Utforsk enheter

  • 7 minutter

Når varsler sendes til Microsoft Sentinel, inkluderer de dataelementer som Microsoft Sentinel identifiserer og klassifiserer som enheter, som brukerkontoer, verter, IP-adresser og andre. Noen ganger kan denne identifikasjonen være en utfordring hvis varselet ikke inneholder tilstrekkelig informasjon om enheten.

For eksempel kan brukerkontoer identifiseres på mer enn én måte: ved å bruke en Microsoft Entra-kontos numeriske identifikator (GUID), eller dens verdi User Principal Name (UPN), eller alternativt ved å bruke en kombinasjon av brukernavn og NT-domenenavn. Ulike datakilder kan identifisere samme bruker på forskjellige måter. Derfor slår Microsoft Sentinel, når det er mulig, sammen disse identifikatorene til én enkelt enhet, slik at den kan identifiseres korrekt.

Det kan imidlertid skje at en av ressursleverandørene oppretter et varsel der en enhet ikke er tilstrekkelig identifisert – for eksempel et brukernavn uten domenenavnkonteksten. I et slikt tilfelle kan ikke brukerenheten slås sammen med andre forekomster av samme brukerkonto, som vil bli identifisert som en egen enhet, og disse to enhetene vil forbli atskilt i stedet for enhetlig.

Hvis du vil minimere risikoen for at dette skjer, bør du kontrollere at alle varslingsleverandørene identifiserer enhetene i varslene de produserer. I tillegg kan synkronisering av brukerkontoenheter med Microsoft Entra ID skape en enhetlig katalog, som kan slå sammen brukerkontoenheter.

Følgende typer enheter er for øyeblikket identifisert i Microsoft Sentinel:

  • Brukerkonto (konto)

  • Vert

  • IP-adresse (IP)

  • Skadelig programvare

  • Fil

  • Prosess

  • Skyprogram (CloudApplication)

  • Domenenavn (DNS)

  • Azure resource

  • Fil (FileHash)

  • Registernøkkel

  • Registerverdi

  • Sikkerhetsgruppe

  • URL

  • IoT-enhet

  • Mailbox

  • E-postklynge

  • E-postmelding

  • Sende e-post

Enhetssider

Når du støter på en enhet (for øyeblikket begrenset til brukere og verter) i et søk, et varsel eller en undersøkelse, kan du velge enheten og bli tatt til en enhetsside, et dataark fullt av nyttig informasjon om denne enheten. Typene informasjon du finner på denne siden inkluderer grunnleggende fakta om enheten, en tidslinje over bemerkelsesverdige hendelser knyttet til denne enheten og innsikt om enhetens atferd.

Enhetssider består av tre deler:

  • Panelet på venstre side inneholder enhetens identifiserende informasjon, samlet inn fra datakilder som Microsoft Entra ID, Azure Monitor, Microsoft Defender for skyen og Microsoft Defender XDR.

  • Midtpanelet viser en grafisk og tekstlig tidslinje over viktige hendelser relatert til enheten, for eksempel varsler, bokmerker og aktiviteter. Aktiviteter er aggregeringer av bemerkelsesverdige hendelser fra Log Analytics. Spørringene som oppdager disse aktivitetene utvikles av Microsoft sikkerhetsforskningsteam.

  • Panelet på høyre side presenterer atferdsinnsikt på enheten. Denne innsikten bidrar til raskt å identifisere avvik og sikkerhetstrusler. Innsiktene er utviklet av Microsoft sikkerhetsforskerteam, og er basert på modeller for avviksdeteksjon.

Tidslinjen

Skjermbilde av en enhetsoppførselstidslinje i Microsoft Sentinel.

Tidslinjen er en viktig del av entity-sidens bidrag til atferdsanalyse i Microsoft Sentinel. Den presenterer en artikkel om enhetsrelaterte hendelser som hjelper deg med å forstå enhetens aktivitet innen en bestemt tidsramme.

Du kan velge tidsintervallet blant flere forhåndsinnstilte alternativer (for eksempel siste 24 timer), eller angi det til en egendefinert definert tidsramme. I tillegg kan du angi filtre som begrenser informasjonen på tidslinjen til bestemte typer hendelser eller varsler.

Følgende typer elementer er inkludert på tidslinjen:

Varsler – eventuelle varsler der enheten er definert som en tilordnet enhet. Hvis organisasjonen har opprettet egendefinerte varsler ved hjelp av analyseregler, bør du kontrollere at reglenes enhetstilordning er riktig utført.

Bokmerker – alle bokmerker som inkluderer den bestemte enheten som vises på siden.

Aktiviteter – aggregering av viktige hendelser knyttet til enheten.

Enhetsinnsikter

Entitetsinnsikter er spørringer definert av Microsoft-sikkerhetsforskere for å hjelpe analytikerne dine med å undersøke mer effektivt og målrettet. Innsiktene presenteres som en del av enhetssiden, og gir verdifull sikkerhetsinformasjon om verter og brukere, i form av tabelldata og diagrammer. Å ha informasjonen her betyr at du ikke trenger å ta en omvei til Log Analytics. Innsikten omfatter data om pålogginger, gruppetillegg, avvikende hendelser og mer, og inkluderer avanserte ML-algoritmer for å oppdage uregelmessig atferd. Innsikten er basert på følgende datatyper:

  • Syslog

  • SecurityEvent

  • Revisjonslogger

  • Påloggingslogger

  • Office-aktivitet

  • Atferdsanalyse (UEBA)