當警報發送給或由 Microsoft Sentinel 產生時,包含 Sentinel 可辨識並分類為實體類別的資料元素。 當 Microsoft Sentinel 了解某個資料元素代表什麼樣的實體時,它就知道該問哪些正確的問題,並能比較該項目在所有資料來源的洞察,並輕鬆追蹤並參考整個 Sentinel 體驗——分析、調查、修復、搜尋等。 一些常見的實體範例包括使用者帳號、主機、信箱、IP 位址、檔案、雲端應用程式、程序及網址。
重要事項
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。
如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。
在 Microsoft Defender 入口網站中,實體通常分為兩大類:
| 實體類別 | 角色塑造 | 主要範例 |
|---|---|---|
| 資產 | ||
| 其他實體 (證據) |
實體識別碼
Microsoft Sentinel 支援多種實體類型。 每種類型都有其獨特的屬性,這些屬性在實體結構中以欄位表示,稱為 識別碼。 請參閱下方完整的支援實體清單,以及 Microsoft Sentinel 實體類型參考中完整的實體結構與識別碼集合。
強識別與弱識別
每種實體類型都有欄位或欄位集合,可以識別該實體的特定實例。 若這些欄位或欄位集合能無歧義地唯一識別實體,則稱為 強識別 碼;若能在某些情況下識別實體,但不保證在所有情況下都能唯一識別實體,則稱為 弱識別碼 。 然而,在許多情況下,將一組弱識別碼組合起來,可以產生強識別碼。
例如,使用者帳號可以用多種方式被識別為帳號實體:使用單一強識別碼,例如Microsoft Entra帳號的數字識別碼 (GUID 欄位) ,或其使用者主體名稱 (UPN) 值),或使用弱識別碼組合,如名稱與 NTDomain 欄位。 不同的資料來源可能會以不同方式識別同一使用者。 每當 Microsoft Sentinel 遇到兩個可根據識別碼辨識為同一實體的實體時,會將兩個實體合併為一個實體,以便正確且一致地處理。
然而,若您的資源提供者建立的警示未充分識別實體——例如僅使用單一 弱識別碼 如使用者名稱而未包含網域名稱上下文——則該使用者實體無法與同一使用者帳號的其他實例合併。 其他實例會被識別為獨立的實體,這兩個實體會保持分離而非統一。
為了降低此風險,您應該確認所有警示提供者在所產生的警示中正確識別實體。 此外,將使用者帳號實體與 Microsoft Entra ID 同步,可能會建立一個統一目錄,能夠合併使用者帳號實體。
支援實體
目前 Microsoft Sentinel 中識別的實體類型如下:
您可以在 實體參考中查看這些實體的識別碼及其他相關資訊。
實體映射
Microsoft Sentinel 如何辨識警示中的一段資料,即為識別實體?
讓我們來看看 Microsoft Sentinel 中資料處理是如何進行的。 資料透過 連接器從各種來源匯入,無論是服務對服務、代理端或 API 端。 資料會儲存在你的 Log Analytics 工作區中的表格中。 這些表格會被你定義並啟用的排程或近即時分析規則定期查詢,或是隨需查詢,作為搜尋威脅時的搜尋查詢。 這些分析規則與搜尋查詢的定義部分,是將資料表中的欄位映射到 Microsoft Sentinel 識別的實體類型。 根據你定義的映射,Microsoft Sentinel 會從你查詢回傳的結果中選取欄位,並依你為每個實體類型指定的識別碼辨識這些欄位,並套用這些識別碼所識別的實體類型。
這一切有什麼意義?
當 Microsoft Sentinel 能夠識別來自不同類型資料來源的警示實體,尤其是能使用每個資料來源或另一個結構共有的強識別碼時,就能輕鬆地將所有這些警示與資料來源相互關聯。 這些關聯有助於建立豐富的資訊與洞察,為調查與回應資安威脅提供堅實基礎與脈絡。
學習如何 將資料欄位映射到實體。
了解 哪些識別碼能強烈識別一個實體。
實體頁面
關於實體頁面的資訊現在可以在 Microsoft Sentinel 的實體頁面找到。
後續步驟
在這份文件中,你了解了如何在 Microsoft Sentinel 中與實體合作。 關於實務上的實施指引,以及運用你所獲得的見解,請參考以下文章: