Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når beskeder sendes til eller genereres af Microsoft Sentinel, indeholder de dataelementer, som Sentinel kan genkende og klassificere i kategorier som enheder. Når Microsoft Sentinel forstår, hvilken type enhed et bestemt dataelement repræsenterer, kender det de rigtige spørgsmål at stille om det, og det kan derefter sammenligne indsigter om det pågældende element på tværs af det fulde udvalg af datakilder og nemt spore det og henvise til det i hele Sentinel oplevelse – analyser, undersøgelse, afhjælpning, jagt osv. Nogle almindelige eksempler på objekter er brugerkonti, værter, postkasser, IP-adresser, filer, cloudprogrammer, processer og URL-adresser.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
I Microsoft Defender-portalen falder enhederne normalt i to hovedkategorier:
| Objektkategori | Karakterisering | Hovedeksempler |
|---|---|---|
| Aktiver | ||
| Andre enheder (beviser) |
Enheds-id'er
Microsoft Sentinel understøtter en lang række objekttyper. Hver type har sine egne entydige attributter, der repræsenteres som felter i enhedsskemaet og kaldes identifikatorer. Se den komplette liste over understøttede objekter nedenfor og det komplette sæt enhedsskemaer og identifikatorer i Microsoft Sentinel reference til objekttyper.
Stærke og svage identifikatorer
For hver type objekt er der felter eller sæt felter, der kan identificere bestemte forekomster af det pågældende objekt. Disse felter eller sæt af felter kan kaldes stærke identifikatorer , hvis de entydigt kan identificere en enhed uden nogen flertydighed eller som svage identifikatorer , hvis de kan identificere en enhed under nogle omstændigheder, men ikke garanteres at identificere en enhed entydigt i alle tilfælde. I mange tilfælde kan et udvalg af svage identifikatorer dog kombineres for at oprette en stærk identifikator.
Brugerkonti kan f.eks. identificeres som kontoobjekter på mere end én måde: ved hjælp af en enkelt stærk identifikator, f.eks. en Microsoft Entra kontos numeriske identifikator (FELTET GUID) eller værdien for Brugerens hovednavn (UPN), eller alternativt ved hjælp af en kombination af svage id'er som f.eks. felterne Navn og NTDomain. Forskellige datakilder kan identificere den samme bruger på forskellige måder. Når Microsoft Sentinel støder på to objekter, som det kan genkende som det samme objekt på baggrund af deres identifikatorer, flettes de to objekter til en enkelt enhed, så de kan håndteres korrekt og ensartet.
Men hvis en af dine ressourceudbydere opretter en besked, hvor et objekt ikke er tilstrækkeligt identificeret – f.eks. ved kun at bruge en enkelt svag identifikator som f.eks. et brugernavn uden domænenavnskonteksten – kan brugerobjektet ikke flettes med andre forekomster af den samme brugerkonto. Disse andre instanser vil blive identificeret som en separat enhed, og disse to enheder forbliver separate i stedet for samlet.
For at minimere risikoen for, at dette sker, skal du kontrollere, at alle beskedudbyderne på korrekt vis identificerer enhederne i de beskeder, de producerer. Synkronisering af brugerkontoobjekter med Microsoft Entra ID kan desuden oprette en samlende mappe, som kan flette brugerkontoobjekter.
Understøttede enheder
Følgende typer objekter identificeres i øjeblikket i Microsoft Sentinel:
- Konto
- Vært
- IP-adresse
- URL
- Azure ressource
- Cloudprogram
- DNS-opløsning
- Filer
- Filhash
- Malware
- Proces
- Registreringsdatabasenøgle
- Registreringsdatabaseværdi
- Sikkerhedsgruppe
- Postkasse
- Mailklynge
- Postmeddelelse
- Afsendelsesmail
Du kan få vist disse enheders id'er og andre relevante oplysninger i enhedsreferencen.
Objekttilknytning
Hvordan genkender Microsoft Sentinel en datadel i en besked som identifikation af en enhed?
Lad os se på, hvordan databehandlingen udføres i Microsoft Sentinel. Data indtages fra forskellige kilder via forbindelser, uanset om det er service-til-service, agentbaseret eller API-baseret. Dataene gemmes i tabeller i dit Log Analytics-arbejdsområde. Disse tabeller forespørges med jævne intervaller efter de planlagte eller næsten realtidsanalyseregler, du har defineret og aktiveret, eller efter behov som en del af jagtforespørgsler, når du jagter efter trusler. En del af definitionen af disse analyseregler og jagtforespørgsler er tilknytningen af datafelter i tabellerne til objekttyper, der genkendes af Microsoft Sentinel. I henhold til de tilknytninger, du definerer, tager Microsoft Sentinel felter fra de resultater, der returneres af forespørgslen, genkender dem ved hjælp af de id'er, du har angivet for hver objekttype, og anvender den enhedstype, der identificeres af disse id'er, for dem.
Hvad er pointen med alt dette?
Når Microsoft Sentinel er i stand til at identificere objekter i beskeder fra forskellige typer datakilder, og især hvis det kan gøre det ved hjælp af stærke id'er, der er fælles for hver datakilde eller et andet skema, kan det derefter nemt korrelere mellem alle disse beskeder og datakilder. Disse korrelationer hjælper med at opbygge et omfattende lager af oplysninger og indsigt i enhederne, hvilket giver dig et solidt fundament og en solid kontekst til undersøgelse og reaktion på sikkerhedstrusler.
Få mere at vide om, hvordan du knytter datafelter til objekter.
Få mere at vide om , hvilke identifikatorer der på det kraftigste identificerer et objekt.
Enhedssider
Du kan nu finde oplysninger om objektsider på Enhedssider i Microsoft Sentinel.
Næste trin
I dette dokument har du lært, hvordan du arbejder med objekter i Microsoft Sentinel. Du kan finde praktisk vejledning i implementering og bruge de indsigter, du har fået, i følgende artikler:
- Aktivér analyse af objektfunktionsmåder i Microsoft Sentinel.
- Jagt efter sikkerhedstrusler.