Сущности в Microsoft Sentinel

  • Статья

При отправке оповещений в Microsoft Sentinel или их создании содержатся элементы данных, которые Sentinel может распознавать и классифицировать в категории как сущности. Когда Microsoft Sentinel понимает, какой тип сущности представляет определенный элемент данных, он знает правильные вопросы о нем, а затем может сравнить аналитические сведения об этом элементе в полном диапазоне источников данных, а также легко отслеживать его и ссылаться на него во всем интерфейсе Sentinel — аналитику, исследование, исправление, охоту и т. д. Некоторые распространенные примеры сущностей — это учетные записи пользователей, узлы, почтовые ящики, IP-адреса, файлы, облачные приложения, процессы и URL-адреса.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

В единой платформе операций безопасности на портале Microsoft Defender сущности обычно делятся на две основные категории:

Категория сущностей Определение характеристик Основные примеры
Ресурсы
  • Внутренние объекты
  • Защищенные объекты
  • Инвентаризация объектов
    		•
  • Учетные записи (пользователи)
  • Узлы (устройства)
  • Почтовые ящики
  • Ресурсы Azure
    		•
    Другие объекты
    (доказательства)
  • Внешние элементы
  • Не в элементе управления
  • Индикаторы компрометации
    		•
  • IP-адреса
  • Файлы
  • Процессы
  • URL-адреса
    		•

    Идентификаторы сущностей

    Microsoft Sentinel поддерживает широкий спектр типов сущностей. Каждый тип имеет собственные уникальные атрибуты, которые представлены в виде полей в схеме сущности и называются идентификаторами. Полный список поддерживаемых сущностей ниже и полный набор схем сущностей и идентифицаторов в справочнике по типам сущностей Microsoft Sentinel.

    Надежные и ненадежные идентификаторы

    Для каждого типа сущности есть поля или наборы полей, которые могут определять определенные экземпляры этой сущности. Эти поля или наборы полей можно называть надежными идентификаторами, если они уникально идентифицируют сущность без какой-либо неоднозначности, или слабыми идентификаторами, если они могут идентифицировать сущность при некоторых условиях, но не обязательно во всех случаях будет однозначная идентификация сущности. Однако во многих случаях можно выбрать несколько ненадежных идентификаторов и объединить их, чтобы получить надежный.

    Например, учетные записи пользователей можно определить как сущности учетных записей несколькими способами: используя один надежный идентификатор, например числовый идентификатор учетной записи Microsoft Entra (поле GUID), или его значение имени участника-пользователя (UPN) или с помощью сочетания слабых идентификаторов, таких как поля Name и NTDomain. Различные источники данных могут идентифицировать одного и того же пользователя по-разному. Каждый раз, когда Microsoft Sentinel встречает две сущности, которые может распознать как одну и ту же сущность на основе их идентификаторов, он объединяет эти две сущности в одну, чтобы обеспечить правильную и согласованную обработку.

    Однако если один из поставщиков ресурсов создает оповещение, в котором сущность недостаточно определена ( например, используя только один слабый идентификатор , например имя пользователя без контекста доменного имени, то сущность пользователя не может быть объединена с другими экземплярами той же учетной записи пользователя. Эти другие экземпляры были идентифицированы как отдельная сущность, и эти две сущности останутся отдельными, а не единым целом.

    Чтобы свести к минимуму риск возникновения такой ситуации, необходимо убедиться, что все поставщики оповещений правильно идентифицируют сущности в создаваемых ими оповещениях. Кроме того, синхронизация сущностей учетной записи пользователя с идентификатором Microsoft Entra может создать унифицированный каталог, который сможет объединить сущности учетной записи пользователя.

    Поддерживаемые сущности

    В Microsoft Sentinel в настоящее время идентифицированы указанные ниже типы сущностей.

    Эти идентификаторы сущностей и другую соответствующую информацию можно просмотреть в справочнике по сущностям.

    Сопоставление сущностей

    Каким образом Microsoft Sentinel распознает фрагмент данных в оповещении как идентифицируемую сущность?

    Давайте подробнее рассмотрим, как выполняется обработка данных в Microsoft Sentinel. Данные передаются из различных источников через соединители, будь то служба — служба, агент или API. Данные хранятся в таблицах в рабочей области Log Analytics. Эти таблицы запрашиваются по регулярным интервалам с помощью запланированных или практически в реальном времени правил аналитики, определенных и включенных, или по запросу в рамках запросов охоты при поиске угроз. Часть определения этих правил аналитики и запросов охоты — сопоставление полей данных в таблицах с типами сущностей, распознаваемыми Microsoft Sentinel. В соответствии с определенными сопоставлениями Microsoft Sentinel будет принимать поля из результатов, возвращаемых запросом, распознать их по идентификаторам, указанным для каждого типа сущности, и применить к ним тип сущности, определяемый этими идентификаторами.

    В чем смысл всего этого?

    Если Microsoft Sentinel может определять сущности в оповещениях из разных типов источников данных, и особенно если это может сделать с помощью надежных идентификаторов, общих для каждого источника данных или другой схемы, он может легко сопоставить все эти оповещения и источники данных. Эти корреляции помогают создать богатое хранилище информации и аналитических сведений о сущностях, что дает вам твердый фундамент и контекст для изучения и реагирования на угрозы безопасности.

    Сведения о сопоставлении полей данных с сущностями.

    Узнайте, какие идентификаторы строго идентифицируют сущность.

    Страницы сущностей

    Сведения о страницах сущностей теперь можно найти на страницах сущностей в Microsoft Sentinel.

    Следующие шаги

    Из этого документа вы узнали, как работать с сущностями в Microsoft Sentinel. Практические рекомендации по реализации и использованию ценных сведений, которые вы получили, см. в следующих статьях: