Tutustu entiteetteihin

  • 7 minuuttia

Kun hälytyksiä lähetetään Microsoft Sentinel:lle, ne sisältävät tietoelementtejä, jotka Microsoft Sentinel tunnistaa ja luokittelee entiteetteiksi, kuten käyttäjätilejä, isäntiä, IP-osoitteita ja muita. Tämä tunnistaminen voi olla joskus haastavaa, jos ilmoitus ei sisällä riittävästi tietoja entiteetistä.

Esimerkiksi käyttäjätilit voidaan tunnistaa useammalla tavalla: käyttämällä Microsoft Entra-tilin numeerista tunnistetta (GUID), käyttäjänimeä (UPN) tai vaihtoehtoisesti käyttäjätunnuksen ja NT-verkkotunnuksen yhdistelmällä. Eri tietolähteet voivat tunnistaa saman käyttäjän eri tavoin. Siksi, aina kun mahdollista, Microsoft Sentinel yhdistää nämä tunnisteet yhdeksi kokonaisuudeksi, jotta ne voidaan tunnistaa oikein.

Voi kuitenkin käydä niin, että yksi resurssintarjoajista luo ilmoituksen, jossa entiteettiä ei tunnisteta riittävän hyvin – esimerkiksi käyttäjänimen ilman toimialueen nimen kontekstia. Tässä tapauksessa käyttäjäentiteettiä ei voi yhdistää saman käyttäjätilin muihin esiintymiin, jotka tunnistettaisiin erilliseksi entiteetiksi. Nämä kaksi entiteettiä pysyvät erillisinä yhtenäisen sijaan.

Jotta voit minimoida tämän riskin, varmista, että kaikki ilmoituksentarjoajasi tunnistavat oikein tuottamiensa hälytysten entiteetit. Lisäksi käyttäjätilientiteettien synkronointi Microsoft Entra ID:n kanssa voi luoda yhdistävän hakemiston, joka pystyy yhdistämään käyttäjätilientiteetit.

Seuraavat entiteettityypit on tällä hetkellä tunnistettu Microsoft Sentinel:ssä:

  • Käyttäjätili (tili)

  • Isäntä

  • IP-osoite (IP)

  • Haittaohjelma

  • Tiedosto

  • Prosessi

  • Pilvisovellus (CloudApplication)

  • Toimialuenimi (DNS)

  • Azure-resurssi

  • Tiedosto (FileHash)

  • Rekisteriavain

  • Rekisteriarvoa

  • Käyttöoikeusryhmä

  • osoite

  • IoT-laite

  • Mailbox

  • Postiklusteri

  • Sähköpostiviesti

  • Lähetyksen sähköposti

Entiteettisivut

Kun kohtaat minkä tahansa entiteetin (joka on tällä hetkellä rajoitettu käyttäjiin ja isäntiin) haussa, hälytyksessä tai tutkimuksessa, voit valita entiteetin ja sinut viedään entiteettisivulle, joka on täynnä hyödyllisiä tietoja kyseisestä entiteetistä. Tältä sivulta löytyvät tiedot sisältävät perustiedot olennosta, aikajanan merkittävistä tapahtumista, jotka liittyvät tähän olentoon, sekä näkemyksiä entiteon käyttäytymisestä.

Entiteettisivut koostuvat kolmesta osasta:

  • Vasemmanpuoleinen paneeli sisältää yksikön tunnistetiedot, jotka on kerätty tietolähteistä kuten Microsoft Entra ID, Azure Monitor, Microsoft Defender for Cloud ja Microsoft Defender XDR.

  • Keskimmäinen paneeli näyttää entiteettiin liittyvien merkittävien tapahtumien, kuten hälytysten, kirjanmerkkien ja aktiviteettien, graafisen ja tekstillisen aikajanan. Toiminnot ovat merkittävien tapahtumien kokoelmia Log Analytics -sivustolta. Kyselyt, jotka havaitsevat nämä toiminnot, kehitetään Microsoftin tietoturvatutkimustiimien toimesta.

  • Oikeanpuoleisessa paneelissa esitetään merkityksellisiä tietoja käyttäytymisestä entiteetissä. Nämä merkitykselliset tiedot auttavat tunnistamaan poikkeamat ja tietoturvauhat nopeasti. Oivallukset kehittävät Microsoftin tietoturvatutkimusryhmät, ja ne perustuvat poikkeamien havaitsemismalleihin.

Aikajana

Kuvakaappaus entiteettikäyttäytymisen aikajanasta Microsoft Sentinel.

Aikajana on merkittävä osa entiteettisivun panosta käyttäytymisanalytiikkaan Microsoft Sentinel. Se kertoo entiteettiin liittyvistä tapahtumista ja auttaa sinua ymmärtämään entiteetin toimintaa tietyssä ajassa.

Voit valita aikavälin useista esiasetuksista (esimerkiksi edelliset 24 tuntia) tai määrittää sen mihin tahansa mukautettuun ajanjaksoon. Lisäksi voit määrittää suodattimia, jotka rajaavat aikajanan tiedot tietyntyyppisiin tapahtumiin tai hälytyksiin.

Seuraavat kohdetyypit sisältyvät aikajanaan:

Ilmoitukset – kaikki hälytykset, joissa entiteetti on määritetty yhdistetyksi entiteetiksi. Jos organisaatiosi on luonut mukautettuja ilmoituksia analytiikkasääntöjen avulla, varmista, että sääntöjen entiteettien yhdistäminen on tehty oikein.

Kirjanmerkit – kaikki kirjanmerkit, jotka sisältävät sivulla näkyvän tietyn entiteetin.

Aktiviteetit – entiteettiin liittyvien merkittävien tapahtumien koostaminen.

Entiteetin merkitykselliset tiedot

Entity insights ovat kyselyitä, jotka Microsoftin tietoturvatutkijat määrittelevät auttaakseen analyytikkojasi tutkimaan asiaa tehokkaammin ja vaikuttavammin. Merkitykselliset tiedot esitetään osana entiteettisivua ja ne tarjoavat arvokkaita suojaustietoja isännistä ja käyttäjistä taulukkomuotoisten tietojen ja kaavioiden muodossa. Tietojen olemassaolo täällä tarkoittaa, ettei sinun tarvitse kääntyä Log Analytics -sivustolle. Merkitykselliset tiedot sisältävät kirjautumisia, ryhmien lisäyksiä, poikkeavia tapahtumia ja muita koskevia tietoja sekä kehittyneitä koneoppimisalgoritmeja epänormaalin käyttäytymisen tunnistamiseksi. Merkitykselliset tiedot perustuvat seuraaviin tietotyyppeihin:

  • Syslog

  • SecurityEvent

  • Valvontalokit

  • Kirjautumislokit

  • Toimiston toiminta

  • BehaviorAnalytics (UEBA)