Mapear campos de dados para entidades no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

O mapeamento de entidades é parte integrante da configuração de regras de análise de consulta agendada. Enriquece os resultados das regras (alertas e incidentes) com informações essenciais que servem de alicerces a quaisquer processos de investigação e ações corretivas que se lhe seguem.

O procedimento detalhado abaixo faz parte do assistente de criação de regras de análise. Ele é tratado aqui de forma independente para abordar o cenário de adicionar ou alterar mapeamentos de entidade em uma regra de análise existente.

Importante

• Consulte "Notas sobre a nova versão" no final deste documento para obter informações importantes sobre compatibilidade com versões anteriores e diferenças entre as versões nova e antiga do mapeamento de entidades.
• O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Como mapear entidades

1. Entre na página do Google Analytics no portal através do qual você acessa o Microsoft Sentinel:

   Portal do Azure

   Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Analytics.

   Portal do Defender

   No menu de navegação do Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

2. Selecione uma regra de consulta agendada e selecione Editar no painel de detalhes. Ou crie uma nova regra clicando em Criar > regra de consulta agendada na parte superior da tela.

3. Selecione a guia Definir lógica da regra. Se for uma nova regra, digite uma consulta na janela Consulta de regra.

4. Na seção Aprimoramento de alerta, expanda Mapeamento de entidade.

   

5. Na seção Mapeamento de entidade agora expandida, selecione Adicionar nova entidade.

   

6. Selecione um tipo de entidade na lista suspensa Entidade .

   

7. Selecione um identificador para a entidade. Os identificadores são atributos de uma entidade que pode identificá-la suficientemente. Escolha um na lista suspensa Identificador e, em seguida, escolha um campo de dados na lista suspensa Valor que corresponderá ao identificador. Com algumas exceções, a lista Valor é preenchida pelos campos de dados na tabela definida como o assunto da consulta de regra.

   Você pode definir até três identificadores para um determinado mapeamento de entidade. Alguns identificadores são obrigatórios, outros são opcionais. Você deve escolher pelo menos um identificador necessário. Se não o fizer, uma mensagem de aviso indicar-lhe-á quais os identificadores necessários. Para obter melhores resultados, para máxima identificação exclusiva, você deve usar identificadores fortes sempre que possível, e o uso de vários identificadores fortes permitirá uma maior correlação entre as fontes de dados. Consulte a lista completa de entidades e identificadores disponíveis.

   

8. Selecione Adicionar nova entidade para mapear mais entidades. Você pode definir até dez mapeamentos de entidade em uma única regra de análise. Você também pode mapear mais de um do mesmo tipo. Por exemplo, você pode mapear duas entidades IP , uma de um campo de endereço IP de origem e outra de um campo de endereço IP de destino. Desta forma, você pode rastrear os dois.

   Se mudar de ideias ou se tiver cometido um erro, pode remover um mapeamento de entidade clicando no ícone da lixeira junto à lista pendente de entidades.

9. Quando terminar de mapear entidades, clique na guia Revisar e criar . Quando a validação da regra for bem-sucedida, clique em Salvar.

Nota

• Até 500 entidades coletivamente podem ser identificadas em um único alerta, divididas igualmente em todos os mapeamentos de entidades definidos na regra.

  • Por exemplo, se dois mapeamentos de entidade forem definidos na regra, cada mapeamento poderá identificar até 250 entidades; Se forem definidos cinco mapeamentos, cada um pode identificar até 100 entidades, e assim por diante.
  • Vários mapeamentos de um único tipo de entidade (por exemplo, IP de origem e IP de destino) contam separadamente.
  • Se um alerta contiver itens acima desse limite, esses itens em excesso não serão reconhecidos e extraídos como entidades.

• O limite de tamanho para toda a área de entidades de um alerta (o campo Entidades ) é de 64 KB.

  • Os campos de entidades que crescerem mais de 64 KB serão truncados. À medida que as entidades são identificadas, elas são adicionadas ao alerta, uma a uma, até que o tamanho do campo atinja 64 KB e quaisquer entidades ainda não identificadas sejam retiradas do alerta.

Notas sobre a nova versão

• Como a nova versão agora está disponível em geral (GA), a solução alternativa do sinalizador de recursos para usar a versão antiga não está mais disponível.

• Se você tiver definido mapeamentos de entidade anteriormente para essa regra de análise usando a versão antiga, eles serão convertidos automaticamente para a nova versão.

Próximos passos

Neste documento, você aprendeu como mapear campos de dados para entidades nas regras de análise do Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Explore outras formas de enriquecer os seus alertas:
  • Detalhes de eventos personalizados do Surface em alertas no Microsoft Sentinel
  • Personalizar detalhes de alerta no Microsoft Sentinel
• Obtenha uma visão completa das regras de análise de consultas agendadas.
• Saiba mais sobre entidades no Microsoft Sentinel.