Сопоставление полей данных с сущностями в Microsoft Sentinel

Сопоставление сущностей является неотъемлемой частью конфигурации правил запланированной аналитики. Он обогащает результаты работы правил (предупреждений и инцидентов) важной информацией, которая служит основными элементами для любых исследовательских процессов и последующих корректирующих действий.

Процедура, описанная ниже, является частью процесса создания правил аналитики. Он обрабатывается отдельно, чтобы устранить ситуацию добавления или изменения сопоставлений сущностей в существующем правиле аналитики.

Внимание

• Дополнительные сведения о обратной совместимости и различиях между новыми и старыми версиями сопоставления сущностей см. в разделе "Заметки о новой версии".
• После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender. Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.

Как сопоставлять сущности

1. Введите страницу аналитики на портале, с помощью которого вы обращаетесь к Microsoft Sentinel:

   Портал Azure

   В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".

   Портал Defender

   В меню навигации Microsoft Defender разверните раздел Microsoft Sentinel, а потом Конфигурация. Выберите "Аналитика".

2. Выберите правило запланированного запроса и выберите Изменить в панели сведений. Или создайте новое правило, нажав кнопку "Создать > правило запланированного запроса " в верхней части экрана.

3. Перейдите на вкладку "Задать логику правила ". Если новое правило, введите запрос в окне запроса правила .

4. В разделе "Усовершенствование оповещений " разверните сопоставление сущностей.

   

5. В разделе сопоставления сущностей , развернутом теперь, выберите "Добавить новую сущность".

   

6. Выберите тип сущности в раскрывающемся списке Entity .

   

7. Выберите идентификатор сущности. Идентификаторы — это атрибуты сущности, которые достаточны для ее идентификации. Выберите один из раскрывающегося списка идентификаторов и выберите поле данных из раскрывающегося списка "Значение ", которое будет соответствовать идентификатору. При некоторых исключениях список значений заполняется полями данных в таблице, определенной как тема запроса правила.

   Для сопоставления сущностей можно определить до трех идентификаторов . Некоторые идентификаторы обязательны, другие дополнительны. Вы должны выбрать как минимум один обязательный идентификатор. В противном случае появится предупреждающее сообщение с указанием, какие идентификаторы требуются. Для получения наилучших результатов ( для максимальной уникальной идентификации) следует использовать надежные идентификаторы , когда это возможно, и использование нескольких надежных идентификаторов обеспечивает большую корреляцию между источниками данных. Полный список доступных сущностей и идентификаторов.

   

8. Нажмите кнопку "Добавить новую сущность ", чтобы сопоставить больше сущностей. Можно определить до десяти сопоставлений сущностей в одном правиле аналитики. Можно также сопоставлять более одной единицы одного типа. Например, можно сопоставить два IP-сущностя , один из поля исходного IP-адреса и один из поля целевого IP-адреса . Таким образом вы можете отслеживать их обоих.

   Если вы передумали или сделали ошибку, можно удалить сопоставление сущностей, щелкнув значок корзины рядом с раскрывающимся списком сущностей.

9. Завершив сопоставление сущностей, щелкните вкладку "Рецензирование" и "Создать ". После успешной проверки правила нажмите кнопку "Сохранить".

Примечание.

• В одном оповещении можно определить до 500 сущностей, разделенных одинаково по всем сопоставлениям сущностей, определенным в правиле.

  • Например, если в правиле определены два сопоставления сущностей, каждое сопоставление может идентифицировать до 250 сущностей; Если определены пять сопоставлений, каждый из них может определять до 100 сущностей и т. д.
  • Несколько сопоставлений одного типа сущности (например, исходный IP-адрес и IP-адрес назначения) учитываются отдельно.
  • Если оповещение содержит элементы, превышающие это ограничение, эти лишние элементы не будут распознаны и извлечены как сущности.

• Ограничение размера для всей области сущностей оповещения (поле "Сущности ") составляет 64 КБ.

  • Поля сущностей , размер которых превышает 64 КБ, будут усечены. По мере идентификации сущностей, они добавляются в оповещение по одному до тех пор, пока размер поля не достигнет 64 КБ, и все еще неидентифицированные сущности удаляются из оповещения.

Примечания к новой версии

• Так как новая версия теперь является общедоступной, временное решение на основе флага функций для использования старой версии больше недоступно.

• Если вы ранее определили сопоставления сущностей для этого правила аналитики с использованием старой версии, они будут автоматически преобразованы в новую версию.

Следующие шаги

В этом документе вы узнали, как сопоставлять поля данных с сущностями в правилах аналитики Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Ознакомьтесь с другими способами обогащения оповещений:
  • Показывать сведения о пользовательских событиях в оповещениях Microsoft Sentinel
  • Настройка сведений об оповещении в Microsoft Sentinel
• Полное представление о правилах аналитики запланированных запросов.
• Дополнительные сведения о сущностях в Microsoft Sentinel.