Microsoft Sentinel 中的實體頁面

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

當您在事件調查中遇到使用者帳戶、主機名、IP 位址或 Azure 資源時,您可能會決定想要深入瞭解。 例如,您可能想要知道其活動歷程記錄、是否出現在其他警示或事件中、是否執行任何非預期或字元不足等。 簡言之,您想要可協助您判斷這些實體代表何種威脅的資訊,並據此引導您的調查。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

實體頁面

在這些情況下,您可以選取實體(它會顯示為可點選的連結),並移至 實體頁面,這是一個數據工作表,其中包含該實體的實用資訊。 您也可以直接在 Microsoft Sentinel 實體行為 頁面上搜尋實體,以抵達實體頁面。 您可以在實體頁面上找到的信息類型包括實體的基本事實、與此實體相關的值得注意事件的時程表,以及實體行為的相關深入解析。

更具體來說,實體頁面包含三個部分:

  • 左側面板包含實體的識別資訊,從 Microsoft Entra ID、Azure 監視器、Azure 活動、Azure Resource Manager、適用於雲端的 Microsoft Defender、CEF/Syslog 和 Microsoft Defender 全面偵測回應 等數據源收集(包含其所有元件)。

  • 中央面板會顯示 與實體相關的值得注意事件的圖形化和文字時程表 ,例如警示、書籤、 異常和活動。 活動為來自 Log Analytics 值得注意的事件的彙總。 偵測這些活動的查詢是由 Microsoft 安全性研究小組所開發,您現在可以 新增自己的自定義查詢來偵測您選擇的活動

  • 右側面板會顯示 實體的行為見解 。 Microsoft 安全性研究小組會持續開發這些深入解析。 它們以各種數據源為基礎,併為實體及其觀察到的活動提供內容,協助您快速識別 異常行為 和安全性威脅。

    自 2023 年 11 月起,新一代深入解析開始以擴充小工具的形式在 PREVIEW 中提供。 這些新的深入解析可以整合來自外部來源的數據,並即時取得更新,而且可以與現有的深入解析一起查看。 若要利用這些新小工具,您必須 啟用小工具體驗

如果您使用新的調查體驗調查事件,您將能夠在事件詳細數據頁面內看到實體頁面的面板化版本。 您有 指定事件中所有實體的清單,並選取實體會開啟側邊面板,其中包含三張「卡片」—資訊時程表深入解析,其中顯示上述所有相同資訊,且在特定時間範圍內,與事件中警示對應的時間範圍內。

如果您在 Microsoft Defender 入口網站中使用統一安全性作業平臺時間軸深入解析面板會出現在 Defender 實體頁面的 Sentinel 事件索引卷標中。

時間軸

時間軸是實體頁面對 Microsoft Sentinel 中的行為分析貢獻的主要部分。 其會呈現有關實體相關事件的故事,協助您了解實體在特定時間範圍內的活動。

您可以從數個預設選項中選擇時間範圍 (例如過去 24 小時),或將其設定為任何自訂的時間範圍。 此外,您可以設定篩選器,將時間軸中的資訊限制為特定類型的事件或警示。

下列類型的專案會包含在時間軸中。

  • 警示:實體定義為 對應實體的任何警示。 請注意,如果您的組織已使用分析規則建立自訂警示,您應該確定已正確完成規則的實體對應。

  • 書籤:包含頁面上顯示之特定實體的任何書籤。

  • 異常:UEBA 偵測會根據針對每個實體建立的動態基準,跨各種數據輸入,以及針對其本身的歷史活動、其對等,以及整個組織的記錄活動。

  • 活動:與實體相關的值得注意事件的匯總。 系統會自動收集各種不同的活動,您現在可以 藉由新增自己選擇的活動 來自定義本節。

Azure 入口網站 實體頁面上時程表範例的螢幕快照。

實體深入解析

實體深入解析是 Microsoft 安全性研究人員所定義的查詢,可協助您的分析師更有效率且更有效地進行調查。 深入解析會呈現為實體頁面的一部分,並以表格式資料和圖表形式提供有關主機和使用者的重要安全性資訊。 在這裡提供資訊表示您不需要改道至 Log Analytics。 深入解析包括有關登入、群組新增、異常事件等等的數據,以及包含偵測異常行為的進階 ML 演算法。

深入解析是以下欄數據源為基礎:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • 活動訊號 (Azure 監視器代理程式)
  • CommonSecurityLog (Microsoft Sentinel)

一般而言,實體頁面上顯示的每個實體深入解析都會伴隨連結,將帶您前往顯示深入解析基礎查詢的頁面,以及結果,讓您可以更深入地檢查結果。

  • 在 Azure 入口網站 的 Microsoft Sentinel 中,鏈接會帶您前往 [記錄] 頁面。
  • 在 Microsoft Defender 入口網站的統一安全性作業平臺中,鏈接會帶您前往 [ 進階搜捕 ] 頁面。

如何使用實體頁面

實體頁面是設計成多個使用案例的一部分,而且可以從事件管理、調查圖表、書籤,或直接從 Microsoft Sentinel 主功能表中的實體搜尋頁面存取。

您可以存取實體頁面的區域圖表,這些區域對應至使用案例。

實體頁面資訊會儲存在 BehaviorAnalytics 數據表中,如 Microsoft Sentinel UEBA 參考中所述

支援的實體頁面

Microsoft Sentinel 目前提供下列實體頁面:

  • 使用者帳戶

  • Host

  • IP 位址 (預覽

    注意

    IP 位址實體頁面(目前為預覽版)包含 Microsoft 威脅情報服務所提供的地理位置數據。 此服務結合了來自 Microsoft 解決方案和第三方廠商和合作夥伴的地理位置數據。 然後,數據即可在安全性事件的內容中進行分析和調查。 如需詳細資訊,另請參閱透過 REST API 擴充 Microsoft Sentinel 中具有地理位置數據的實體(公開預覽)。

  • Azure 資源 (預覽

  • IoT 裝置 (預覽版)— 目前僅位於 Azure 入口網站 的 Microsoft Sentinel 中。

下一步

在本檔中,您已瞭解如何使用實體頁面取得 Microsoft Sentinel 中實體的相關信息。 如需實體及其使用方式的詳細資訊,請參閱下列文章: