Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Entitetsmappning är en integrerad del av konfigurationen av schemalagda analysregler. Den utökar reglernas utdata (aviseringar och incidenter) med viktig information som fungerar som byggstenar i eventuella utredningsprocesser och åtgärdsåtgärder som följer.
Proceduren nedan är en del av guiden för att skapa analysregler. Den behandlas här oberoende av varandra för att hantera scenariot med att lägga till eller ändra entitetsmappningar i en befintlig analysregel.
Viktigt
- I "Anteckningar om den nya versionen" i slutet av det här dokumentet finns viktig information om bakåtkompatibilitet och skillnader mellan de nya och gamla versionerna av entitetsmappning.
- Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen. Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinel är Azure Portal för ökad säkerhet).
Mappa entiteter
Ange sidan Analys i portalen som du kommer åt Microsoft Sentinel:
I avsnittet Konfiguration i navigeringsmenyn Microsoft Sentinel väljer du Analys.
Välj en schemalagd frågeregel och välj Redigera i informationsfönstret. Eller skapa en ny regel genom att klicka på Skapa > schemalagd frågeregel överst på skärmen.
Välj fliken Ange regellogik . Om det finns en ny regel skriver du en fråga i frågefönstret Regel .
I avsnittet Aviseringsförbättring expanderar du Entitetsmappning.
I det nu expanderade avsnittet Entitetsmappning väljer du Lägg till ny entitet.
Välj en entitetstyp i listrutan Entitet .
Välj en identifierare för entiteten. Identifierare är attribut för en entitet som kan identifiera den tillräckligt. Välj ett i listrutan Identifierare och välj sedan ett datafält i listrutan Värde som motsvarar identifieraren. Med vissa undantag fylls listan Värde i av datafälten i tabellen som definieras som ämne för regelfrågan.
Du kan definiera upp till tre identifierare för en viss entitetsmappning. Vissa identifierare krävs, andra är valfria. Du måste välja minst en obligatorisk identifierare. Om du inte gör det visas ett varningsmeddelande om vilka identifierare som krävs. För bästa resultat – för maximal unik identifiering – bör du använda starka identifierare när det är möjligt, och om du använder flera starka identifierare blir korrelationen mellan datakällor större. Se den fullständiga listan över tillgängliga entiteter och identifierare.
Välj Lägg till ny entitet för att mappa fler entiteter. Du kan definiera upp till tio entitetsmappningar i en enda analysregel. Du kan också mappa mer än en av samma typ. Du kan till exempel mappa två IP-entiteter , en från ett käll-IP-adressfält och en från ett mål-IP-adressfält . På så sätt kan du spåra dem båda.
Om du ändrar dig, eller om du har gjort ett misstag, kan du ta bort en entitetsmappning genom att klicka på papperskorgsikonen bredvid entitetens listruta.
När du har mappat entiteter klickar du på fliken Granska och skapa . När verifieringen av regeln har slutförts klickar du på Spara.
Obs!
Upp till 500 entiteter kan identifieras tillsammans i en enda avisering som delas lika mellan alla entitetsmappningar som definieras i regeln.
- Om två entitetsmappningar till exempel definieras i regeln kan varje mappning identifiera upp till 250 entiteter. Om fem mappningar definieras kan var och en identifiera upp till 100 entiteter och så vidare.
- Flera mappningar av en enskild entitetstyp (till exempel käll-IP och mål-IP) räknas var för sig.
- Om en avisering innehåller objekt som överskrider den här gränsen kommer dessa överflödiga objekt inte att identifieras och extraheras som entiteter.
Storleksgränsen för hela området entiteter i en avisering (fältet Entiteter ) är 64 kB.
- Entitetsfält som blir större än 64 kB trunkeras. När entiteter identifieras läggs de till i aviseringen en i taget tills fältstorleken når 64 kB och alla entiteter som ännu inte har identifierats tas bort från aviseringen.
Anteckningar om den nya versionen
Eftersom den nya versionen nu är allmänt tillgänglig (GA) är den funktionsflaggade lösningen för att använda den gamla versionen inte längre tillgänglig.
Om du tidigare har definierat entitetsmappningar för den här analysregeln med den gamla versionen konverteras de automatiskt till den nya versionen.
Nästa steg
I det här dokumentet har du lärt dig hur du mappar datafält till entiteter i Microsoft Sentinel analysregler. Mer information om Microsoft Sentinel finns i följande artiklar:
- Utforska de andra sätten att utöka dina aviseringar:
- Hämta hela bilden om schemalagda frågeanalysregler.
- Läs mer om entiteter i Microsoft Sentinel.