Prozkoumání entit

  • 7 min

Když se do Microsoft Sentinelu odesílají výstrahy, zahrnují datové prvky, které Microsoft Sentinel identifikuje a klasifikuje jako entity, jako jsou uživatelské účty, hostitelé, IP adresy a další. Při příležitosti může být tato identifikace výzvou, pokud výstraha neobsahuje dostatečné informace o entitě.

Uživatelské účty lze například identifikovat více než jedním způsobem: pomocí číselného identifikátoru (GUID) účtu Microsoft Entra nebo jeho hlavního názvu uživatele (UPN) nebo případně pomocí kombinace jeho uživatelského jména a názvu domény NT. Různé zdroje dat můžou identifikovat stejného uživatele různými způsoby. Pokud je to možné, Microsoft Sentinel tyto identifikátory sloučí do jedné entity, aby bylo možné je správně identifikovat.

Může se ale stát, že jeden z vašich poskytovatelů prostředků vytvoří výstrahu, ve které entita není dostatečně identifikována – například uživatelské jméno bez kontextu názvu domény. V takovém případě nelze entitu uživatele sloučit s jinými instancemi stejného uživatelského účtu, které by byly identifikovány jako samostatná entita, a tyto dvě entity by zůstaly oddělené místo sjednocené.

Pokud chcete minimalizovat riziko tohoto výskytu, měli byste ověřit, že všichni poskytovatelé výstrah správně identifikují entity v výstrahách, které vytvoří. Kromě toho synchronizace entit uživatelského účtu s Microsoft Entra ID může vytvořit sjednocení adresáře, který bude moci sloučit entity uživatelských účtů.

V Microsoft Sentinelu jsou aktuálně identifikovány následující typy entit:

  • Uživatelský účet (účet)

  • Hostitelský počítač

  • IP adresa (IP)

  • Malware

  • Soubor

  • Zpracovat

  • Cloudová aplikace (CloudApplication)

  • Název domény (DNS)

  • Prostředek Azure

  • Soubor (FileHash)

  • Klíč registru

  • Hodnota registru

  • Skupina zabezpečení

  • Adresa URL

  • Zařízení IoT

  • Poštovní schránka

  • Poštovní cluster

  • Mail message

  • Odeslání e-mailu

Stránky entit

Když při hledání, upozornění nebo vyšetřování narazíte na libovolnou entitu (aktuálně omezená na uživatele a hostitele), můžete tuto entitu vybrat a dostat se na stránku entity, datový list plný užitečných informací o této entitě. Typy informací, které najdete na této stránce, zahrnují základní fakta o entitě, časovou osu událostí souvisejících s touto entitou a přehledy o chování entity.

Stránky entit se skládají ze tří částí:

  • Na levém panelu najdete identifikační informace entity shromážděné ze zdrojů dat, jako je Microsoft Entra ID, Azure Monitor, Microsoft Defender for Cloud a XDR v programu Microsoft Defender.

  • Na prostředním panelu se zobrazuje grafická a textová časová osa událostí souvisejících s entitou, jako jsou upozornění, záložky a aktivity. Aktivity jsou agregace náhonných událostí z Log Analytics. Dotazy, které tyto aktivity detekují, vyvíjejí týmy microsoftu pro výzkum zabezpečení.

  • Na pravém panelu se zobrazí přehledy chování entity. Tyto přehledy pomáhají rychle identifikovat anomálie a bezpečnostní hrozby. Přehledy jsou vyvíjeny týmy pro výzkum zabezpečení Microsoftu a jsou založené na modelech detekce anomálií.

Časová osa

Snímek obrazovky s časovou osou chování entity

Časová osa je hlavní součástí příspěvku stránky entity k analýze chování v Microsoft Sentinelu. Představuje příběh o událostech souvisejících s entitou a pomáhá pochopit aktivitu entity v určitém časovém rámci.

Můžete zvolit časový rozsah z několika přednastavených možností (například posledních 24 hodin) nebo ho nastavit na libovolný vlastní časový rámec. Kromě toho můžete nastavit filtry, které omezují informace na časové ose na konkrétní typy událostí nebo upozornění.

Na časové ose jsou zahrnuty následující typy položek:

Výstrahy – všechny výstrahy, ve kterých je entita definována jako mapovaná entita. Pokud vaše organizace vytvořila vlastní upozornění pomocí analytických pravidel, měli byste se ujistit, že mapování entit pravidel probíhá správně.

Záložky – všechny záložky, které obsahují konkrétní entitu zobrazenou na stránce.

Aktivity – agregace neschůdných událostí týkajících se entity.

Entity Insights

Přehledy entit jsou dotazy definované odborníky v oblasti zabezpečení Microsoftu, které pomáhají analytikům efektivněji a efektivněji zkoumat. Přehledy jsou prezentovány jako součást stránky entity a poskytují cenné informace o zabezpečení hostitelů a uživatelů ve formě tabulkových dat a grafů. Když budete mít informace, znamená to, že nemusíte objíždět log Analytics. Mezi přehledy patří data týkající se přihlášení, sčítání skupin, neobvyklých událostí a dalších funkcí a zahrnují pokročilé algoritmy ML pro detekci neobvyklého chování. Přehledy jsou založené na následujících datových typech:

  • Syslog

  • SecurityEvent

  • Protokoly auditu

  • Protokoly přihlášení

  • Aktivita Office

  • BehaviorAnalytics (UEBA)