實體映射是排 程分析規則配置中不可或缺的一部分。 它豐富規則輸出 (警示與事件,) 提供關鍵資訊,成為後續調查程序與補救措施的基礎。
以下說明的程序是分析規則建立精靈的一部分。 此處獨立處理,以解決在現有分析規則中新增或變更實體映射的情況。
重要事項
- 請參閱本文件末尾的「新版本備註」,了解新舊實體映射版本向後相容性及差異的重要資訊。
- 自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。 自 2025 年 7 月起,許多新客戶會自動被引導至 Defender 入口網站。如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。 欲了解更多資訊,請參閱「是時候行動了:退休 Microsoft Sentinel 的 Azure 入口網站以提升安全性。」
如何映射實體
請進入你使用 Microsoft Sentinel 的入口網站中的分析頁面:
從 Microsoft Sentinel 導覽選單的設定區段,選擇「分析」。
選擇排程查詢規則,並從細節面板選擇 編輯 。 或者點擊螢幕頂端的 「建立 > 排程查詢規則 」來建立新規則。
選擇 「Set rule logic 」標籤。如果是新規則,請在 「規則查詢 」視窗輸入查詢。
在 警示增強 區塊中,展開 實體映射。
在已展開的 實體映射 區塊中,選擇 新增實體。
從 實體 下拉選單中選擇實體類型。
請選擇該實體的 識別碼 。 識別碼是能夠充分識別實體的屬性。 從 識別碼 下拉選單中選擇一個,然後從 值 下拉清單中選擇一個與該識別碼對應的資料欄位。 除少數例外外, Value 清單由定義為規則查詢主題的資料欄位填充。
你可以為特定實體映射定義 最多三個識別碼 。 有些識別碼是必須的,有些則是可選的。 您必須至少選擇一個必要的識別碼。 若未完成,將有警告訊息告知您需要哪些識別碼。 為了達到最佳效果——也就是最大化唯一識別——你應該盡可能使用 強識別碼 ,而使用多個強識別碼能促進資料來源間的關聯性。 請參閱完整的可用 實體與識別碼清單。
選擇 新增實體 以映射更多實體。 你可以在單一分析規則中定義 最多十個實體映射 。 你也可以繪製多個同類型的地圖。 例如,你可以映射兩個 IP 實體,一個來自 來源 IP 位址 欄位,另一個來自 目的 IP 位址 欄位。 這樣你就能同時追蹤他們兩個。
如果你改變主意,或是犯錯了,可以點擊實體下拉選單旁的垃圾桶圖示來移除實體映射。
完成實體映射後,點擊「 檢視並建立 」分頁。規則驗證成功後,點擊 儲存。
注意事項
最多可於單一警示中識別多達500個實體,並平均分配至規則中定義的所有實體映射。
- 例如,若規則中定義兩個實體映射,每個映射最多可識別250個實體;若定義五個映射,每個映射最多可識別100個實體,依此類推。
- 同一實體類型的多重映射 (來源 IP 與目的 IP 分別) 計數。
- 若警示包含超過此限額的項目,這些多餘項目將不會被識別並提取為實體。
Entities 欄位) (警報整個實體區域的大小限制為 64 KB。
- 欄位若成長超過64 KB,則會被截斷。 當實體被識別時,會逐一加入警報,直到欄位大小達到 64 KB,尚未識別的實體則從警報中剔除。
新版本說明
由於新版本現已 (GA) 普遍提供,功能標記的替代方案不再提供舊版本。
如果您之前已用舊版本定義此分析規則的實體映射,這些映射將自動轉換成新版本。
後續步驟
在這份文件中,你學會了如何在 Microsoft Sentinel 分析規則中將資料欄位映射到實體。 想了解更多關於 Microsoft Sentinel 的資訊,請參閱以下文章:
- 探索其他豐富警報的方法:
- 完整了解 排程查詢分析規則。
- 了解更多關於 Microsoft Sentinel 中的實體資訊。