Entiteter i Microsoft Sentinel
När aviseringar skickas till eller genereras av Microsoft Sentinel innehåller de dataelement som Sentinel kan identifiera och klassificera i kategorier som entiteter. När Microsoft Sentinel förstår vilken typ av entitet ett visst dataelement representerar, känner det till rätt frågor att ställa om det, och det kan sedan jämföra insikter om objektet över hela datakällorna och enkelt spåra det och referera till det under hela Sentinel-upplevelsen – analys, undersökning, reparation, jakt och så vidare. Några vanliga exempel på entiteter är användarkonton, värdar, postlådor, IP-adresser, filer, molnprogram, processer och URL:er.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
I den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen ingår entiteter vanligtvis i två huvudkategorier:
| Entitetskategori | Karaktärisering | Huvudexempel |
|---|---|---|
| Tillgångar | ||
| Andra enheter (bevis) |
Entitetsidentifierare
Microsoft Sentinel stöder en mängd olika entitetstyper. Varje typ har sina egna unika attribut, som representeras som fält i entitetsschemat och kallas identifierare. Se den fullständiga listan över entiteter som stöds nedan och den fullständiga uppsättningen entitetsscheman och identifers i referensen för Microsoft Sentinel-entitetstyper.
Starka och svaga identifierare
För varje typ av entitet finns det fält, eller uppsättningar med fält, som kan identifiera vissa instanser av den entiteten. Dessa fält eller uppsättningar med fält kan kallas starka identifierare om de unikt kan identifiera en entitet utan tvetydighet, eller som svaga identifierare om de kan identifiera en entitet under vissa omständigheter, men inte garanteras att unikt identifiera en entitet i alla fall. I många fall kan dock ett urval av svaga identifierare kombineras för att skapa en stark identifierare.
Användarkonton kan till exempel identifieras som kontoentiteter på mer än ett sätt: använda en enda stark identifer som ett Microsoft Entra-kontos numeriska identifierare (GUID-fältet) eller dess UPN-värde (User Principal Name), eller alternativt använda en kombination av svaga identifierare som dess namn- och NTDomain-fält. Olika datakällor kan identifiera samma användare på olika sätt. När Microsoft Sentinel stöter på två entiteter som kan identifieras som samma entitet baserat på deras identifierare sammanfogas de två entiteterna till en enda entitet, så att de kan hanteras korrekt och konsekvent.
Men om en av dina resursprovidrar skapar en avisering där en entitet inte är tillräckligt identifierad, till exempel om du bara använder en svag identifierare som ett användarnamn utan domännamnskontexten, kan inte användarentiteten slås samman med andra instanser av samma användarkonto. Dessa andra instanser skulle identifieras som en separat entitet och dessa två entiteter skulle förbli separata i stället för enhetliga.
För att minimera risken för detta bör du kontrollera att alla dina aviseringsprovidrar korrekt identifierar entiteterna i de aviseringar som de skapar. Dessutom kan synkronisering av användarkontoentiteter med Microsoft Entra-ID skapa en enande katalog som kan slå samman användarkontoentiteter.
Entiteter som stöds
Följande typer av entiteter identifieras för närvarande i Microsoft Sentinel:
- Konto
- Värd
- IP-adress
- URL
- Azure-resurs
- Molnprogram
- DNS-matchning
- Arkiv
- Filhash
- Skadlig kod
- Bearbeta
- Registernyckel
- Registervärde
- Säkerhetsgrupp
- Postlåda
- E-postkluster
- E-postmeddelande
- Skicka e-post
Du kan visa de här entiteternas identifierare och annan relevant information i entitetsreferensen.
Entitetsmappning
Hur identifierar Microsoft Sentinel en del data i en avisering som identifierar en entitet?
Nu ska vi titta på hur databehandlingen utförs i Microsoft Sentinel. Data matas in från olika källor via anslutningsappar, oavsett om de är tjänst-till-tjänst- eller agentbaserade eller API-baserade. Data lagras i tabeller på din Log Analytics-arbetsyta. Dessa tabeller efterfrågas regelbundet av de schemalagda eller nästan realtidsanalysregler som du har definierat och aktiverat, eller på begäran som en del av jaktfrågor när du jagar efter hot. En del av definitionen av dessa analysregler och jaktfrågor är mappningen av datafält i tabellerna till entitetstyper som identifieras av Microsoft Sentinel. Enligt de mappningar du definierar tar Microsoft Sentinel fält från de resultat som returneras av din fråga, identifierar dem med de identifierare som du har angett för varje entitetstyp och tillämpar på dem den entitetstyp som identifieras av dessa identifierare.
Vad är poängen med allt det här?
När Microsoft Sentinel kan identifiera entiteter i aviseringar från olika typer av datakällor, och särskilt om de kan göra det med hjälp av starka identifierare som är gemensamma för varje datakälla eller till ett annat schema, kan det enkelt korrelera mellan alla dessa aviseringar och datakällor. Dessa korrelationer hjälper dig att skapa ett omfattande lager av information och insikter om entiteterna, vilket ger dig en solid grund och kontext för att undersöka och svara på säkerhetshot.
Lär dig hur du mappar datafält till entiteter.
Lär dig vilka identifierare som starkt identifierar en entitet.
Entitetssidor
Information om entitetssidor finns nu på entitetssidor i Microsoft Sentinel.
Nästa steg
I det här dokumentet har du lärt dig att arbeta med entiteter i Microsoft Sentinel. Praktisk vägledning om implementering och användning av de insikter du har fått finns i följande artiklar:
- Aktivera analys av entitetsbeteende i Microsoft Sentinel.
- Jaga efter säkerhetshot.