Explore entidades

  • 7 minutos

Quando os alertas são enviados para o Microsoft Sentinel, eles incluem elementos de dados que o Microsoft Sentinel identifica e classifica como entidades, como contas de usuário, hosts, endereços IP e outros. Ocasionalmente, essa identificação pode ser um desafio, se o alerta não contiver informações suficientes sobre a entidade.

Por exemplo, as contas de usuário podem ser identificadas de mais de uma maneira: usando o identificador numérico (GUID) de uma conta do Microsoft Entra ou seu valor de Nome Principal de Usuário (UPN) ou, alternativamente, usando uma combinação de seu nome de usuário e seu nome de domínio NT. Diferentes fontes de dados podem identificar o mesmo usuário de maneiras diferentes. Portanto, sempre que possível, o Microsoft Sentinel mescla esses identificadores em uma única entidade, para que ela possa ser identificada corretamente.

No entanto, pode acontecer que um dos seus fornecedores de recursos crie um alerta no qual uma entidade não está suficientemente identificada - por exemplo, um nome de utilizador sem o contexto do nome de domínio. Nesse caso, a entidade de usuário não pode ser mesclada com outras instâncias da mesma conta de usuário, que seriam identificadas como uma entidade separada, e essas duas entidades permaneceriam separadas em vez de unificadas.

Para minimizar o risco de isso acontecer, você deve verificar se todos os seus provedores de alertas identificam corretamente as entidades nos alertas que produzem. Além disso, a sincronização de entidades de conta de usuário com o Microsoft Entra ID pode criar um diretório unificador, que poderá mesclar entidades de conta de usuário.

Os seguintes tipos de entidades são atualmente identificados no Microsoft Sentinel:

  • Conta de utilizador (Conta)

  • Host

  • Endereço IP (IP)

  • Malware

  • Ficheiro

  • Processo

  • Aplicação na nuvem (CloudApplication)

  • Nome de domínio (DNS)

  • Recurso do Azure

  • Arquivo (FileHash)

  • Chave do registo

  • Valor de registo

  • Grupo de segurança

  • URL

  • Dispositivo IoT

  • Caixa de Correio

  • Cluster de correio

  • Mail message

  • E-mail de submissão

Páginas de entidades

Quando você encontrar qualquer entidade (atualmente limitada a usuários e hosts) em uma pesquisa, um alerta ou uma investigação, você pode selecionar a entidade e ser levado para uma página de entidade, uma folha de dados cheia de informações úteis sobre essa entidade. Os tipos de informações que você encontrará nesta página incluem fatos básicos sobre a entidade, uma linha do tempo de eventos notáveis relacionados a essa entidade e insights sobre o comportamento da entidade.

As páginas de entidades consistem em três partes:

  • O painel do lado esquerdo contém as informações de identificação da entidade, coletadas de fontes de dados como Microsoft Entra ID, Azure Monitor, Microsoft Defender for Cloud e Microsoft Defender XDR.

  • O painel central mostra uma linha do tempo gráfica e textual de eventos notáveis relacionados à entidade, como alertas, marcadores e atividades. As atividades são agregações de eventos notáveis do Log Analytics. As consultas que detetam essas atividades são desenvolvidas pelas equipes de pesquisa de segurança da Microsoft.

  • O painel do lado direito apresenta insights comportamentais sobre a entidade. Essas informações ajudam a identificar rapidamente anomalias e ameaças à segurança. Os insights são desenvolvidos pelas equipes de pesquisa de segurança da Microsoft e são baseados em modelos de deteção de anomalias.

A linha do tempo

Screen shot of an Entity Behavior timeline.

A linha do tempo é uma parte importante da contribuição da página da entidade para a análise de comportamento no Microsoft Sentinel. Apresenta uma história sobre eventos relacionados com a entidade, ajudando-o a compreender a atividade da entidade dentro de um período de tempo específico.

Você pode escolher o intervalo de tempo entre várias opções predefinidas (como as últimas 24 horas) ou defini-lo para qualquer período de tempo definido de forma personalizada. Além disso, você pode definir filtros que limitam as informações na linha do tempo a tipos específicos de eventos ou alertas.

Os seguintes tipos de itens estão incluídos na linha do tempo:

Alertas - quaisquer alertas em que a entidade é definida como uma entidade mapeada. Se sua organização criou alertas personalizados usando regras de análise, você deve certificar-se de que o mapeamento de entidade das regras seja feito corretamente.

Marcadores - quaisquer marcadores que incluam a entidade específica mostrada na página.

Atividades - agregação de eventos notáveis relacionados à entidade.

Informações da entidade

Os insights de entidade são consultas definidas por pesquisadores de segurança da Microsoft para ajudar seus analistas a investigar de forma mais eficiente e eficaz. Os insights são apresentados como parte da página da entidade e fornecem informações de segurança valiosas sobre hosts e usuários, na forma de dados tabulares e gráficos. Ter as informações aqui significa que você não precisa desviar para o Log Analytics. Os insights incluem dados sobre logins, adições de grupo, eventos anômalos e muito mais, e incluem algoritmos avançados de ML para detetar comportamentos anômalos. Os insights são baseados nos seguintes tipos de dados:

  • Syslog

  • SecurityEvent

  • Registos de Auditoria

  • Registos de início de sessão

  • Atividade do Escritório

  • BehaviorAnalytics (UEBA)