你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel中的实体

当警报发送到Microsoft Sentinel或由Microsoft Sentinel生成时,它们包含的数据元素Sentinel可以识别并分类为实体的类别。 当Microsoft Sentinel了解特定数据元素所表示的实体类型时,它知道要询问它的正确问题,然后它可以在各种数据源中比较有关该项目的见解,并在整个Sentinel体验(分析、调查、修正、搜寻等)中轻松跟踪和引用它。 实体的一些常见示例包括用户帐户、主机、邮箱、IP 地址、文件、云应用程序、进程和 URL。

重要

2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel

如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验

在Microsoft Defender门户中,实体通常分为两个主要类别:

实体类别 表征 主要示例
资产
  • 内部对象
  • 受保护的对象
  • 已列出清单的对象
    		•
  • 帐户 (用户)
  • 主机 (设备)
  • 邮箱
  • Azure 资源
    		•
    其他实体
    (证据)
  • 外部项
  • 不在控制中
  • 泄露指标
    		•
  • IP 地址
  • 文件
  • 流程
  • URL
    		•

    实体标识符

    Microsoft Sentinel支持各种实体类型。 每种类型都有其自己的唯一属性,这些属性在实体架构中表示为字段,称为 标识符。 请参阅下面的受支持实体的完整列表,以及Microsoft Sentinel实体类型参考中的完整实体架构和标识符集。

    强标识符和弱标识符

    对于每种类型的实体,都有字段或字段集,可以标识该实体的特定实例。 如果这些字段或字段集可以唯一标识实体而没有任何歧义,则可以称为 强标识符 ;如果这些字段或字段集在某些情况下可以标识实体,则它们可称为 弱标识符 ,但不保证在所有情况下都唯一标识实体。 不过,在许多情况下,可以组合选择的弱标识符来生成强标识符。

    例如,可以通过多种方法将用户帐户标识为帐户实体:使用单个强标识符(如Microsoft Entra帐户的数字标识符 (GUID 字段) ),或者使用其用户主体名称 (UPN) 值,或者使用弱标识符(如名称字段和 NTDomain 字段)的组合。 不同的数据源可以通过不同的方式标识同一用户。 每当Microsoft Sentinel遇到两个实体时,它都可以根据标识符将其识别为同一实体,它会将这两个实体合并为一个实体,以便可以正确且一致地处理。

    但是,如果其中一个资源提供程序创建了一个未充分标识实体的警报(例如,仅使用一个 弱标识符 (如没有域名上下文的用户名),则用户实体无法与同一用户帐户的其他实例合并。 这些其他实例将标识为单独的实体,这两个实体将保持独立而不是统一。

    为了最大程度地降低发生这种情况的风险,应验证所有警报提供程序是否在它们生成的警报中正确标识了实体。 此外,将用户帐户实体与 Microsoft Entra ID 同步可能会创建一个统一目录,该目录将能够合并用户帐户实体。

    支持的实体

    Microsoft Sentinel中当前标识了以下类型的实体:

    可以在实体引用中查看这些 实体的标识符和其他相关信息。

    实体映射

    Microsoft Sentinel如何将警报中的数据片段识别为标识实体?

    让我们看看如何在 Microsoft Sentinel 中完成数据处理。 数据通过 连接器从各种源引入,无论是服务到服务、基于代理还是基于 API。 数据存储在 Log Analytics 工作区的表中。 根据你定义并启用的计划或准实时分析规则定期查询这些表,或者在搜寻威胁时按需作为搜寻查询的一部分。 这些分析规则和搜寻查询定义的一部分是将表中的数据字段映射到Microsoft Sentinel识别的实体类型。 根据定义的映射,Microsoft Sentinel将从查询返回的结果中获取字段,通过为每个实体类型指定的标识符识别字段,并将这些标识符标识的实体类型应用于这些标识符。

    这一切的要点是什么?

    当Microsoft Sentinel能够识别来自不同类型的数据源的警报中的实体时,特别是如果可以使用每个数据源或其他架构通用的强标识符来识别实体,则可以轻松地在所有这些警报和数据源之间关联。 这些关联有助于在实体上构建丰富的信息和见解存储,为调查和响应安全威胁提供了坚实的基础和上下文。

    了解如何 将数据字段映射到实体

    了解 哪些标识符可强标识实体

    实体页

    现在可以在 Microsoft Sentinel 中的实体页中找到有关实体页的信息。

    后续步骤

    本文档介绍了如何在 Microsoft Sentinel 中使用实体。 有关实现的实用指南以及使用获得的见解,请参阅以下文章:

    • Last updated on