Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При отправке или создании оповещений в Microsoft Sentinel, они содержат элементы данных, которые Sentinel может распознавать и классифицировать в категории как сущности. Когда Microsoft Sentinel понимает, какой сущности соответствует определенный элемент данных, он знает, какие именно вопросы нужно задать, и может сравнить информацию об этом элементе во всем спектре источников данных, а также легко отслеживать и использовать его на всех этапах работы с Sentinel — аналитика, исследование, устранение, поиск и другие. Некоторые распространенные примеры сущностей — это учетные записи пользователей, узлы, почтовые ящики, IP-адреса, файлы, облачные приложения, процессы и URL-адреса.
Внимание
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
На портале Microsoft Defender сущности обычно делятся на две основные категории:
| Категория сущностей | Определение характеристик | Основные примеры |
|---|---|---|
| Ресурсы | ||
| Другие объекты (доказательства) |
Идентификаторы сущностей
Microsoft Sentinel поддерживает широкий спектр типов сущностей. Каждый тип имеет собственные уникальные атрибуты, которые представлены в виде полей в схеме сущности и называются идентификаторами. Полный список поддерживаемых сущностей ниже и полный набор схем сущностей и идентификаторов в справочнике по типам сущностей Microsoft Sentinel.
Надежные и ненадежные идентификаторы
Для каждого типа сущности есть поля или наборы полей, которые могут определять определенные экземпляры этой сущности. Эти поля или наборы полей можно называть надежными идентификаторами, если они уникально идентифицируют сущность без какой-либо неоднозначности, или слабыми идентификаторами, если они могут идентифицировать сущность при некоторых условиях, но не обязательно во всех случаях будет однозначная идентификация сущности. Однако во многих случаях можно выбрать несколько ненадежных идентификаторов и объединить их, чтобы получить надежный.
Например, учетные записи пользователей можно идентифицировать как сущности учетных записей несколькими способами: используя один надежный идентификатор, например, числовой идентификатор учетной записи Microsoft Entra (поле GUID), или его значение имени участника-пользователя (UPN), или, альтернативно, используя сочетание слабых идентификаторов, таких как его поля Name и NTDomain. Различные источники данных могут идентифицировать одного и того же пользователя по-разному. Каждый раз, когда Microsoft Sentinel встречает две сущности, которые может распознать как одну и ту же сущность на основе их идентификаторов, он объединяет эти две сущности в одну, чтобы обеспечить правильную и согласованную обработку.
Однако если один из поставщиков ресурсов создает оповещение, в котором сущность недостаточно определена ( например, используя только один слабый идентификатор , например имя пользователя без контекста доменного имени, то сущность пользователя не может быть объединена с другими экземплярами той же учетной записи пользователя. Эти другие экземпляры будут идентифицированы как отдельная сущность, и эти две сущности останутся раздельными, а не единым целым.
Чтобы свести к минимуму риск возникновения такой ситуации, необходимо убедиться, что все поставщики оповещений правильно идентифицируют сущности в создаваемых ими оповещениях. Кроме того, синхронизация сущностей учетной записи пользователя с идентификатором Microsoft Entra может создать унифицированный каталог, который сможет объединить сущности учетной записи пользователя.
Поддерживаемые сущности
В Microsoft Sentinel в настоящее время идентифицированы указанные ниже типы сущностей.
- Учетная запись
- Хост
- IP-адрес
- URL-адрес
- Ресурс Azure
- Облачное приложение
- Разрешение DNS
- Файл
- Хэш файлов
- Вредоносные программы
- Обработать
- Раздел реестра
- Значение реестра
- Группа безопасности
- Почтовый ящик
- Почтовый кластер
- Почтовое сообщение
- Отправка почты
Эти идентификаторы сущностей и другую соответствующую информацию можно просмотреть в справочнике по сущностям.
Сопоставление сущностей
Каким образом Microsoft Sentinel распознает фрагмент данных в оповещении как идентифицируемую сущность?
Давайте подробнее рассмотрим, как выполняется обработка данных в Microsoft Sentinel. Данные передаются из различных источников через соединители, будь то взаимодействие служба-служба, на основе агента или API. Данные хранятся в таблицах в рабочей области Log Analytics. Эти таблицы запрашиваются с регулярными интервалами с помощью запланированных правил аналитики или правил аналитики, действующих в режиме, близком к реальному времени, которые вы определили и включили, или по запросу в рамках поисковых запросов при поиске угроз. Часть определения этих правил аналитики и запросов охоты — сопоставление полей данных в таблицах с типами сущностей, распознаваемыми Microsoft Sentinel. В соответствии с определенными сопоставлениями Microsoft Sentinel будет принимать поля из результатов, возвращаемых запросом, распознать их по идентификаторам, указанным для каждого типа сущности, и применить к ним тип сущности, определяемый этими идентификаторами.
В чем смысл всего этого?
Если Microsoft Sentinel может определять сущности в оповещениях из разных типов источников данных, и особенно если это может сделать с помощью надежных идентификаторов, общих для каждого источника данных или другой схемы, он может легко сопоставить все эти оповещения и источники данных. Эти корреляции помогают создать богатое хранилище информации и аналитических сведений о сущностях, что дает вам твердый фундамент и контекст для изучения и реагирования на угрозы безопасности.
Узнайте, как сопоставлять поля данных с сущностями.
Узнайте, какие идентификаторы строго идентифицируют сущность.
Страницы сущностей
Сведения о страницах сущностей теперь можно найти на страницах сущностей в Microsoft Sentinel.
Следующие шаги
Из этого документа вы узнали, как работать с сущностями в Microsoft Sentinel. Практические рекомендации по реализации и использованию ценных сведений, которые вы получили, см. в следующих статьях:
- Включение аналитики поведения сущностей в Microsoft Sentinel.
- Поиск угроз безопасности.