Explore entidades

  • 7 minutos

Quando alertas são enviados para o Microsoft Sentinel, incluem elementos de dados que o Microsoft Sentinel identifica e classifica como entidades, como contas de utilizador, hosts, endereços IP e outros. Ocasionalmente, essa identificação pode ser um desafio, se o alerta não contiver informações suficientes sobre a entidade.

Por exemplo, as contas de utilizador podem ser identificadas de mais do que uma forma: usando o identificador numérico (GUID) de uma conta Microsoft Entra, ou o seu valor de Nome Principal de Utilizador (UPN), ou alternativamente, usando uma combinação do seu nome de utilizador e do seu domínio NT. Diferentes fontes de dados podem identificar o mesmo usuário de maneiras diferentes. Por isso, sempre que possível, o Microsoft Sentinel funde esses identificadores numa única entidade, para que possam ser devidamente identificados.

No entanto, pode acontecer que um dos seus fornecedores de recursos crie um alerta no qual uma entidade não está suficientemente identificada - por exemplo, um nome de utilizador sem o contexto do nome de domínio. Nesse caso, a entidade de usuário não pode ser mesclada com outras instâncias da mesma conta de usuário, que seriam identificadas como uma entidade separada, e essas duas entidades permaneceriam separadas em vez de unificadas.

Para minimizar o risco de isso acontecer, você deve verificar se todos os seus provedores de alertas identificam corretamente as entidades nos alertas que produzem. Além disso, a sincronização das entidades das contas de utilizador com o Microsoft Entra ID pode criar um diretório unificador, capaz de fundir entidades das contas de utilizador.

Os seguintes tipos de entidades são atualmente identificados no Microsoft Sentinel:

  • Conta de utilizador (Conta)

  • Anfitrião

  • Endereço IP (IP)

  • Malware

  • Ficheiro

  • Processo

  • Aplicação na nuvem (CloudApplication)

  • Nome de domínio (DNS)

  • recurso do Azure

  • Arquivo (FileHash)

  • Chave do registo

  • Valor de registo

  • Grupo de segurança

  • URL

  • Dispositivo IoT

  • Caixa de correio

  • Cluster de correio

  • Mensagem de correio

  • E-mail de submissão

Páginas de entidades

Ao encontrar uma entidade (atualmente limitada a utilizadores e anfitriões) numa pesquisa, alerta ou investigação, poderá selecionar a entidade e ser direcionado para uma página de entidade, que é uma folha de dados cheia de informações úteis sobre essa entidade. Os tipos de informação que encontra nesta página incluem factos básicos sobre a entidade, uma linha temporal de eventos notáveis relacionados com esta entidade e informações sobre o comportamento da entidade.

As páginas de entidades consistem em três partes:

  • O painel do lado esquerdo contém a informação identificativa da entidade, recolhida de fontes de dados como Microsoft Entra ID, Azure Monitor, Microsoft Defender para a Cloud e Microsoft Defender XDR.

  • O painel central mostra uma linha do tempo gráfica e textual de eventos notáveis relacionados à entidade, como alertas, marcadores e atividades. As atividades são agregações de eventos notáveis da Log Analytics. As consultas que detetam essas atividades são desenvolvidas pelas equipas de investigação em segurança da Microsoft.

  • O painel do lado direito apresenta insights comportamentais sobre a entidade. Essas informações ajudam a identificar rapidamente anomalias e ameaças à segurança. Os insights são desenvolvidos pelas equipas de investigação em segurança da Microsoft e baseiam-se em modelos de deteção de anomalias.

A linha do tempo

Captura de ecrã de uma linha temporal de comportamento de entidade em Microsoft Sentinel.

A linha temporal é uma parte importante da contribuição da página da entidade para a análise comportamental no Microsoft Sentinel. Apresenta uma história sobre eventos relacionados com a entidade, ajudando-o a compreender a atividade da entidade dentro de um período de tempo específico.

Você pode escolher o intervalo de tempo entre várias opções predefinidas (como as últimas 24 horas) ou defini-lo para qualquer período de tempo definido de forma personalizada. Além disso, você pode definir filtros que limitam as informações na linha do tempo a tipos específicos de eventos ou alertas.

Os seguintes tipos de itens estão incluídos na linha do tempo:

Alertas - quaisquer alertas em que a entidade é definida como uma entidade mapeada. Se sua organização criou alertas personalizados usando regras de análise, você deve certificar-se de que o mapeamento de entidade das regras seja feito corretamente.

Marcadores - quaisquer marcadores que incluam a entidade específica mostrada na página.

Atividades - agregação de eventos notáveis relacionados à entidade.

Informações da entidade

Os insights sobre entidades são consultas definidas por especialistas em segurança da Microsoft para ajudar os analistas a investigar de forma mais eficiente e eficaz. Os insights são apresentados como parte da página da entidade e fornecem informações de segurança valiosas sobre hosts e usuários, na forma de dados tabulares e gráficos. Ter a informação aqui significa que não precisa de desviar para o Log Analytics. Os insights incluem dados sobre logins, adições de grupo, eventos anômalos e muito mais, e incluem algoritmos avançados de ML para detetar comportamentos anômalos. Os insights são baseados nos seguintes tipos de dados:

  • Syslog

  • Evento de Segurança

  • Registos de Auditoria

  • Registos de início de sessão

  • Atividade do Escritório

  • BehaviorAnalytics (UEBA)