Mappa datafält till entiteter i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Entitetsmappning är en integrerad del av konfigurationen av schemalagda frågeanalysregler. Den berikar reglernas utdata (aviseringar och incidenter) med viktig information som fungerar som byggstenar i alla utredningsprocesser och åtgärdsåtgärder som följer.

Proceduren som beskrivs nedan är en del av guiden för att skapa analysregler. Det behandlas här oberoende för att hantera scenariot med att lägga till eller ändra entitetsmappningar i en befintlig analysregel.

Viktigt!

• Se "Anteckningar om den nya versionen" i slutet av det här dokumentet för viktig information om bakåtkompatibilitet och skillnader mellan de nya och gamla versionerna av entitetsmappning.
• Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Mappa entiteter

1. Ange sidan Analys i portalen där du får åtkomst till Microsoft Sentinel:

   Azure-portalen

   I avsnittet Konfiguration på Microsoft Sentinel-navigeringsmenyn väljer du Analys.

   Defender-portalen

   Från navigeringsmenyn i Microsoft Defender expanderar du Microsoft Sentinel och sedan Konfiguration. Välj analys.

2. Välj en schemalagd frågeregel och välj Redigera i informationsfönstret. Eller skapa en ny regel genom att klicka på Skapa > schemalagd frågeregel överst på skärmen.

3. Välj fliken Ange regellogik . Om en ny regel anger du en fråga i fönstret Regelfråga .

4. I avsnittet Aviseringsförbättring expanderar du Entitetsmappning.

   

5. I det nu expanderade avsnittet Entitetsmappning väljer du Lägg till ny entitet.

   

6. Välj en entitetstyp i listrutan Entitet .

   

7. Välj en identifierare för entiteten. Identifierare är attribut för en entitet som kan identifiera den tillräckligt. Välj ett i listrutan Identifierare och välj sedan ett datafält i listrutan Värde som motsvarar identifieraren. Med vissa undantag fylls listan Värde i av datafälten i tabellen som definieras som ämne för regelfrågan.

   Du kan definiera upp till tre identifierare för en viss entitetsmappning . Vissa identifierare krävs, andra är valfria. Du måste välja minst en nödvändig identifierare. Om du inte gör det får du ett varningsmeddelande om vilka identifierare som krävs. För bästa resultat – för maximal unik identifiering – bör du använda starka identifierare när det är möjligt, och om du använder flera starka identifierare blir korrelationen mellan datakällor större. Se den fullständiga listan över tillgängliga entiteter och identifierare.

   

8. Välj Lägg till ny entitet för att mappa fler entiteter. Du kan definiera upp till tio entitetsmappningar i en enda analysregel. Du kan också mappa mer än en av samma typ. Du kan till exempel mappa två IP-entiteter , en från ett käll-IP-adressfält och en från ett mål-IP-adressfält . På så sätt kan du spåra dem båda.

   Om du ändrar dig, eller om du har gjort ett misstag, kan du ta bort en entitetsmappning genom att klicka på papperskorgsikonen bredvid listrutan entitet.

9. När du har mappat entiteter klickar du på fliken Granska och skapa . När verifieringen av regeln har slutförts klickar du på Spara.

Kommentar

• Upp till 500 entiteter kan identifieras tillsammans i en enda avisering som delas lika mellan alla entitetsmappningar som definieras i regeln.

  • Om till exempel två entitetsmappningar definieras i regeln kan varje mappning identifiera upp till 250 entiteter. Om fem mappningar definieras kan var och en identifiera upp till 100 entiteter och så vidare.
  • Flera mappningar av en enskild entitetstyp (till exempel käll-IP och mål-IP) räknas var för sig.
  • Om en avisering innehåller objekt som överskrider den här gränsen kommer dessa överflödiga objekt inte att identifieras och extraheras som entiteter.

• Storleksgränsen för hela området entiteter i en avisering (fältet Entiteter) är 64 KB.

  • Entitetsfält som växer större än 64 KB trunkeras. När entiteter identifieras läggs de till i aviseringen en i taget tills fältstorleken når 64 kB och alla entiteter som ännu inte har identifierats tas bort från aviseringen.

Anteckningar om den nya versionen

• Eftersom den nya versionen nu är allmänt tillgänglig (GA) är funktionsflaggans lösning för att använda den gamla versionen inte längre tillgänglig.

• Om du tidigare har definierat entitetsmappningar för den här analysregeln med den gamla versionen konverteras de automatiskt till den nya versionen.

Nästa steg

I det här dokumentet har du lärt dig hur du mappar datafält till entiteter i Microsoft Sentinel-analysregler. Mer information om Microsoft Sentinel finns i följande artiklar:

• Utforska de andra sätten att utöka dina aviseringar:
  • Surface-anpassad händelseinformation i aviseringar i Microsoft Sentinel
  • Anpassa aviseringsinformation i Microsoft Sentinel
• Hämta hela bilden på schemalagda frågeanalysregler.
• Läs mer om entiteter i Microsoft Sentinel.