Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kun ilmoituksia lähetetään tai luodaan Microsoft Sentinel, ne sisältävät tietoelementtejä, jotka Sentinel tunnistavat ja luokittelevat luokiksi entiteeteiksi. Kun Microsoft Sentinel ymmärtää, millaista entiteettiä tietty tietoelementti edustaa, se tietää oikeat kysymykset siitä kysyttäväksi, ja se voi sitten verrata kyseisen kohteen merkityksellisiä tietoja koko tietolähdevalikoimassa ja helposti seurata sitä ja viitata siihen koko Sentinel käyttökokemuksen ajan – analysointia, tutkimuksia, korjauksia, metsästystä ja niin edelleen. Yleisiä esimerkkejä entiteeteistä ovat käyttäjätilit, isännät, postilaatikot, IP-osoitteet, tiedostot, pilvisovellukset, prosessit ja URL-osoitteet.
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
Microsoft Defender portaalissa entiteetit jakautuvat yleensä kahteen pääluokkaan:
| Entiteettiluokka | Luonnehdinta | Tärkeimmät esimerkit |
|---|---|---|
| Omaisuutta | ||
| Muut entiteetit (todiste) |
Entiteetin tunnisteet
Microsoft Sentinel tukee monenlaisia entiteettityyppejä. Kullakin tyypillä on omat yksilölliset määritteensä, jotka esitetään entiteettirakenteen kenttinä ja joita kutsutaan tunnisteiksi. Katso alla oleva täydellinen luettelo tuetuista entiteeteistä ja täydellinen joukko entiteettirakenteita ja tunnisteita Microsoft Sentinel entiteettityyppien viittauksessa.
Vahvat ja heikot tunnisteet
Kullekin entiteettityypille on kenttiä tai kenttäjoukkoja, jotka tunnistavat kyseisen entiteetin tietyt esiintymät. Näitä kenttiä tai kenttäjoukkoja voidaan kutsua vahvoiksi tunnisteiksi , jos ne pystyvät yksilöimään entiteetin ilman moniselitteisyyttä tai heikkoina tunnisteina , jos ne voivat tunnistaa entiteetin joissakin tilanteissa, mutta niillä ei ole varmuutta yksilöidä entiteettiä kaikissa tapauksissa. Monissa tapauksissa voidaan kuitenkin yhdistää joukko heikkoja tunnisteita vahvan tunnisteen tuottamiseksi.
Käyttäjätilit voidaan esimerkiksi tunnistaa tilin entiteeteiksi useammalla kuin yhdellä tavalla: käyttämällä yhtä vahvaa tunnistetta, kuten Microsoft Entra tilin numeerista tunnusta (GUID-kenttä) tai täydellisen käyttäjätunnuksen arvoa, tai vaihtoehtoisesti käyttämällä heikkojen tunnisteiden, kuten nimi- ja NTDomain-kenttien, yhdistelmää. Eri tietolähteet voivat tunnistaa saman käyttäjän eri tavoin. Aina kun Microsoft Sentinel havaitsee kaksi entiteettiä, jotka se tunnistaa samaksi entiteetiksi tunnisteidensa perusteella, se yhdistää nämä kaksi entiteettiä yhdeksi entiteetiksi, jotta niitä voidaan käsitellä oikein ja johdonmukaisesti.
Jos jokin resurssintarjoajista luo ilmoituksen, jossa entiteettiä ei ole riittävästi tunnistettu , esimerkiksi käyttämällä vain yhtä heikkoa tunnistetta , kuten käyttäjänimeä ilman toimialuenimen kontekstia, käyttäjäentiteettiä ei voi yhdistää muihin saman käyttäjätilin esiintymiin. Nämä muut esiintymät tunnistettaisiin erilliseksi entiteetiksi, ja nämä kaksi entiteettiä säilyisivät erillisinä yhtenäisten esiintymien sijaan.
Jotta voit minimoida tämän vaaran, varmista, että kaikki hälytyspalvelusi tunnistavat oikein entiteetit niiden tuottamista hälytyksistä. Lisäksi käyttäjätilientiteettien synkronointi Microsoft Entra ID kanssa voi luoda yhdistävän hakemiston, joka voi yhdistää käyttäjätilin entiteetit.
Tuetut entiteetit
Microsoft Sentinel on tällä hetkellä määritetty seuraavantyyppiset entiteetit:
- Tili
- Isäntä
- IP-osoite
- URL
- Azure resurssi
- Pilvisovellus
- DNS-tarkkuus
- Tiedosto
- Tiedoston hajautusarvo
- Haittaohjelmien
- Prosessi
- Rekisteriavain
- Rekisteriarvoa
- Käyttöoikeusryhmä
- Postilaatikon
- Postiklusteri
- Sähköpostiviesti
- Lähetyssähköposti
Voit tarkastella näiden entiteettien tunnisteita ja muita olennaisia tietoja entiteettiviittaus-kohdassa.
Entiteetin yhdistäminen
Miten Microsoft Sentinel tunnistaa ilmoituksen tietoyksikön entiteetiksi?
Katsotaan, miten tietojenkäsittely tehdään Microsoft Sentinel. Tietoja käytetään eri lähteistä liittimien kautta, olipa kyse sitten palvelusta palveluun, agentista tai ohjelmointirajapinnasta. Tiedot tallennetaan Log Analytics -työtilan taulukoihin. Näihin taulukoihin tehdään säännöllisin väliajoin kyselyjä ajoitettujen tai lähes reaaliaikaisten analytiikkasääntöjen mukaan, jotka olet määrittänyt ja ottanut käyttöön, tai tarvittaessa osana metsästyskyselyitä, kun etsit uhkia. Näiden analytiikkasääntöjen ja metsästyskyselyiden määritykseen kuuluu taulukoiden tietokenttien yhdistäminen Microsoft Sentinel tunnistamiin entiteettityyppeihin. Määrittämiensä yhdistämismääritysten mukaan Microsoft Sentinel ottaa kenttiä kyselyn palauttamista tuloksista, tunnistaa ne kullekin entiteettityypille määrittämissäsi tunnisteissa ja käyttää niitä kyseisten tunnisteiden määrittämässä entiteettityypissä.
Mitä järkeä tässä on?
Kun Microsoft Sentinel pystyy tunnistamaan entiteetit erityyppisten tietolähteiden ilmoituksista ja varsinkin jos se voi tehdä niin käyttämällä kullekin tietolähteelle tai toiselle rakenteelle yhteisiä vahvoja tunnisteita, se voi sitten helposti korreloida kaikkien näiden ilmoitusten ja tietolähteiden välillä. Nämä korrelaatiot auttavat luomaan entiteeteistä monipuolisen tieto- ja merkityksellisten tietojen säilön, mikä antaa sinulle vankan perustan ja kontekstin suojausuhkien tutkimiseen ja niihin vastaamiseen.
Opi yhdistämään tietokenttiä entiteetteihin.
Lue , mitkä tunnisteet tunnistavat entiteetin vahvasti.
Entiteettisivut
Entiteettisivuja koskevat tiedot löytyvät nyt Microsoft Sentinel entiteettisivuilta.
Seuraavat vaiheet
Tässä asiakirjassa opit käsittelemään entiteettejä Microsoft Sentinel. Käytännön ohjeita toteutukseen ja saamieni merkityksellisten tietojen käyttöön on seuraavissa artikkeleissa:
- Ota entiteetin toiminta-analytiikka käyttöön Microsoft Sentinel.
- Etsi turvallisuusuhkia.