Mapování datových polí na entity v Microsoft Sentinelu
Mapování entit je nedílnou součástí konfigurace plánovaných analytických pravidel. Rozšiřuje výstup pravidel (výstrahy a incidenty) o základní informace, které slouží jako stavební bloky všech vyšetřovacích procesů a nápravných akcí, které následují.
Níže uvedený postup je součástí průvodce vytvořením analytického pravidla. Sem se zachází nezávisle na řešení scénáře přidání nebo změny mapování entit v existujícím analytickém pravidlu.
Důležité
- Důležité informace o zpětné kompatibilitě a rozdílechmezich
- Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Jak mapovat entity
Na portálu zadejte stránku Analýza , přes kterou přistupujete k Microsoft Sentinelu:
V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.
Vyberte pravidlo naplánovaného dotazu a v podokně podrobností vyberte Upravit . Nebo můžete vytvořit nové pravidlo kliknutím na vytvořit > pravidlo naplánovaného dotazu v horní části obrazovky.
Vyberte kartu Nastavit logiku pravidla. Pokud nové pravidlo, zadejte dotaz do okna dotazu pravidla.
V části Vylepšení výstrahy rozbalte mapování entit.
V nově rozbalené části Mapování entit vyberte Přidat novou entitu.
V rozevíracím seznamu Entita vyberte typ entity.
Vyberte identifikátor entity. Identifikátory jsou atributy entity, které ji mohou dostatečně identifikovat. Zvolte jedno z rozevíracího seznamu Identifikátor a pak v rozevíracím seznamu Hodnota zvolte datové pole, které bude odpovídat identifikátoru. S některými výjimkami je seznam hodnot naplněn datovými poli v tabulce definované jako předmět dotazu pravidla.
Pro mapování dané entity můžete definovat až tři identifikátory . Některé identifikátory jsou povinné, jiné jsou volitelné. Musíte zvolit alespoň jeden požadovaný identifikátor. Pokud ne, zobrazí se zpráva s upozorněním, které identifikátory jsou povinné. Nejlepších výsledků – pro maximální jedinečnou identifikaci – byste měli použít silné identifikátory , kdykoli je to možné, a použití více silných identifikátorů umožní větší korelaci mezi zdroji dat. Podívejte se na úplný seznam dostupných entit a identifikátorů.
Pokud chcete namapovat další entity, vyberte Přidat novou entitu . V jednom analytickém pravidlu můžete definovat až deset mapování entit. Můžete také mapovat více než jeden ze stejného typu. Můžete například namapovat dvě entity IP adres, jednu z pole zdrojové IP adresy a jednu z pole cílové IP adresy. Tímto způsobem je můžete sledovat oba.
Pokud si to rozmyslíte nebo uděláte chybu, můžete mapování entit odebrat kliknutím na ikonu koše vedle rozevíracího seznamu entit.
Po dokončení mapování entit klikněte na kartu Revize a vytvoření . Po úspěšném ověření pravidla klikněte na Uložit.
Poznámka:
V jediném upozornění je možné společně identifikovat až 500 entit , rovnoměrně rozdělených napříč všemi mapováními entit definovanými v pravidle.
- Pokud jsou například v pravidle definovány dvě mapování entit, může každé mapování identifikovat až 250 entit; pokud je definováno pět mapování, může každý z nich identifikovat až 100 entit atd.
- Více mapování jednoho typu entity (například zdrojová IP adresa a cílová IP adresa) každý počet zvlášť.
- Pokud výstraha obsahuje položky nad tímto limitem, nebudou tyto nadbytečné položky rozpoznány a extrahovány jako entity.
Limit velikosti pro celou oblast entit výstrahy (pole Entity) je 64 kB.
- Pole entit větší než 64 kB budou zkrácena. Jak jsou entity identifikovány, přidají se do výstrahy o jednu po druhé, dokud velikost pole nedosáhne 64 kB a všechny entity, které ještě nebyly identifikovány, se z výstrahy zahodí.
Poznámky k nové verzi
Vzhledem k tomu, že nová verze je nyní obecně dostupná (GA), alternativní řešení příznaku funkcí pro použití staré verze už není k dispozici.
Pokud jste dříve nadefinovali mapování entit pro toto analytické pravidlo pomocí staré verze, automaticky se převedou na novou verzi.
Další kroky
V tomto dokumentu jste zjistili, jak mapovat datová pole na entity v analytických pravidlech Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích:
- Prozkoumejte další způsoby, jak rozšířit upozornění:
- Získejte úplný obrázek o pravidlech analýzy naplánovaných dotazů.
- Přečtěte si další informace o entitách v Microsoft Sentinelu.