Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kun kohtaat tapaustutkinnassa käyttäjätilin, isäntänimen, IP-osoitteen tai Azure resurssin, voit päättää, että haluat tietää siitä enemmän. Saatat esimerkiksi haluta tietää sen toimintahistorian, onko se muissa ilmoituksissa tai tapahtumissa, onko se tehty odottamattomia vai epäluonteisia, ja niin edelleen. Lyhyesti sanottuna haluat tietoja, jotka voivat auttaa sinua määrittämään, minkä tyyppisiä uhkia nämä entiteetit edustavat, ja opastamaan tutkimustasi vastaavasti.
Tässä artikkelissa kuvataan Azure-portaali Microsoft Sentinel entiteettisivuja. Lisätietoja Defender-portaalin entiteettisivuista on seuraavissa kohteissa:
- Käyttäjän entiteettisivu Microsoft Defender
- Laitteen entiteettisivu Microsoft Defender
- IP-osoite-entiteettisivu kohteessa Microsoft Defender
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
Entiteettisivut
Näissä tilanteissa voit valita entiteetin (se näkyy napsautettavana linkkinä) ja viedä entiteettisivulle, joka on täynnä hyödyllisiä tietoja kyseisestä entiteetistä. Voit myös saapua entiteettisivulle hakemalla suoraan entiteettejä Microsoft Sentinel entiteetin toimintasivulta. Entiteetin sivuilta löytyvät tietotyypit sisältävät perustietoja entiteetistä, aikajanan tähän entiteettiin liittyvistä merkittävistä tapahtumista ja merkityksellisiä tietoja entiteetin toiminnasta.
Tarkemmin sanottuna entiteettisivut koostuvat kolmesta osasta:
Vasemmassa reunassa oleva paneeli sisältää entiteetin tunnistavia tietoja, jotka on kerätty esimerkiksi Microsoft Entra ID, Azure Monitorista, Azure Activity-, Azure Resource Manager-, Microsoft Defender for Cloud-, CEF/Syslog- ja Microsoft Defender XDR (kaikki sen osat).
Keskimmäinen paneeli näyttää graafisen ja tekstimuotoisen aikajanan entiteettiin liittyvistä merkittävistä tapahtumista, kuten hälytyksistä, kirjanmerkeistä, poikkeamista ja aktiviteeteista. Toiminnot ovat Log Analyticsin merkittävien tapahtumien koosteita. Microsoftin tietoturvatutkimusryhmät kehittävät kyselyt, jotka tunnistavat nämä toiminnot. Voit nyt lisätä omia mukautettuja kyselyitä, joilla voit tunnistaa valitsemasi toiminnot.
Oikeanpuoleisessa paneelissa on merkityksellisiä käyttäytymistietoja entiteetistä. Microsoftin tietoturvatutkimustiimit kehittävät jatkuvasti näitä merkityksellisiä tietoja. Ne perustuvat erilaisiin tietolähteisiin ja tarjoavat kontekstin entiteetille ja sen havaituille toiminnoille, mikä auttaa tunnistamaan nopeasti poikkeavan käyttäytymisen ja tietoturvauhat.
Jos tutkit tapausta uuden tutkimuskokemuksen avulla, näet entiteettisivun paneloidun version suoraan tapahtuman tietosivulla. Sinulla on luettelo kaikista tietyn tapahtuman entiteeteistä, ja entiteetin valitseminen avaa sivupaneelin, jossa on kolme "korttia"– Tiedot, Aikajana ja Merkitykselliset tiedot – jotka näyttävät kaikki edellä kuvatut tiedot tietyn aikarajan kuluessa, joka vastaa tapahtuman ilmoitusten tietoja.
Jos käytät Microsoft Sentinel Defender-portaalissa, aikajana- ja merkityksellisten tietojen paneelit näkyvät Defenderin entiteettisivun Sentinel tapahtumat -välilehdellä.
Aikajana
Aikajana on tärkeä osa entiteettisivun vaikutusta toiminta-analytiikkaan Microsoft Sentinel. Se kertoo entiteettiin liittyvistä tapahtumista kertovan tarinan, joka auttaa ymmärtämään entiteetin toimintaa tietyssä ajassa.
Voit valita aika-alueen useista ennalta määritetyistä asetuksista (kuten viimeiset 24 tuntia) tai määrittää sen mihin tahansa mukautettuun aikaväliin. Lisäksi voit määrittää suodattimia, jotka rajoittavat aikajanan tiedot tietyntyyppisiin tapahtumiin tai hälytyksiin.
Seuraavat kohdetyypit sisältyvät aikajanaan.
Ilmoitukset: kaikki ilmoitukset, joissa entiteetti on määritetty yhdistetyksi entiteetiksi. Huomaa, että jos organisaatiosi on luonut mukautettuja hälytyksiä analytiikkasääntöjen avulla, varmista, että sääntöjen entiteettien yhdistämismääritykset tehdään oikein.
Kirjanmerkit: kaikki kirjanmerkit, jotka sisältävät sivulla näkyvän tietyn entiteetin.
Poikkeamat: UEBA-tunnistuksia, jotka perustuvat kullekin entiteetille luoduille dynaamisille perustasolle eri tietosyötteissä ja suhteessa sen omiin historiallisiin toimintoihin, vertaiskohteiden ja koko organisaation toimintoihin.
Toiminnot: entiteettiin liittyvien merkittävien tapahtumien koostaminen. Laaja joukko toimintoja kerätään automaattisesti, ja voit nyt mukauttaa tätä osiota lisäämällä itse valitsemiasi toimintoja .
Entiteetin merkitykselliset tiedot
Entiteettien merkitykselliset tiedot ovat Microsoftin tietoturvatutkijoiden määrittämiä kyselyjä, joiden avulla analyytikot voivat tutkia asiaa tehokkaammin ja tehokkaammin. Merkitykselliset tiedot esitetään osana entiteettisivua, ja ne tarjoavat arvokkaita suojaustietoja isännistä ja käyttäjistä taulukkomuotoisten tietojen ja kaavioiden muodossa. Kun tiedot ovat täällä, sinun ei tarvitse käydä Log Analyticsissa. Merkitykselliset tiedot sisältävät kirjautumisia, ryhmien lisäyksiä, poikkeavia tapahtumia ja paljon muuta. Ne sisältävät kehittyneitä koneoppimisalgoritmeja poikkeavan käyttäytymisen havaitsemiseksi.
Merkitykselliset tiedot perustuvat seuraaviin tietolähteisiin:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Syke (Azure monitoriagentti)
- CommonSecurityLog (Microsoft Sentinel)
Yleisesti ottaen jokaisen entiteetin sivulla näkyvän entiteetin merkityksellisten tietojen mukana tulee linkki, joka vie sinut sivulle, jossa näytetään merkityksellisten tietojen pohjana oleva kysely sekä tulokset, jotta voit tarkastella tuloksia tarkemmin.
- Azure-portaali Microsoft Sentinel linkki vie sinut Lokit-sivulle.
- Microsoft Defender portaalissa linkki vie sinut kehittyneen metsästyksen sivulle.
Entiteettisivujen käyttäminen
Entiteettisivut on suunniteltu osaksi useita käyttötilanteita, ja niitä voi käyttää tapaustenhallinnasta, tutkimuskaaviosta, kirjanmerkeistä tai suoraan Microsoft Sentinel-päävalikon Entiteettitoiminta-kohdan entiteettihakusivulta.
Entiteettisivun tiedot on tallennettu BehaviorAnalytics-taulukkoon, joka on kuvattu yksityiskohtaisesti Microsoft Sentinel UEBA -viitteessä.
Tuetut entiteettisivut
Microsoft Sentinel tarjoaa tällä hetkellä seuraavat entiteettisivut:
Käyttäjätilin
Isäntä
IP-osoite (esikatselu)
Huomautus
IP-osoite-entiteettisivu (nyt esikatselussa) sisältää Microsoft Threat Intelligence -palvelun toimittamia maantieteellistä sijaintitietoja. Tämä palvelu yhdistää Maantieteellinen sijainti -tiedot Microsoft-ratkaisuilta ja kolmannen osapuolen toimittajilta ja kumppaneilta. Tiedot ovat sitten käytettävissä analysointia ja tutkintaa varten suojaustapauksen yhteydessä. Lisätietoja on artikkelissa Entiteettien täydentäminen Microsoft Sentinel maantieteellisillä tiedoilla REST-ohjelmointirajapinnan kautta (julkinen esikatselu).
Azure resurssi (esikatselu)
IoT-laite (esikatselu) – toistaiseksi vain Microsoft Sentinel Azure-portaali.
Seuraavat vaiheet
Tässä asiakirjassa opit, miten saat tietoja Microsoft Sentinel entiteettisivujen avulla. Lisätietoja entiteeteistä ja niiden käytöstä on seuraavissa artikkeleissa:
- Lue lisätietoja Microsoft Sentinel entiteeteistä.
- Mukauta entiteettisivun aikajanoja koskevia toimintoja.
- Kehittyneiden uhkien tunnistaminen käyttäjän ja entiteetin käyttäytymisanalytiikan (UEBA) avulla Microsoft Sentinel
- Ota entiteetin toiminta-analytiikka käyttöön Microsoft Sentinel.
- Etsi turvallisuusuhkia.