Страницы сущностей в Microsoft Sentinel

Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Когда вы сталкиваетесь с учетной записью пользователя, именем узла, IP-адресом или ресурсом Azure в расследовании инцидентов, вы можете решить, что вы хотите узнать больше об этом. Например, вы можете захотеть узнать историю ее активности, встречалась ли она в других оповещениях или инцидентах, совершала ли что-то неожиданное или необычное, и так далее. Короче говоря, вам нужна информация, которая поможет определить, какую угрозу представляют эти сущности, и направить ваше расследование соответствующим образом.

В этой статье описаны страницы сущностей Microsoft Sentinel на портале Azure. Сведения о страницах объектов на портале Defender см. в указанной статье:

Внимание

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Страницы сущностей

В таких ситуациях можно выбрать сущность (она будет представлена как активная ссылка) и перейти на страницу сущности, то есть таблицу с полезными сведениями о ней. Перейти на страницу сущности можно также путем поиска сущности на странице поведения сущностей в Microsoft Sentinel. На странице сущности можно найти следующие сведения: основные сведения о сущности, временная шкала значимых событий, связанных с этой сущностью, и полезные сведения о поведении сущности.

В частности, страница сущности состоит из трех частей:

Левая панель содержит сведения об идентификации сущности, собранные из источников данных, таких как Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog и Microsoft Defender XDR (включая все компоненты).
На центральной панели отображается графическая и текстовая временная шкала значимых событий, связанных с сущностью, таких как оповещения, закладки, аномалии и действия. Действия — это агрегаты важных событий из Log Analytics. Запросы для обнаружения этих действий разрабатываются исследовательскими группами Майкрософт в области безопасности, и теперь вы можете добавлять собственные запросы.
На правой панели представлены полезные сведения о поведении сущности. Эти сведения постоянно улучшаются и уточняются исследовательскими группами Майкрософт по безопасности. Они основаны на различных источниках данных и дают общее представление о сущности и ее наблюдаемой активности, помогая быстро выявлять аномальное поведение и угрозы безопасности.

Если вы расследуете инцидент с помощью нового интерфейса расследования, вы сможете увидеть панельную версию страницы объектов прямо на странице сведений об инциденте. У вас есть список всех сущностей в данном инциденте, и при выборе сущности открывается боковая панель с тремя "карточками", "Сведения", временная шкала и аналитика, отображающая все те же сведения, описанные выше, в течение определенного периода времени, соответствующего оповещений в инциденте.

Если вы используете Microsoft Sentinel на портале Defender, панели временной шкалы и аналитики отображаются на вкладке событий Sentinel на странице сущности Defender.

Временная шкала

Хронология является основной частью вклада страницы сущности в аналитику поведения в Microsoft Sentinel. Это история событий, связанных с сущностями, которая помогает понять действия сущности в течение определенного промежутка времени.

Можно выбрать диапазон времени из нескольких предварительно заданных параметров (например, за последние 24 часа) или задать для него любой пользовательский интервал. Кроме того, можно задать фильтры, которые ограничивают данные на временной шкале конкретными типами событий или оповещений.

В временную шкалу включены следующие типы элементов.

Оповещения: все оповещения, в которых сущность определяется как сопоставленная сущность. Обратите внимание, что если ваша организация создала пользовательские оповещения с помощью правил аналитики, то следует убедиться, что сопоставление сущностей правил выполнено правильно.
Закладки: все закладки, содержащие конкретную сущность, показанную на странице.
Аномалии: обнаружения, основанные на UEBA и динамических эталонах, созданных для каждой сущности по различным входным данным и в соответствии с ее собственными историческими действиями, действиями аналогичных субъектов и организации в целом.
Действия: агрегирование важных событий, связанных с сущностью. Множество действий регистрируется автоматически, и теперь вы можете настроить этот раздел, добавив собственные действия.

Аналитические сведения о сущностях

Сведения о сущностях — это запросы, определяемые исследователями безопасности Microsoft, которые помогают вашим аналитикам проводить расследования более эффективно и результативно. Анализ представляется как часть страницы объекта и предоставляет ценные сведения о безопасности хостов и пользователей в виде табличных данных и диаграмм. Если здесь есть информация, то вам не нужно переходить в Log Analytics. Полезные сведения включают в себя данные о входах, добавлении групп, аномальных событиях и т. д., а также сложные алгоритмы Машинного обучения для обнаружения аномального поведения.

Полезные сведения содержат следующие источники данных:

системный журнал (Linux);
SecurityEvent (Windows);
AuditLogs (Microsoft Entra ID)
SigninLogs (Microsoft Entra ID)
OfficeActivity (Office 365);
BehaviorAnalytics (Microsoft Sentinel UEBA)
Heartbeat (Azure Monitor Agent);
CommonSecurityLog (Microsoft Sentinel)

Как правило, каждая аналитика сущности, отображаемая на странице сущности, сопровождается ссылкой, которая приведет вас на страницу, где отображается запрос, лежащий в основе аналитики, а также результаты, чтобы вы могли изучить результаты более детально.

В Microsoft Sentinel в портале Azure ссылка ведет на страницу журналов.
На портале Microsoft Defender ссылка ведет на страницу расширенной охоты.

Как использовать страницы сущностей

Страницы сущностей предназначены для нескольких сценариев использования и могут быть доступны из управления инцидентами, графа исследования, закладок или непосредственно из страницы поиска сущностей в поведении сущностей в главном меню Microsoft Sentinel.

Схема мест, из которых можно получить доступ к страницам сущностей, с соответствующими вариантами использования.

Информация о странице сущности хранится в таблице BehaviorAnalytics, подробно описанной в справочнике по Microsoft Sentinel UEBA.

Поддерживаемые страницы сущностей данных

В настоящее время Microsoft Sentinel предоставляет следующие страницы сущностей:

Учетная запись пользователя
Хост
IP-адрес (предварительная версия)

Примечание.

Страница сущности IP address (сейчас на стадии бета-тестирования) содержит данные геолокации, предоставляемые службой Microsoft Threat Intelligence. Эта служба объединяет данные геолокации из решений Майкрософт и от сторонних поставщиков и партнеров. Затем данные предоставляются для анализа и исследования в контексте инцидента безопасности. Дополнительные сведения см. также в разделе Дополнение сущностей в Microsoft Sentinel данными геолокации через REST API (общедоступная предварительная версия).
Ресурс Azure (предварительная версия)
Устройство Интернета вещей (предварительная версия) – только в Microsoft Sentinel в портале Azure пока.

Следующие шаги

В этом документе вы узнали о получении сведений о сущностях в Microsoft Sentinel с помощью страниц сущностей. Дополнительные сведения о сущностях и их использовании см. в следующих статьях:

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-02-27