Eksplorowanie jednostek

  • 7 min

Gdy alerty są wysyłane do usługi Microsoft Sentinel, obejmują elementy danych, które usługa Microsoft Sentinel identyfikuje i klasyfikuje jako jednostki, takie jak konta użytkowników, hosty, adresy IP i inne. Taka identyfikacja może być wyzwaniem, jeśli alert nie zawiera wystarczających informacji o jednostce.

Na przykład konta użytkowników można zidentyfikować w więcej niż jeden sposób: przy użyciu identyfikatora liczbowego konta Microsoft Entra (GUID) lub jego głównej nazwy użytkownika (UPN) lub alternatywnie przy użyciu kombinacji nazwy użytkownika i nazwy domeny NT. Różne źródła danych mogą identyfikować tego samego użytkownika na różne sposoby. W związku z tym, jeśli to możliwe, usługa Microsoft Sentinel scala te identyfikatory w jedną jednostkę, aby można było ją prawidłowo zidentyfikować.

Może się jednak zdarzyć, że jeden z dostawców zasobów tworzy alert, w którym jednostka nie jest wystarczająco zidentyfikowana — na przykład nazwa użytkownika bez kontekstu nazwy domeny. W takim przypadku nie można scalić jednostki użytkownika z innymi wystąpieniami tego samego konta użytkownika, które zostanie zidentyfikowane jako oddzielna jednostka, a te dwie jednostki pozostaną oddzielne zamiast ujednolicone.

Aby zminimalizować ryzyko wystąpienia takiej sytuacji, należy sprawdzić, czy wszyscy dostawcy alertów prawidłowo identyfikują jednostki w wygenerowanych alertach. Ponadto synchronizowanie jednostek konta użytkownika z identyfikatorem Entra firmy Microsoft może utworzyć katalog jednoczący, który będzie mógł scalić jednostki kont użytkowników.

Następujące typy jednostek są obecnie identyfikowane w usłudze Microsoft Sentinel:

  • Konto użytkownika (konto)

  • Gospodarz

  • Adres IP (IP)

  • Złośliwe oprogramowanie

  • Plik

  • Przetwarzaj

  • Aplikacja w chmurze (CloudApplication)

  • Nazwa domeny (DNS)

  • Zasób platformy Azure

  • Plik (FileHash)

  • Klucz rejestru

  • Wartość rejestru

  • Grupa zabezpieczeń

  • URL

  • Urządzenie IoT

  • Skrzynka pocztowa

  • Klaster poczty

  • Mail message

  • Wyślij wiadomość e-mail

Strony jednostek

Jeśli napotkasz dowolną jednostkę (obecnie ograniczoną do użytkowników i hostów) w wyszukiwaniu, alercie lub badaniu, możesz wybrać jednostkę i przejść do strony jednostki, arkusz danych zawierający przydatne informacje o tej jednostce. Typy informacji, które znajdziesz na tej stronie, obejmują podstawowe fakty dotyczące jednostki, oś czasu godnych uwagi zdarzeń związanych z tą jednostką i szczegółowe informacje o zachowaniu jednostki.

Strony jednostek składają się z trzech części:

  • Panel po lewej stronie zawiera informacje identyfikujące jednostkę, zbierane ze źródeł danych, takich jak Microsoft Entra ID, Azure Monitor, Microsoft Defender dla Chmury i Microsoft Defender XDR.

  • Na panelu środkowym jest wyświetlana graficzna i tekstowa oś czasu istotnych zdarzeń związanych z jednostką, takich jak alerty, zakładki i działania. Działania to agregacje istotnych zdarzeń z usługi Log Analytics. Zapytania, które wykrywają te działania, są opracowywane przez zespoły badawcze ds. zabezpieczeń firmy Microsoft.

  • Panel po prawej stronie przedstawia szczegółowe informacje behawioralne dotyczące jednostki. Te szczegółowe informacje pomagają szybko identyfikować anomalie i zagrożenia bezpieczeństwa. Szczegółowe informacje są opracowywane przez zespoły badawcze ds. zabezpieczeń firmy Microsoft i są oparte na modelach wykrywania anomalii.

Oś czasu

Screen shot of an Entity Behavior timeline.

Oś czasu jest główną częścią udziału strony jednostki w analizie zachowań w usłudze Microsoft Sentinel. Przedstawia on historię o zdarzeniach związanych z jednostkami, pomagając zrozumieć działanie jednostki w określonym przedziale czasu.

Możesz wybrać zakres czasu spośród kilku wstępnie ustawionych opcji (takich jak ostatnie 24 godziny) lub ustawić go na dowolny niestandardowy przedział czasu. Ponadto można ustawić filtry, które ograniczają informacje na osi czasu do określonych typów zdarzeń lub alertów.

Na osi czasu znajdują się następujące typy elementów:

Alerty — wszelkie alerty, w których jednostka jest zdefiniowana jako zamapowana jednostka. Jeśli Twoja organizacja utworzyła niestandardowe alerty przy użyciu reguł analizy, upewnij się, że mapowanie jednostek reguł jest wykonywane prawidłowo.

Zakładki — wszystkie zakładki zawierające konkretną jednostkę wyświetlaną na stronie.

Działania — agregacja godnych uwagi zdarzeń odnoszących się do jednostki.

Szczegółowe informacje jednostek

Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, aby pomóc analitykom w bardziej wydajnym i efektywnym zbadaniu. Szczegółowe informacje są prezentowane jako część strony jednostki i zapewniają cenne informacje o zabezpieczeniach na hostach i użytkownikach w postaci tabelarycznych danych i wykresów. Posiadanie informacji w tym miejscu oznacza, że nie musisz objazdać do usługi Log Analytics. Szczegółowe informacje obejmują dane dotyczące logowania, dodawania grup, nietypowych zdarzeń i nie tylko oraz zawierają zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowego zachowania. Szczegółowe informacje są oparte na następujących typach danych:

  • Dziennik systemu

  • SecurityEvent

  • Dzienniki inspekcji

  • Dzienniki logowania

  • Działanie pakietu Office

  • BehaviorAnalytics (UEBA)