Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Når varsler sendes til eller genereres av Microsoft Sentinel, inneholder de dataelementer som Sentinel kan gjenkjenne og klassifisere i kategorier som enheter. Når Microsoft Sentinel forstår hvilken type enhet et bestemt dataelement representerer, vet den de riktige spørsmålene å stille om det, og det kan deretter sammenligne innsikt om dette elementet på tvers av hele utvalget av datakilder, og enkelt spore det og referere til det gjennom hele Sentinel opplevelse - analyse, undersøkelse, utbedring, jakt og så videre. Noen vanlige eksempler på enheter er brukerkontoer, verter, postbokser, IP-adresser, filer, skyprogrammer, prosesser og nettadresser.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
I Microsoft Defender-portalen faller enheter vanligvis inn i to hovedkategorier:
| Enhetskategori | Karakterisering | Hovedeksempler |
|---|---|---|
| Eiendeler | ||
| Andre enheter (bevis) |
Enhetsidentifikatorer
Microsoft Sentinel støtter en rekke ulike enhetstyper. Hver type har sine egne unike attributter, som representeres som felt i enhetsskjemaet, og kalles identifikatorer. Se den fullstendige listen over støttede enheter nedenfor, og det fullstendige settet med enhetsskjemaer og identifikatorer i Microsoft Sentinel enhetstypereferanse.
Sterke og svake identifikatorer
Det finnes felt eller feltsett for hver enhetstype som kan identifisere bestemte forekomster av denne enheten. Disse feltene eller settene med felt kan refereres til som sterke identifikatorer hvis de unikt kan identifisere en enhet uten tvetydighet, eller som svake identifikatorer hvis de kan identifisere en enhet under noen omstendigheter, men er ikke garantert å identifisere en enhet unikt i alle tilfeller. I mange tilfeller kan imidlertid et utvalg av svake identifikatorer kombineres for å produsere en sterk identifikator.
Brukerkontoer kan for eksempel identifiseres som kontoenheter på mer enn én måte: bruke én enkelt sterk identifikator som numerisk identifikator for en Microsoft Entra-kontoen (GUID-feltet) eller verdien for brukerhovednavn (UPN), eller alternativt ved hjelp av en kombinasjon av svake identifikatorer som navn- og NTDomain-feltene. Ulike datakilder kan identifisere den samme brukeren på forskjellige måter. Når Microsoft Sentinel støter på to enheter som den kan gjenkjenne som den samme enheten basert på identifikatorene, fletter den de to enhetene inn i én enkelt enhet, slik at den kan håndteres riktig og konsekvent.
Hvis en av ressursleverandørene oppretter et varsel der en enhet ikke er tilstrekkelig identifisert, for eksempel bare ved hjelp av én enkelt svak identifikator som et brukernavn uten domenenavnkonteksten, kan ikke brukerenheten slås sammen med andre forekomster av samme brukerkonto. Disse andre forekomstene ville bli identifisert som en egen enhet, og disse to enhetene ville forbli atskilt i stedet for enhetlig.
Hvis du vil minimere risikoen for at dette skjer, bør du kontrollere at alle varslingsleverandørene identifiserer enhetene i varslene de produserer. I tillegg kan synkronisering av brukerkontoenheter med Microsoft Entra ID opprette en samlende katalog, som vil kunne slå sammen brukerkontoenheter.
Støttede enheter
Følgende typer enheter identifiseres for øyeblikket i Microsoft Sentinel:
- Konto
- Vert
- IP-adresse
- URL
- Azure ressurs
- Skyprogram
- DNS-oppløsning
- Filen
- Fil-hash
- Malware
- Prosessen
- Registernøkkel
- Registerverdi
- Sikkerhetsgruppe
- Postboks
- E-postklynge
- E-postmelding
- Sende e-post
Du kan vise identifikatorene for disse enhetene og annen relevant informasjon i enhetsreferansen.
Enhetstilordning
Hvordan gjenkjenner Microsoft Sentinel et stykke data i et varsel som å identifisere en enhet?
La oss se på hvordan databehandling utføres i Microsoft Sentinel. Data tas inn fra ulike kilder gjennom koblinger, enten tjeneste-til-tjeneste, agentbasert eller API-basert. Dataene lagres i tabeller i Log Analytics-arbeidsområdet. Disse tabellene spørres regelmessig etter de planlagte eller nesten sanntids analysereglene du har definert og aktivert, eller ved behov som en del av jaktspørringer når du jakter på trusler. En del av definisjonen av disse analysereglene og jaktspørringene er tilordningen av datafelt i tabellene til enhetstyper som gjenkjennes av Microsoft Sentinel. I henhold til tilordningene du definerer, tar Microsoft Sentinel felt fra resultatene som returneres av spørringen, gjenkjenner dem av identifikatorene du har angitt for hver enhetstype, og gjelder for dem enhetstypen som identifiseres av disse identifikatorene.
Hva er poenget med alt dette?
Når Microsoft Sentinel er i stand til å identifisere enheter i varsler fra ulike typer datakilder, og spesielt hvis det kan gjøre det ved hjelp av sterke identifikatorer som er felles for hver datakilde eller til et annet skjema, kan det deretter enkelt koordinere mellom alle disse varslene og datakildene. Disse korrelasjonene bidrar til å bygge et omfattende lager av informasjon og innsikt om enhetene, noe som gir deg et solid grunnlag og kontekst for å undersøke og svare på sikkerhetstrusler.
Finn ut hvordan du tilordner datafelt til enheter.
Finn ut hvilke identifikatorer som identifiserer en enhet på det sterkeste.
Enhetssider
Du finner nå informasjon om enhetssider på enhetssider i Microsoft Sentinel.
Neste trinn
I dette dokumentet lærte du om å arbeide med enheter i Microsoft Sentinel. Hvis du vil ha praktisk veiledning om implementering og bruk av innsiktene du har fått, kan du se følgende artikler:
- Aktiver analyse av virkemåte for enhet i Microsoft Sentinel.
- Jakten på sikkerhetstrusler.