych typów źródeł danych, a zwłaszcza jeśli może to zrobić przy użyciu silnych identyfikatorów wspólnych dla każdego źródła danych lub innego schematu, może łatwo skorelować wszystkie te alerty i źródła danych. Te korelacje ułatwiają tworzenie bogatego magazynu informacji i szczegółowych informacji na temat jednostek, zapewniając solidne podstawy i kontekst do badania zagrożeń bezpieczeństwa i reagowania na nie.
Dowiedz się, jak mapować pola danych na jednostki.
Dowiedz się , które identyfikatory silnie identyfikują jednostkę.
Strony jednostek
Informacje o stronach jednostek można teraz znaleźć na stronach jednostki w Microsoft Sentinel.
Następne kroki
W tym dokumencie przedstawiono sposób pracy z jednostkami w Microsoft Sentinel. Aby uzyskać praktyczne wskazówki dotyczące implementacji i korzystać z uzyskanych szczegółowych informacji, zobacz następujące artykuły:
- Włącz analizę zachowania jednostki w Microsoft Sentinel.
- Wyszukiwanie zagrożeń bezpieczeństwa.