Explorer les entités

  • 7 minutes

Lorsque des alertes sont envoyées à Microsoft Sentinel, elles incluent des éléments de données qui Microsoft Sentinel identifient et classifient en tant qu’entités, telles que des comptes d’utilisateur, des hôtes, des adresses IP et d’autres. À l’occasion, cette identification peut être un défi si l’alerte ne contient pas suffisamment d’informations sur l’entité.

Par exemple, les comptes d’utilisateur peuvent être identifiés de plusieurs manières : à l’aide d’un identificateur numérique (GUID) d’un compte Microsoft Entra ou de sa valeur UPN (User Principal Name), ou à l’aide d’une combinaison de son nom d’utilisateur et de son nom de domaine NT. Des sources de données différentes peuvent identifier le même utilisateur de manières différentes. Par conséquent, dans la mesure du possible, Microsoft Sentinel fusionne ces identificateurs en une seule entité afin qu’ils puissent être correctement identifiés.

Il peut toutefois arriver que l’un de vos fournisseurs de ressources crée une alerte dans laquelle une entité n’est pas suffisamment identifiée, par exemple dans le cas d’un nom d’utilisateur sans le contexte du nom de domaine. Dans un tel cas, l’entité utilisateur ne peut pas être fusionnée avec d’autres instances du même compte d’utilisateur, qui seraient identifiées comme une entité distincte, et ces deux entités resteraient séparées au lieu d’être unifiées.

Afin de minimiser le risque que cela se produise, vous devez vérifier que tous vos fournisseurs d’alertes identifient correctement les entités dans les alertes qu’ils produisent. En outre, la synchronisation des entités de compte d’utilisateur avec Microsoft Entra ID peut créer un répertoire unifiant, capable de fusionner des entités de compte d’utilisateur.

Les types d’entités suivants sont actuellement identifiés dans Microsoft Sentinel :

  • Compte d’utilisateur (compte)

  • Hébergeur

  • Adresse IP (IP)

  • Programme malveillant

  • Fichier

  • Processus

  • Application cloud (CloudApplication)

  • Nom de domaine (DNS)

  • ressource Azure

  • Fichier (FileHash)

  • Clé de registre

  • Valeur de registre

  • Groupe de sécurité

  • URL

  • Appareil IoT

  • Boîte aux lettres

  • Cluster de messagerie

  • Message électronique

  • E-mail de soumission

Pages d’entité

Lorsque vous rencontrez une entité (actuellement limitée aux utilisateurs et aux hôtes) dans une recherche, une alerte ou une investigation, vous pouvez sélectionner l’entité et être redirigé vers une page d’entité, une feuille de données pleine d’informations utiles sur cette entité. Les types d’informations que vous trouvez sur cette page incluent des faits de base sur l’entité, une chronologie des événements notables liés à cette entité et des insights sur le comportement de l’entité.

Les pages d’entité se composent de trois parties :

  • Le panneau gauche contient les informations d'identification de l'entité, collectées à partir de sources de données telles que Microsoft Entra ID, Azure Monitor, Microsoft Defender for Cloud et Microsoft Defender XDR.

  • Le panneau central affiche une chronologie graphique et textuelle des événements notables liés à l’entité, tels que des alertes, des signets et des activités. Les activités sont des agrégations d’événements notables de Log Analytics. Les requêtes qui détectent ces activités sont développées par Microsoft équipes de recherche en matière de sécurité.

  • Le panneau de droite présente des insights comportementales sur l’entité. Ces insights permettent d’identifier rapidement des anomalies et autres menaces de sécurité. Les insights sont développés par Microsoft équipes de recherche de sécurité et sont basés sur des modèles de détection d’anomalies.

La chronologie

Screenshot d’une chronologie du comportement d’entité dans Microsoft Sentinel.

La chronologie fait partie intégrante de la contribution de la page d'entité à l'analytique du comportement dans Microsoft Sentinel. Elle présente l’historique des événements liés à l’entité, qui vous aide à comprendre l’activité de celle-ci dans un délai d’exécution spécifique.

Vous pouvez choisir l’intervalle de temps parmi plusieurs options prédéfinies (par exemple , les dernières 24 heures) ou la définir sur n’importe quel intervalle de temps défini sur mesure. En outre, vous pouvez définir des filtres qui limitent les informations de la chronologie à des types spécifiques d’événements ou d’alertes.

Les types d’éléments suivants sont inclus dans la chronologie :

Alertes : toutes les alertes dans lesquelles l’entité est définie en tant qu’entité mappée. Si votre organisation a créé des alertes personnalisées à l’aide de règles d’analyse, vous devez vous assurer que le mappage d’entité des règles est correctement effectué.

Signets : signets incluant l’entité affichée sur la page.

Activités : agrégation d’événements notables liés à l’entité.

Insights sur l’entité

Entity Insights est constitué de requêtes définies par les chercheurs en sécurité de Microsoft pour aider vos analystes à examiner de manière plus efficace et efficiente. Les insights sont présentées dans la page de l’entité. Elles fournissent des informations de sécurité précieuses sur les hôtes et les utilisateurs, sous la forme de graphiques et de données tabulaires. Avoir les informations ici signifie que vous n'avez pas à vous rendre à Log Analytics. Les insights contiennent des données concernant les connexions, les ajouts de groupes, les événements anormaux et bien plus. Elles incluent également des algorithmes de ML avancés pour détecter les comportements anormaux. Les insights sont basées sur les types de données suivants :

  • Syslog

  • Événement de sécurité

  • Journaux d’audit

  • Journaux de connexion

  • Activité Office

  • BehaviorAnalytics (analyse du comportement des utilisateurs et des entités (UEBA))