Klassificera och analysera data med hjälp av entiteter i Microsoft Sentinel

När aviseringar skickas till eller genereras av Microsoft Sentinel innehåller de dataobjekt som Sentinel kan identifiera och klassificera i kategorier som entiteter. När Microsoft Sentinel förstår vilken typ av entitet ett visst dataobjekt representerar känner det till rätt frågor att ställa om det och kan sedan jämföra insikter om objektet i alla datakällor och enkelt spåra det och referera till det i hela Sentinel-upplevelsen – analys, undersökning, reparation, jakt och så vidare. Några vanliga exempel på entiteter är användare, värdar, filer, processer, IP-adresser och URL:er.

Entitetsidentifierare

Microsoft Sentinel stöder en mängd olika entitetstyper. Varje typ har sina egna unika attribut, inklusive vissa som kan användas för att identifiera en viss entitet. Dessa attribut representeras som fält i entiteten och kallas identifierare. Se den fullständiga listan över entiteter som stöds och deras identifierare nedan.

Starka och svaga identifierare

Som nämnts ovan finns det fält, eller uppsättningar med fält, för varje typ av entitet som kan identifiera den. Dessa fält eller uppsättningar med fält kan kallas starka identifierare om de unikt kan identifiera en entitet utan tvetydighet eller som svaga identifierare om de kan identifiera en entitet under vissa omständigheter, men inte garanteras att unikt identifiera en entitet i alla fall. I många fall kan dock ett urval av svaga identifierare kombineras för att skapa en stark identifierare.

Användarkonton kan till exempel identifieras som kontoentiteter på mer än ett sätt: med hjälp av ett enda starkt identifierare som ett Azure AD-kontos numeriska identifierare (GUID-fältet) eller dess UPN-värde (User Principal Name), eller alternativt med hjälp av en kombination av svaga identifierare som dess namn- och NTDomain-fält. Olika datakällor kan identifiera samma användare på olika sätt. När Microsoft Sentinel stöter på två entiteter som kan identifieras som samma entitet baserat på deras identifierare sammanfogas de två entiteterna till en enda entitet, så att de kan hanteras korrekt och konsekvent.

Men om en av dina resursproviders skapar en avisering där en entitet inte är tillräckligt identifierad – till exempel om du bara använder en svag identifierare som ett användarnamn utan domännamnskontexten – kan inte användarentiteten slås samman med andra instanser av samma användarkonto. De andra instanserna skulle identifieras som en separat entitet och dessa två entiteter skulle förbli separata i stället för enhetliga.

För att minimera risken för att detta inträffar bör du kontrollera att alla aviseringsprovidrar korrekt identifierar entiteterna i de aviseringar som de producerar. Dessutom kan synkronisering av användarkontoentiteter med Azure Active Directory skapa en enhetlig katalog som kan slå samman användarkontoentiteter.

Entiteter som stöds

Följande typer av entiteter identifieras för närvarande i Microsoft Sentinel:

  • Användarkonto
  • Värd
  • IP-adress
  • Skadlig kod
  • Fil
  • Process
  • Molnprogram
  • Domännamn
  • Azure-resurs
  • Filhash-värde
  • Registernyckel
  • Registervärde
  • Säkerhetsgrupp
  • URL
  • IoT-enhet
  • Mailbox
  • E-postkluster
  • E-postmeddelande
  • Skicka e-post

Du kan visa de här entiteternas identifierare och annan relevant information i entitetsreferensen.

Entitetsmappning

Hur identifierar Microsoft Sentinel en del data i en avisering som identifierar en entitet?

Nu ska vi titta på hur databehandlingen går till i Microsoft Sentinel. Data matas in från olika källor via anslutningsappar, oavsett om de är tjänst-till-tjänst, agentbaserade eller använder en syslog-tjänst och en loggvidarebefordrare. Data lagras i tabeller på Log Analytics-arbetsytan. De här tabellerna efterfrågas sedan regelbundet enligt de analysregler som du har definierat och aktiverat. En av de många åtgärder som vidtas av dessa analysregler är mappningen av datafält i tabellerna till Microsoft Sentinel-identifierade entiteter. Enligt de mappningar som du definierar i dina analysregler tar Microsoft Sentinel fält från de resultat som returneras av din fråga, känner igen dem med de identifierare som du har angett för varje entitetstyp och tillämpar den entitetstyp som identifieras av dessa identifierare.

Vad är poängen med allt det här?

När Microsoft Sentinel kan identifiera entiteter i aviseringar från olika typer av datakällor, och särskilt om det kan göra det med hjälp av starka identifierare som är gemensamma för varje datakälla eller ett tredje schema, kan det enkelt korrelera mellan alla dessa aviseringar och datakällor. Dessa korrelationer hjälper dig att skapa ett omfattande lager av information och insikter om entiteterna, vilket ger dig en gedigen grund för dina säkerhetsåtgärder.

Lär dig hur du mappar datafält till entiteter.

Lär dig vilka identifierare som identifierar en entitet.

Entitetssidor

Information om entitetssidor finns nu i Undersök entiteter med entitetssidor i Microsoft Sentinel.

Nästa steg

I det här dokumentet har du lärt dig om att arbeta med entiteter i Microsoft Sentinel. Praktisk vägledning om implementering och användning av de insikter du har fått finns i följande artiklar: