Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Quando os alertas são enviados ou gerados por Microsoft Sentinel, contêm elementos de dados que Sentinel podem reconhecer e classificar em categorias como entidades. Quando Microsoft Sentinel compreende o tipo de entidade que um determinado elemento de dados representa, conhece as perguntas certas a fazer sobre o mesmo e, em seguida, pode comparar informações sobre esse item ao longo de toda a gama de origens de dados, controlá-lo facilmente e fazer referência ao mesmo ao longo de toda a experiência Sentinel - análise, investigação, remediação, investigação, etc. Alguns exemplos comuns de entidades são contas de utilizador, anfitriões, caixas de correio, endereços IP, ficheiros, aplicações na nuvem, processos e URLs.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
No portal Microsoft Defender, as entidades geralmente enquadram-se em duas categorias principais:
| Categoria de entidade | Caracterização | Exemplos principais |
|---|---|---|
| Recursos | ||
| Outras entidades (provas) |
Identificadores de entidade
Microsoft Sentinel suporta uma grande variedade de tipos de entidade. Cada tipo tem os seus próprios atributos exclusivos, que são representados como campos no esquema de entidade e são denominados identificadores. Veja a lista completa de entidades suportadas abaixo e o conjunto completo de esquemas de entidades e identificadores na referência de tipos de entidade Microsoft Sentinel.
Identificadores fortes e fracos
Para cada tipo de entidade, existem campos ou conjuntos de campos que podem identificar instâncias específicas dessa entidade. Estes campos ou conjuntos de campos podem ser referidos como identificadores fortes se conseguirem identificar exclusivamente uma entidade sem qualquer ambiguidade ou como identificadores fracos se conseguirem identificar uma entidade em algumas circunstâncias, mas não têm a garantia de identificar exclusivamente uma entidade em todos os casos. Em muitos casos, porém, uma seleção de identificadores fracos pode ser combinada para produzir um identificador forte.
Por exemplo, as contas de utilizador podem ser identificadas como entidades de conta de várias formas: através de um único identificador forte, como um identificador numérico de Microsoft Entra conta (o campo GUID) ou o respetivo valor de Nome Principal de Utilizador (UPN), ou, em alternativa, através de uma combinação de identificadores fracos, como os campos Nome e NTDomain. Diferentes origens de dados podem identificar o mesmo utilizador de formas diferentes. Sempre que Microsoft Sentinel encontra duas entidades que pode reconhecer como a mesma entidade com base nos respetivos identificadores, intercala as duas entidades numa única entidade, para que possa ser processada correta e consistentemente.
No entanto, se um dos seus fornecedores de recursos criar um alerta no qual uma entidade não está suficientemente identificada( por exemplo, utilizar apenas um único identificador fraco , como um nome de utilizador sem o contexto de nome de domínio), a entidade de utilizador não pode ser intercalada com outras instâncias da mesma conta de utilizador. Essas outras instâncias seriam identificadas como uma entidade separada e essas duas entidades permaneceriam separadas em vez de unificadas.
Para minimizar o risco desta situação, deve verificar se todos os fornecedores de alertas identificam corretamente as entidades nos alertas que produzem. Além disso, sincronizar entidades de conta de utilizador com Microsoft Entra ID pode criar um diretório unificador, que poderá intercalar entidades de conta de utilizador.
Entidades suportadas
Os seguintes tipos de entidades estão atualmente identificados no Microsoft Sentinel:
- Conta
- Host
- Endereço IP
- URL
- Azure recurso
- Aplicação na cloud
- Resolução de DNS
- Ficheiro
- Hash de ficheiro
- Software Maligno
- Processo
- Chave de registo
- Valor do registo
- Grupo de segurança
- Caixa de correio
- Cluster de correio
- Mensagem de correio
- Correio de submissão
Pode ver os identificadores destas entidades e outras informações relevantes na referência de entidades.
Mapeamento de entidades
Como é que Microsoft Sentinel reconhece uma parte dos dados num alerta como identificação de uma entidade?
Vejamos como o processamento de dados é feito no Microsoft Sentinel. Os dados são ingeridos a partir de várias origens através de conectores, seja serviço a serviço, baseados em agente ou baseados em API. Os dados são armazenados em tabelas na área de trabalho do Log Analytics. Estas tabelas são consultadas em intervalos regulares pelas regras de análise agendadas ou quase em tempo real que definiu e ativou, ou a pedido como parte de consultas de investigação quando procura ameaças. Parte da definição destas regras de análise e consultas de investigação é o mapeamento de campos de dados nas tabelas para tipos de entidade reconhecidos por Microsoft Sentinel. De acordo com os mapeamentos que definir, Microsoft Sentinel irá retirar campos dos resultados devolvidos pela consulta, reconhecê-los pelos identificadores que especificou para cada tipo de entidade e aplicar-lhes o tipo de entidade identificado por esses identificadores.
Qual é o objetivo de tudo isto?
Quando Microsoft Sentinel consegue identificar entidades em alertas de diferentes tipos de origens de dados e, especialmente, se o conseguir fazer com identificadores fortes comuns a cada origem de dados ou a outro esquema, pode correlacionar facilmente entre todos estes alertas e origens de dados. Estas correlações ajudam a criar um arquivo avançado de informações e informações sobre as entidades, dando-lhe uma base e contexto sólidos para investigar e responder a ameaças de segurança.
Saiba como mapear campos de dados para entidades.
Saiba quais os identificadores que identificam fortemente uma entidade.
Páginas de entidade
As informações sobre as páginas de entidade podem agora ser encontradas em Páginas de entidade no Microsoft Sentinel.
Passos seguintes
Neste documento, aprendeu a trabalhar com entidades no Microsoft Sentinel. Para obter orientações práticas sobre a implementação e utilizar as informações obtidas, consulte os seguintes artigos:
- Ative a análise de comportamento da entidade no Microsoft Sentinel.
- Procure ameaças de segurança.