了解实体
警报在发送给 Microsoft Sentinel 时,会包含由 Microsoft Sentinel 标识并分类为实体的数据元素,例如用户帐户、主机和 IP 地址等。 有时,如果警报没有包含足够的实体信息,此标识可能有困难。
例如,可通过多种方式标识用户帐户:使用 Microsoft Entra 帐户的数字标识符 (GUID) 或其用户主体名称 (UPN) 值,或者使用其用户名及其 NT 域名的组合。 不同的数据源可以不同的方式标识同一用户。 因此,只要有可能,Microsoft Sentinel 就会将这些标识符合并到一个实体中,以便能够正确地识别。
但可能会发生这样的情况:一个资源提供程序创建了一个警报,其中实体未得到充分标识(例如,没有域名上下文的用户名)。 在这种情况下,不能将用户实体与同一用户帐户的其他实例合并,因为其他实体会被标识为单独的实体,这两个实体将保持独立,而不是统一。
为了尽量降低出现此情况的风险,应验证所有警报提供程序是否都正确地标识了其生成的警报中的实体。 此外,将用户帐户实体与 Microsoft Entra ID 同步可创建统一的目录,它将能够合并用户帐户实体。
Microsoft Sentinel 中当前标识了以下类型的实体:
用户帐户(帐户)
主机
IP 地址 (IP)
恶意软件
文件
处理
云应用程序 (CloudApplication)
域名 (DNS)
Azure 资源
文件 (FileHash)
注册表项
注册表值
安全组
URL
IoT 设备
邮箱
邮件群集
邮件消息
提交邮件
实体页
如果在搜索、警报或调查中遇到任何实体(目前仅限用户和主机),可选择该实体,随后将转到实体页,也就是包含该实体的所有有用信息的数据表。 在此页面上,可看到的信息类型包括实体基本信息、与此实体相关的重要事件的时间线,以及有关实体行为的见解。
实体页由 3 个部分组成:
左侧面板包含了实体的标识信息,这些信息是从 Microsoft Entra ID、Azure Monitor、Microsoft Defender for Cloud 和 Microsoft Defender XDR 等数据源中收集的。
中间面板显示与实体相关的重要事件(例如警报、书签和活动)的图形和文本时间线。 活动是 Log Analytics 中的重要事件的聚合。 检测这些活动的查询是由 Microsoft 安全研究团队开发的。
右侧面板显示关于该实体的行为见解。 这些见解可帮助快速识别异常和安全威胁。 见解是由 Microsoft 安全研究团队开发的,它们基于异常情况检测模型。
时间线
时间线是实体页显示 Microsoft Sentinel 中的行为分析情况的主要部分。 它会显示与实体相关的事件,帮助你了解特定时间范围内的实体活动。
可在多个预设选项中选择时间范围(例如“过去 24 小时”),也可将其设置为任何自定义时间范围。 此外,你还可设置筛选器,将时间线中的信息限制为特定类型的事件或警报。
时间线中包含以下类型的项:
警报 - 将实体定义为“映射实体”的所有警报。 如果组织已创建使用分析规则的自定义警报,那么你应确保规则的实体映射已正确完成。
书签 - 包含页面上显示的特定实体的所有书签。
活动 - 与实体相关的重要事件的聚合。
实体见解
实体见解是 Microsoft 安全研究人员定义的查询,可帮助你的分析师更高效、更有效地进行调查。 见解显示在实体页的区域中,以表格数据和图表形式提供有关主机和用户的重要安全信息。 在此处显示信息意味着你无需访问 Log Analytics。 见解包含与登录、组添加、异常事件等内容相关的数据,还包含用于检测异常行为的高级 ML 算法。 见解基于以下数据类型:
Syslog
SecurityEvent
审核日志
登录日志
Office 活动
BehaviorAnalytics (UEBA)