Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Quando se deparar com uma conta de utilizador, um nome de anfitrião, um endereço IP ou um recurso Azure numa investigação de incidente, poderá decidir que pretende saber mais sobre o mesmo. Por exemplo, poderá querer saber o histórico de atividades, quer seja apresentado noutros alertas ou incidentes, quer tenha sido feito algo inesperado ou fora do caráter, etc. Em suma, quer informações que o possam ajudar a determinar que tipo de ameaça estas entidades representam e orientar a sua investigação em conformidade.
Este artigo descreve Microsoft Sentinel páginas de entidade no portal do Azure. Para obter informações sobre páginas de entidades no portal do Defender, veja:
- Página entidade de utilizador no Microsoft Defender
- Página entidade do dispositivo no Microsoft Defender
- Página de entidade de endereço IP no Microsoft Defender
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Páginas de entidade
Nestas situações, pode selecionar a entidade (será apresentada como uma ligação clicável) e ser levada para uma página de entidade, uma folha de dados cheia de informações úteis sobre essa entidade. Também pode chegar a uma página de entidade ao procurar diretamente entidades na página Microsoft Sentinel comportamento da entidade. Os tipos de informações que encontrará nas páginas de entidade incluem factos básicos sobre a entidade, uma linha cronológica de eventos importantes relacionados com esta entidade e informações sobre o comportamento da entidade.
Mais especificamente, as páginas de entidades consistem em três partes:
O painel do lado esquerdo contém as informações de identificação da entidade, recolhidas a partir de origens de dados como Microsoft Entra ID, Azure Monitor, Atividade Azure, Azure Resource Manager, Microsoft Defender para a Cloud, CEF/Syslog e Microsoft Defender XDR (com todos os componentes).
O painel central mostra uma linha cronológica gráfica e textual de eventos notáveis relacionados com a entidade, tais como alertas, marcadores, anomalias e atividades. As atividades são agregações de eventos notáveis do Log Analytics. As consultas que detetam essas atividades são desenvolvidas pelas equipas de pesquisa de segurança da Microsoft e agora pode adicionar as suas próprias consultas personalizadas para detetar atividades à sua escolha.
O painel do lado direito apresenta informações comportamentais na entidade. Estas informações são continuamente desenvolvidas pelas equipas de investigação de segurança da Microsoft. Baseiam-se em várias origens de dados e fornecem contexto para a entidade e as respetivas atividades observadas, ajudando-o a identificar rapidamente comportamentos anómalos e ameaças de segurança.
Se estiver a investigar um incidente com a nova experiência de investigação, poderá ver uma versão com painéis da página de entidade diretamente na página de detalhes do incidente. Tem uma lista de todas as entidades num determinado incidente e selecionar uma entidade abre um painel lateral com três "cartões", Informações, Linha Cronológica e Informações, que mostram todas as mesmas informações descritas acima, dentro do período de tempo específico correspondente ao dos alertas no incidente.
Se estiver a utilizar o Microsoft Sentinel no portal do Defender, os painéis de linha cronológica e informações aparecem no separador Sentinel eventos da página de entidade do Defender.
A linha cronológica
A linha cronológica é uma parte importante da contribuição da página de entidade para a análise de comportamento no Microsoft Sentinel. Apresenta uma história sobre eventos relacionados com entidades, ajudando-o a compreender a atividade da entidade num período de tempo específico.
Pode escolher o intervalo de tempo entre várias opções predefinidas (como as últimas 24 horas) ou defini-lo para qualquer período de tempo definido por personalizado. Além disso, pode definir filtros que limitam as informações na linha cronológica a tipos específicos de eventos ou alertas.
Os seguintes tipos de itens estão incluídos na linha cronológica.
Alertas: todos os alertas nos quais a entidade é definida como uma entidade mapeada. Tenha em atenção que se a sua organização tiver criado alertas personalizados com regras de análise, deve certificar-se de que o mapeamento de entidades das regras é feito corretamente.
Marcadores: todos os marcadores que incluam a entidade específica apresentada na página.
Anomalias: deteções de UEBA com base em linhas de base dinâmicas criadas para cada entidade em várias entradas de dados e contra as suas próprias atividades históricas, as dos seus pares e as da organização como um todo.
Atividades: agregação de eventos importantes relacionados com a entidade. Uma vasta gama de atividades é recolhida automaticamente e agora pode personalizar esta secção ao adicionar atividades à sua escolha.
Informações de entidade
As informações de entidades são consultas definidas pelos investigadores de segurança da Microsoft para ajudar os seus analistas a investigar de forma mais eficiente e eficaz. As informações são apresentadas como parte da página de entidade e fornecem informações de segurança valiosas sobre anfitriões e utilizadores, sob a forma de dados e gráficos tabulares. Ter as informações aqui significa que não tem de desviar para o Log Analytics. As informações incluem dados sobre inícios de sessão, adições de grupos, eventos anómalos e muito mais, e incluem algoritmos ML avançados para detetar comportamentos anómalos.
As informações baseiam-se nas seguintes origens de dados:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor Agent)
- CommonSecurityLog (Microsoft Sentinel)
De um modo geral, cada informação de entidade apresentada na página de entidade é acompanhada por uma ligação que o levará a uma página onde é apresentada a consulta subjacente às informações, juntamente com os resultados, para que possa examinar os resultados em maior profundidade.
- No Microsoft Sentinel na portal do Azure, a ligação direciona-o para a página Registos.
- No portal Microsoft Defender, a ligação direciona-o para a página Investigação avançada.
Como utilizar páginas de entidade
As páginas de entidade foram concebidas para fazer parte de vários cenários de utilização e podem ser acedidas a partir da gestão de incidentes, do gráfico de investigação, dos marcadores ou diretamente da página de pesquisa de entidades em Comportamento da entidade no menu principal Microsoft Sentinel.
As informações da página de entidade são armazenadas na tabela BehaviorAnalytics, descritas em detalhe na referência ueBA Microsoft Sentinel.
Páginas de entidade suportadas
Microsoft Sentinel atualmente oferece as seguintes páginas de entidade:
Conta de utilizador
Anfitrião
Endereço IP (Pré-visualização)
Nota
A página da entidade endereço IP (agora em pré-visualização) contém dados de geolocalização fornecidos pelo serviço Microsoft Threat Intelligence. Este serviço combina dados de geolocalização de soluções da Microsoft e fornecedores e parceiros de terceiros. Os dados estão então disponíveis para análise e investigação no contexto de um incidente de segurança. Para obter mais informações, veja Também Melhorar entidades no Microsoft Sentinel com dados de geolocalização através da API REST (Pré-visualização pública).
Azure recurso (Pré-visualização)
Dispositivo IoT (Pré-visualização)— apenas no Microsoft Sentinel no portal do Azure por enquanto.
Passos seguintes
Neste documento, aprendeu a obter informações sobre entidades no Microsoft Sentinel através de páginas de entidade. Para obter mais informações sobre entidades e como pode utilizá-las, consulte os seguintes artigos:
- Saiba mais sobre as entidades no Microsoft Sentinel.
- Personalizar atividades em linhas cronológicas de páginas de entidades.
- Identificar ameaças avançadas com a Análise de Comportamento do Utilizador e da Entidade (UEBA) no Microsoft Sentinel
- Ative a análise de comportamento da entidade no Microsoft Sentinel.
- Procure ameaças de segurança.