Microsoft Sentinel 中的實體
警示傳送至 Microsoft Sentinel 或由 Microsoft Sentinel 產生時,會包含 Sentinel 可辨識並分類為實體的資料項目。 Microsoft Sentinel 瞭解特定資料項目所代表的實體類型時,會知道要對其詢問的正確問題,然後便可比較整個 Sentinel 體驗中有關該項目的深入解析,並輕鬆地追蹤,同時在整個 Sentinel 體驗 (分析、調查、補救、搜捕等) 中做為參考。 實體的一些常見範例包括使用者帳戶、主機、信箱、IP 位址、檔案、雲端應用程式、流程和 URL。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
在 Microsoft Defender 入口網站中的整合安全性作業平台中,實體通常分為兩個主要類別:
| 實體類別 | 特徵 | 主要範例 |
|---|---|---|
| 資產 | ||
| 其他實體 (辨識項) |
實體識別碼
Microsoft Sentinel 支援各種不同的實體類型。 每個類型都有自己的唯一屬性,這些屬性會以實體結構描述中的欄位表示,並稱為識別碼。 請參閱下方將支援的實體列出的完整清單,以及 Microsoft Sentinel 實體類型參考中的完整實體結構描述和識別碼集。
強和弱識別碼
針對每種實體類型,都有欄位或欄位集可以識別該實體的特定執行個體。 如果這些欄位或欄位集可以明確地唯一識別實體,則可以稱為強識別碼;如果在某些情況下可以識別實體,但不保證在所有情況下都能唯一識別實體,則可以稱為弱識別碼。 不過,在許多情況下,可以合併使用數個弱識別碼來產生強識別碼。
例如,使用者帳戶可以透過多個方式識別為帳戶實體:使用單一強識別碼,例如 Microsoft Entra 帳戶的數值識別碼 (GUID 欄位),或使用其使用者主體名稱 (UPN) 值,或者使用多個弱識別碼的組合,例如其 Name 和 NTDomain 欄位。 不同的資料來源可以用不同的方式來識別相同的使用者。 每當 Microsoft Sentinel 發現兩個實體可以根據其識別碼辨識為相同的實體時,就會將這兩個實體合併成單一實體,以便正確且一致地處理。
不過,如果其中一個資源提供者建立警示,且警示中有實體尚未充分識別 (例如只使用單一弱識別碼,例如沒有功能變數名稱內容的使用者名稱),則使用者實體無法與相同使用者帳戶的其他執行個體合併。 這些其他的執行個體將會識別為區隔的實體,而這兩個實體會維持區隔而非整合。
為了將發生這類情況的風險降至最低,您應該確認所有警示提供者都能正確地識別其產生警示中的實體。 此外,與 Microsoft Entra ID 同步處理使用者帳戶實體,可能會產生整合的目錄,其能夠合併使用者帳戶實體。
支援的實體
以下是目前在 Microsoft Sentinel 中識別的實體類型:
您可以在實體參考中檢視這些實體的識別碼和其他相關資訊。
實體對應
Microsoft Sentinel 如何將警示中的資料片段辨識為識別實體?
讓我們看看如何在 Microsoft Sentinel 中完成資料處理。 資料會透過連接器從各種來源擷取,無論是服務對服務、代理程式型或 API 型。 資料會儲存在 Log Analytics 工作區中的資料表中。 您搜捕威脅時,這些資料表會依排程或近乎即時的分析規則定期查詢,或隨選搜捕查詢。 這些分析規則和搜捕查詢定義中的一部分,是資料表中的資料欄位對應於 Microsoft Sentinel 所辨識的實體類型。 根據您定義的對應,Microsoft Sentinel 會從查詢所傳回的結果取得欄位、依您為每個實體類型指定的識別碼加以辨識,並套用至這些識別碼所識別的實體類型。
這些動作的目的是什麼?
當 Microsoft Sentinel 能夠識別來自不同資料來源類型之警示中的實體,特別是當可以使用每個資料來源或其他結構描述通用的強識別碼時,就可以輕鬆地與全部這些警示和資料來源相互關聯。 這些相互關聯有助於在實體上建置豐富的資訊和深入解析存放區,讓您擁有調查和回應安全威脅的穩固基礎和脈絡。
瞭解如何將資料欄位對應至實體。
瞭解哪些識別碼會強識別實體。
實體頁面
現在,您可以在 Microsoft Sentinel 中的實體頁面找到實體頁面的相關資訊。
下一步
在本文件中,您已瞭解如何在 Microsoft Sentinel 中使用實體。 如需實作的實用指導,以及使用您取得的見解,請參閱下列文章: