在 Microsoft Sentinel 中的實體頁面

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

當您在事件調查中發現使用者帳戶、主機名稱、IP 位址或 Azure 資源時，您可能會決定要深入加以瞭解。 例如，您可能想要知道其活動歷程記錄、是否出現在其他警示或事件中、是否執行了任何非預期或異常的動作等等。 簡言之，您需要可協助您判斷這些實體代表何種威脅的資訊，並藉此引導調查的方向。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

實體頁面

在這些情況下，您可以選取實體 (實體會顯示為可點選連結) 並進入實體頁面；這是一個資料工作表，內含關於該實體的各種實用資訊。 您也可以直接在 Microsoft Sentinel 實體行為頁面上搜尋實體，以前往實體頁面。 您將在實體頁面上找到的資訊類型包括關於實體的基本事實、與此實體相關的值得注意事件時間軸，以及實體行為的相關深入解析。

更具體來說，實體頁面包含三個部分：

• 左側的面板包含實體的識別資訊，收集自多種資料來源，例如 Microsoft Entra ID、Azure 監視器、Azure 活動、Azure Resource Manager、適用於雲端的 Microsoft Defender、CEF/Syslog 和 Microsoft Defender XDR (及其全部元件)。

• 中央面板會顯示與實體 (例如警示、書籤、異常和活動) 相關、且值得注意的事件的圖形化和文字時間軸。 活動為來自 Log Analytics 值得注意的事件的彙總。 偵測這些活動的查詢是由 Microsoft 安全性研究小組所開發，您現在可以自行新增自訂查詢來偵測您選擇的活動。

• 右側面板會呈現關於實體的行為深入解析。 這些深入解析由 Microsoft 安全性研究小組持續開發。 深入解析以各種資料來源為基礎，會提供實體的內容以及其對觀察到的活動，以協助您快速識別異常行為和安全性威脅。

如果您要使用新的調查體驗調查事件，您將能夠在事件詳細資料頁面內看到實體頁面的面板化版本。 您有指定事件中全部實體的清單，然後選取實體會開啟側邊面板，其中包含三個「卡片」— 資訊、時間軸，以及深入解析 — 在與事件中警示對應的特定時間範圍內，顯示上述全部相同的資訊。

如果您在 Microsoft Defender 入口網站中使用整合安全性作業平台，時間軸和深入解析面板會出現在 Defender 實體頁面 [Sentinel 事件] 索引標籤中。

Azure 入口網站

Defender 入口網站

時間軸

Azure 入口網站

時間軸是實體頁面對 Microsoft Sentinel 中的行為分析貢獻的主要部分。 其會呈現有關實體相關事件的故事，協助您了解實體在特定時間範圍內的活動。

您可以從數個預設選項中選擇時間範圍 (例如過去 24 小時)，或將其設定為任何自訂的時間範圍。 此外，您可以設定篩選器，將時間軸中的資訊限制為特定類型的事件或警示。

時間軸中包含下列項目類型。

• 警示：實體定義為對應實體的任何警示。 請注意，如果您的組織已使用分析規則建立自訂警示，您應該確定已正確完成規則的實體對應。

• 書籤：包含頁面所示特定實體的任何書籤。

• 異常：UEBA 偵測，其根據針對各種資料輸入及其自身過去的活動、其同儕過去的活動，以及整個組織中的每個實體所建立的動態基準。

• 活動：實體相關重要事件的彙總。 系統會自動收集各種不同的活動，且您現在可以藉由新增自己選擇的活動來自訂此區段。

Defender 入口網站

[Sentinel 事件] 索引標籤上的時間軸會在 Microsoft Defender 的整合安全性作業平台中，新增實體頁面對行為分析的貢獻。 其會呈現有關實體相關事件的故事，協助您了解實體在特定時間範圍內的活動。

特別是，您會在 Sentinel 事件時間軸警示和僅 Microsoft 由 sentinel 收集的第三方來源的事件上看到，例如 syslog/CEF 和透過 Azure 監視器代理程式或自訂連接器擷取的自訂記錄。

時間軸中包含下列項目類型。

• 警示：實體定義為對應實體的任何警示。 請注意，如果您的組織已使用分析規則建立自訂警示，您應該確定已正確完成規則的實體對應。

• 書籤：包含頁面所示特定實體的任何書籤。

• 異常：UEBA 偵測，其根據針對各種資料輸入及其自身過去的活動、其同儕過去的活動，以及整個組織中的每個實體所建立的動態基準。

• 活動：實體相關重要事件的彙總。 系統會自動收集各種不同的活動，且您現在可以藉由新增自己選擇的活動來自訂此區段。

此時間軸會顯示過去 24 小時內的資訊。 此期間目前無法調整。

實體深入解析

實體深入解析是 Microsoft 安全性研究人員所定義的查詢，可協助您的分析師更有效率且更有效地進行調查。 深入解析會呈現為實體頁面的一部分，並以表格式資料和圖表形式提供有關主機和使用者的重要安全性資訊。 在這裡提供資訊表示您不需要改道至 Log Analytics。 見解包含登入、群組新增、異常事件等相關資料，並包含用於偵測異常行為的進階 ML 演算法。

見解以下列資料來源為基礎：

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (Microsoft Entra ID)
• SigninLogs (Microsoft Entra ID)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Heartbeat (Azure 監視器代理程式)
• CommonSecurityLog (Microsoft Sentinel)

一般而言，實體頁面上顯示的每個實體深入解析都會提供連結，將帶您前往顯示深入解析基礎查詢的頁面，並且提供結果，讓您可以更深入檢查結果。

• 在 Azure 入口網站的 Microsoft Sentinel 中，連結會帶您前往 [記錄] 頁面。
• 在 Microsoft Defender 的整合安全性作業平台中，該連結會開啟 [進階搜捕] 頁面。

如何使用實體頁面

實體頁面的設計是要成為多個使用案例的一部分，而且可以從事件管理、調查圖表、書籤存取，或直接從 Microsoft Sentinel 主功能表的 [實體行為] 下的實體搜尋頁面存取。

實體頁面資訊會儲存在 BehaviorAnalytics 資料表中，如 Microsoft Sentinel UEBA 參考中所述。

支援的實體類型

Microsoft Sentinel 目前提供下列實體頁面：

• 使用者帳戶

• Host

• IP 位址 (預覽)

  注意

  IP 位址實體頁面 (現處於預覽狀態) 包含 Microsoft 威脅情報服務所提供的地理位置資料。 此服務合併 Microsoft 解決方案與協力廠商及合作夥伴的地理位置資料。 然後，資料即可在安全性事件的內容中進行分析與調查。 如需詳細資訊，另請參閱透過 REST API 在 Microsoft Sentinel 中以地理位置資料擴充實體 (公開預覽版) 。

• Azure 資源 (預覽)

• IoT 裝置 (預覽) — 目前只在 Azure 入口網站中的 Microsoft Sentinel 中。

下一步

在此文件中，您已了解如何在 Microsoft Sentinel 中使用實體頁面取得實體的相關資訊。 如需關於實體及其用法的詳細資訊，請參閱下列文章：

• 深入瞭解 Microsoft Sentinel 中的實體。
• 在實體分頁時間軸上自訂活動。
• 使用 Microsoft Sentinel 中的使用者與實體行為分析 (UEBA) 識別進階威脅
• 在 Microsoft Sentinel 中啟用實體行為分析。
• 搜捕安全性威脅。