Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O mapeamento de entidades é parte integrante da configuração das regras de análise agendada. Melhora a saída das regras (alertas e incidentes) com informações essenciais que servem como blocos modulares de quaisquer processos de investigação e ações de remediação que se seguem.
O procedimento detalhado abaixo faz parte do assistente de criação de regras de análise. É tratado aqui de forma independente para abordar o cenário de adição ou alteração de mapeamentos de entidades numa regra de análise existente.
Importante
- Consulte "Notas sobre a nova versão" no final deste documento para obter informações importantes sobre retrocompatibilidade e diferenças entre as versões novas e antigas do mapeamento de entidades.
- Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender. Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retireing Microsoft Sentinel's portal do Azure for greater security (Está na altura de mover: extinguir portal do Azure de Microsoft Sentinel para maior segurança).
Como mapear entidades
Introduza a página Análise no portal através da qual acede Microsoft Sentinel:
Na secção Configuração do menu de navegação Microsoft Sentinel, selecione Análise.
Selecione uma regra de consulta agendada e selecione Editar no painel de detalhes. Em alternativa, crie uma nova regra ao clicar em Criar > regra de consulta agendada na parte superior do ecrã.
Selecione o separador Definir lógica de regra . Se for uma nova regra, escreva uma consulta na janela consulta Regra .
Na secção Melhoramento de alertas , expanda Mapeamento de entidades.
Na secção Mapeamento de entidades agora expandida, selecione Adicionar nova entidade.
Selecione um tipo de entidade na lista pendente Entidade .
Selecione um identificador para a entidade. Os identificadores são atributos de uma entidade que pode identificá-la suficientemente. Escolha um na lista pendente Identificador e, em seguida, escolha um campo de dados na lista pendente Valor que corresponda ao identificador. Com algumas exceções, a lista Valor é preenchida pelos campos de dados na tabela definida como o assunto da consulta de regra.
Pode definir até três identificadores para um determinado mapeamento de entidades. Alguns identificadores são necessários, outros são opcionais. Tem de escolher, pelo menos, um identificador necessário. Se não o fizer, uma mensagem de aviso irá indicar-lhe que identificadores são necessários. Para obter os melhores resultados, para uma identificação exclusiva máxima, deve utilizar identificadores fortes sempre que possível e a utilização de vários identificadores fortes permitirá uma maior correlação entre origens de dados. Veja a lista completa de entidades e identificadores disponíveis.
Selecione Adicionar nova entidade para mapear mais entidades. Pode definir até dez mapeamentos de entidades numa única regra de análise. Também pode mapear mais do que um do mesmo tipo. Por exemplo, pode mapear duas entidades IP , uma de um campo de endereço IP de origem e outra de um campo de endereço IP de destino . Desta forma, pode controlar os dois.
Se mudar de ideias ou se tiver cometido um erro, pode remover um mapeamento de entidade ao clicar no ícone do caixote do lixo junto à lista pendente de entidades.
Quando terminar de mapear entidades, clique no separador Rever e criar . Assim que a validação da regra for concluída com êxito, clique em Guardar.
Nota
Até 500 entidades coletivamente podem ser identificadas num único alerta, divididas igualmente em todos os mapeamentos de entidades definidos na regra.
- Por exemplo, se forem definidos dois mapeamentos de entidades na regra, cada mapeamento pode identificar até 250 entidades; Se forem definidos cinco mapeamentos, cada um pode identificar até 100 entidades, etc.
- Os múltiplos mapeamentos de um único tipo de entidade (por exemplo, IP de origem e IP de destino) contam separadamente.
- Se um alerta contiver itens que excedam este limite, esses itens em excesso não serão reconhecidos e extraídos como entidades.
O limite de tamanho para toda a área de entidades de um alerta (o campo Entidades ) é de 64 KB.
- Os campos de entidades que crescerem mais de 64 KB serão truncados. À medida que as entidades são identificadas, são adicionadas ao alerta uma a uma até o tamanho do campo atingir 64 KB e todas as entidades ainda não identificadas são retiradas do alerta.
Notas sobre a nova versão
Uma vez que a nova versão está agora disponível globalmente (GA), a solução do sinalizador de funcionalidade para utilizar a versão antiga já não está disponível.
Se tiver definido anteriormente mapeamentos de entidades para esta regra de análise com a versão antiga, estes serão automaticamente convertidos para a nova versão.
Passos seguintes
Neste documento, aprendeu a mapear campos de dados para entidades nas regras de análise Microsoft Sentinel. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:
- Explore as outras formas de enriquecer os alertas:
- Obtenha a imagem completa sobre as regras de análise de consultas agendadas.
- Saiba mais sobre as entidades no Microsoft Sentinel.