Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il mapping delle entità è parte integrante della configurazione delle regole di analisi pianificata. Arricchisce l'output delle regole (avvisi e eventi imprevisti) con informazioni essenziali che fungono da blocchi predefiniti di eventuali processi investigativi e azioni correttive che seguono.
La procedura descritta di seguito fa parte della creazione guidata di regole di analisi. Viene trattato in modo indipendente per risolvere lo scenario di aggiunta o modifica dei mapping di entità in una regola di analisi esistente.
Importante
- Vedere "Note sulla nuova versione" alla fine di questo documento per informazioni importanti sulla compatibilità con le versioni precedenti e sulle differenze tra le versioni nuove e precedenti del mapping delle entità.
- Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono caricati e reindirizzati automaticamente al portale di Defender. Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: Ritiro della portale di Azure di Microsoft Sentinel per una maggiore sicurezza.
Come eseguire il mapping delle entità
Immettere la pagina Analisi nel portale tramite cui si accede Microsoft Sentinel:
Nella sezione Configurazione del menu di spostamento Microsoft Sentinel selezionare Analisi.
Selezionare una regola di query pianificata e selezionare Modifica nel riquadro dei dettagli. In alternativa, creare una nuova regola facendo clic su Crea > regola di query pianificata nella parte superiore della schermata.
Selezionare la scheda Imposta logica regola . Se una nuova regola, digitare una query nella finestra Query regola .
Nella sezione Miglioramento degli avvisi espandere Mapping di entità.
Nella sezione Mapping di entità ora espansa selezionare Aggiungi nuova entità.
Selezionare un tipo di entità dall'elenco a discesa Entità .
Selezionare un identificatore per l'entità. Gli identificatori sono attributi di un'entità in grado di identificarla in modo sufficiente. Scegliere uno dall'elenco a discesa Identificatore e quindi scegliere un campo dati dall'elenco a discesa Valore che corrisponderà all'identificatore. Con alcune eccezioni, l'elenco Valori viene popolato dai campi dati nella tabella definita come oggetto della query della regola.
È possibile definire fino a tre identificatori per un mapping di entità specificato. Alcuni identificatori sono obbligatori, altri sono facoltativi. È necessario scegliere almeno un identificatore obbligatorio. In caso contrario, un messaggio di avviso indicherà quali identificatori sono necessari. Per ottenere risultati ottimali, per la massima identificazione univoca, è consigliabile usare identificatori sicuri quando possibile e l'uso di più identificatori sicuri consentirà una maggiore correlazione tra le origini dati. Vedere l'elenco completo delle entità e degli identificatori disponibili.
Selezionare Aggiungi nuova entità per eseguire il mapping di altre entità. È possibile definire fino a dieci mapping di entità in una singola regola di analisi. È anche possibile eseguire il mapping di più di uno dello stesso tipo. Ad esempio, è possibile eseguire il mapping di due entità IP , una da un campo di indirizzo IP di origine e una da un campo di indirizzo IP di destinazione . In questo modo è possibile monitorarli entrambi.
Se si cambia idea o si è verificato un errore, è possibile rimuovere un mapping di entità facendo clic sull'icona del cestino accanto all'elenco a discesa dell'entità.
Al termine del mapping delle entità, fare clic sulla scheda Rivedi e crea . Dopo aver completato la convalida della regola, fare clic su Salva.
Nota
Un massimo di 500 entità può essere identificato collettivamente in un singolo avviso, diviso equamente tra tutti i mapping di entità definiti nella regola.
- Ad esempio, se nella regola sono definiti due mapping di entità, ogni mapping può identificare fino a 250 entità; se sono definiti cinque mapping, ognuno può identificare fino a 100 entità e così via.
- Più mapping di un singolo tipo di entità (ad esempio, IP di origine e IP di destinazione) vengono conteggiati separatamente.
- Se un avviso contiene elementi che superano questo limite, gli elementi in eccesso non verranno riconosciuti ed estratti come entità.
Il limite di dimensioni per l'intera area delle entità di un avviso (campo Entità ) è di 64 KB.
- I campi delle entità con dimensioni superiori a 64 KB verranno troncati. Man mano che le entità vengono identificate, vengono aggiunte all'avviso una alla una fino a quando le dimensioni del campo non raggiungono i 64 KB e tutte le entità ancora non identificate vengono eliminate dall'avviso.
Note sulla nuova versione
Poiché la nuova versione è ora disponibile a livello generale, la soluzione alternativa del flag di funzionalità per usare la versione precedente non è più disponibile.
Se i mapping di entità definiti in precedenza per questa regola di analisi usano la versione precedente, verranno convertiti automaticamente nella nuova versione.
Passaggi successivi
In questo documento si è appreso come eseguire il mapping dei campi dati alle entità nelle regole di analisi Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Esplorare gli altri modi per arricchire gli avvisi:
- Ottenere l'immagine completa sulle regole di analisi delle query pianificate.
- Altre informazioni sulle entità in Microsoft Sentinel.