Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Entiteitstoewijzing is een integraal onderdeel van de configuratie van geplande analyseregels. Het verrijkt de uitvoer van de regels (waarschuwingen en incidenten) met essentiële informatie die fungeert als de bouwstenen van eventuele onderzoeksprocessen en herstelacties die erop volgen.
De onderstaande procedure maakt deel uit van de wizard voor het maken van analyseregels. Het wordt hier onafhankelijk behandeld om het scenario van het toevoegen of wijzigen van entiteitstoewijzingen in een bestaande analyseregel aan te pakken.
Belangrijk
- Zie 'Notities over de nieuwe versie' aan het einde van dit document voor belangrijke informatie over achterwaartse compatibiliteit en verschillen tussen de nieuwe en oude versie van entiteitstoewijzing.
- Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarding uitgevoerd en omgeleid naar de Defender-portal. Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden. Zie It's Time to Move: De Azure Portal van Microsoft Sentinel wordt buiten gebruik gesteld voor meer informatie voor meer informatie.
Entiteiten toewijzen
Voer de pagina Analyse in de portal in via welke u toegang hebt tot Microsoft Sentinel:
Selecteer in de sectie Configuratie van het navigatiemenu Microsoft Sentinel de optie Analyse.
Selecteer een geplande queryregel en selecteer Bewerken in het detailvenster. U kunt ook een nieuwe regel maken door boven aan het scherm op Geplande queryregel maken te > klikken.
Selecteer het tabblad Regellogica instellen . Als er een nieuwe regel is, typt u een query in het venster Regelquery .
Vouw in de sectie Waarschuwingsverbeteringentiteitstoewijzing uit.
Selecteer in de nu uitgevouwen sectie Entiteitstoewijzingde optie Nieuwe entiteit toevoegen.
Selecteer een entiteitstype in de vervolgkeuzelijst Entiteit .
Selecteer een id voor de entiteit. Id's zijn kenmerken van een entiteit waarmee deze voldoende kan worden geïdentificeerd. Kies er een in de vervolgkeuzelijst Id en kies vervolgens een gegevensveld in de vervolgkeuzelijst Waarde dat overeenkomt met de id. Met enkele uitzonderingen wordt de lijst Waarde ingevuld met de gegevensvelden in de tabel die is gedefinieerd als het onderwerp van de regelquery.
U kunt maximaal drie id's definiëren voor een bepaalde entiteitstoewijzing. Sommige id's zijn vereist, andere zijn optioneel. U moet ten minste één vereiste id kiezen. Als u dat niet doet, wordt u in een waarschuwingsbericht aangegeven welke id's vereist zijn. Voor het beste resultaat( voor maximale unieke identificatie) moet u waar mogelijk sterke id's gebruiken. Als u meerdere sterke id's gebruikt, is er een grotere correlatie tussen gegevensbronnen mogelijk. Bekijk de volledige lijst met beschikbare entiteiten en id's.
Selecteer Nieuwe entiteit toevoegen om meer entiteiten toe te wijzen. U kunt maximaal tien entiteitstoewijzingen definiëren in één analyseregel. U kunt ook meer dan één van hetzelfde type toewijzen. U kunt bijvoorbeeld twee IP-entiteiten toewijzen, één uit een bron-IP-adresveld en één uit een doel-IP-adresveld . Op deze manier kunt u ze beide volgen.
Als u van gedachten verandert of als u een fout hebt gemaakt, kunt u een entiteitstoewijzing verwijderen door te klikken op het prullenbakpictogram naast de vervolgkeuzelijst entiteit.
Wanneer u klaar bent met het toewijzen van entiteiten, klikt u op het tabblad Controleren en maken . Zodra de regelvalidatie is geslaagd, klikt u op Opslaan.
Opmerking
Er kunnen maximaal 500 entiteiten gezamenlijk worden geïdentificeerd in één waarschuwing, verdeeld over alle entiteitstoewijzingen die in de regel zijn gedefinieerd.
- Als er bijvoorbeeld twee entiteitstoewijzingen zijn gedefinieerd in de regel, kan elke toewijzing maximaal 250 entiteiten identificeren; als er vijf toewijzingen zijn gedefinieerd, kan elke toewijzing maximaal 100 entiteiten identificeren, enzovoort.
- Meerdere toewijzingen van één entiteitstype (bijvoorbeeld bron-IP en doel-IP) tellen elk afzonderlijk mee.
- Als een waarschuwing items bevat die deze limiet overschrijden, worden deze overtollige items niet herkend en geëxtraheerd als entiteiten.
De groottelimiet voor het hele entiteitengebied van een waarschuwing (het veld Entiteiten ) is 64 kB.
- Entiteitenvelden die groter zijn dan 64 kB, worden afgekapt. Wanneer entiteiten worden geïdentificeerd, worden ze één voor één toegevoegd aan de waarschuwing totdat de veldgrootte 64 KB bereikt en alle entiteiten die nog niet zijn geïdentificeerd, uit de waarschuwing worden verwijderd.
Opmerkingen over de nieuwe versie
Omdat de nieuwe versie nu algemeen beschikbaar (GA) is, is de tijdelijke oplossing met de functievlag voor het gebruik van de oude versie niet meer beschikbaar.
Als u eerder entiteitstoewijzingen hebt gedefinieerd voor deze analyseregel met behulp van de oude versie, worden deze automatisch geconverteerd naar de nieuwe versie.
Volgende stappen
In dit document hebt u geleerd hoe u gegevensvelden kunt toewijzen aan entiteiten in Microsoft Sentinel analyseregels. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Verken de andere manieren om uw waarschuwingen te verrijken:
- Krijg het volledige beeld van geplande queryanalyseregels.
- Meer informatie over entiteiten in Microsoft Sentinel.