Entitäten in Microsoft Sentinel
Wenn Warnungen an Microsoft Sentinel gesendet oder von Microsoft Sentinel generiert werden, enthalten sie Datenelemente, die Sentinel erkennen und in Kategorien wie Entitäten einordnen kann. Wenn Microsoft Sentinel versteht, welche Art von Entität ein bestimmtes Datenelement darstellt, kennt Sentinel die richtigen Fragen, die es dazu gestellt werden müssen, und kann dann Erkenntnisse zu diesem Element über die gesamte Bandbreite von Datenquellen hinweg vergleichen, leicht nachverfolgen und während der gesamten Sentinel-Erfahrung darauf verweisen: Analysen, Untersuchungen, Abhilfemaßnahmen, Hunting usw. Einige häufige Beispiele für Entitäten sind Benutzerkonten, Hosts, Postfächer, IP-Adressen, Dateien, Cloudanwendungen, Prozesse und URLs.
Wichtig
Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Im Microsoft Defender-Portal fallen Entitäten in der Regel in zwei Hauptkategorien:
Entitätskategorie | Eigenschaften | Hauptbeispiele |
---|---|---|
Objekte | ||
Andere Entitäten (Beweise) |
Entitätsbezeichner
Microsoft Sentinel unterstützt eine Vielzahl von Entitätstypen. Jeder Typ verfügt über eigene eindeutige Attribute, die als Felder im Entitätsschema dargestellt werden und Bezeichner aufgerufen werden. Die vollständige Liste der unterstützten Entitäten finden Sie weiter unten, und den vollständigen Satz von Entitätsschemata und Identifikatoren finden Sie in der Microsoft Sentinel Entitätstypen-Referenz.
Starke und schwache Bezeichner
Für jeden Entitätstyp gibt es Felder oder Sätze von Feldern, die bestimmte Instanzen dieser Entität identifizieren können. Diese Felder oder Gruppen von Feldern können als starke Bezeichner bezeichnet werden, wenn sie eine Entität eindeutig identifizieren können, oder als schwache Bezeichner, wenn sie eine Entität unter bestimmten Umständen identifizieren können, aber nicht garantiert wird, dass sie eine Entität in allen Fällen eindeutig identifizieren. In vielen Fällen kann jedoch eine Auswahl von schwachen Bezeichnern kombiniert werden, um einen starken Bezeichner zu erhalten.
Benutzerkonten können beispielsweise als Konto-Entitäten auf mehr als eine Weise identifiziert werden: über einen einzelnen starken Bezeichner wie den numerischen Bezeichner eines Microsoft Entra-Kontos (das Feld GUID) oder ihren Wert für den Benutzerprinzipalnamen (User Principal Name, UPN) oder alternativ über eine Kombination von schwachen Bezeichnern, z. B. ihre Felder Name und NTDomain. Verschiedene Datenquellen können denselben Benutzer auf unterschiedliche Weise identifizieren. Wenn Microsoft Sentinel auf zwei Entitäten stößt, die anhand ihrer Bezeichner als dieselbe Entität erkannt werden können, führt Sentinel die beiden Entitäten in einer einzigen Entität zusammen, damit diese ordnungsgemäß und konsistent behandelt werden kann.
Wenn jedoch einer Ihrer Ressourcenanbieter eine Warnung erstellt, in der eine Entität nicht ausreichend identifiziert ist (z. B. durch Verwendung nur eines einzelnen schwachen Bezeichners wie eines Benutzernamens ohne den Kontext des Domänennamens), dann kann die Benutzerentität nicht mit anderen Instanzen desselben Benutzerkontos gemergt werden. Diese anderen Instanzen würden als separate Entitäten identifiziert, und diese beiden Entitäten bleiben getrennt, anstatt vereinheitlicht zu werden.
Sie sollten sich vergewissern, dass alle Ihre Anbieter von Warnungen die Entitäten in den von ihnen erstellten Warnungen richtig identifizieren, um das Risiko eines solchen Ereignisses zu minimieren. Zusätzlich kann die Synchronisierung von Benutzerkontoentitäten mit Microsoft Entra ID ein vereinigendes Verzeichnis erstellen, das in der Lage ist, Benutzerkontoentitäten zusammenzuführen.
Unterstützte Entitäten
Die folgenden Arten von Entitäten werden derzeit in Microsoft Sentinel identifiziert:
- Konto
- Host
- IP-Adresse
- URL
- Azure-Ressource
- Cloudanwendung
- DNS-Auflösung
- Datei
- Dateihash
- Malware
- Prozess
- Registrierungsschlüssel
- Registrierungswert
- Sicherheitsgruppe
- Postfach
- E-Mail-Cluster
- Übermittlungs-E-Mail
Sie können die Bezeichner dieser Entitäten und andere relevante Informationen in der Entitätenreferenz einsehen.
Entitätszuordnung
Wie erkennt Microsoft Sentinel ein Datenelement in einer Warnung als Identifizierung einer Entität?
Sehen wir uns an, wie die Datenverarbeitung in Microsoft Sentinel erfolgt. Daten werden aus verschiedenen Quellen über Connectorsaufgenommen, unabhängig davon, ob Dienst-zu-Dienst, agentbasiert oder API-basiert. Die Daten werden in Tabellen in Ihrem Log Analytics Arbeitsbereich gespeichert. Diese Tabellen werden in regelmäßigen Abständen durch die geplanten oder nahezu echtzeitbasierten Analyseregeln abgefragt, die Sie definiert und aktiviert haben, oder bei Bedarf als Teil der Suchabfragen, wenn Sie nach Bedrohungen suchen. Ein Teil der Definition dieser Analyseregeln und Suchabfragen ist die Zuordnung von Datenfeldern in den Tabellen zu Entitätstypen, die von Microsoft Sentinel erkannt werden. Gemäß den Zuordnungen, die Sie definieren, verwendet Microsoft Sentinel Felder aus den von Ihrer Abfrage zurückgegebenen Ergebnissen, erkennt sie anhand der Bezeichner, die Sie für jeden Entitätstyp angegeben haben, und wendet auf sie den durch diese Bezeichner identifizierten Entitätstyp an.
Wozu das alles?
Wenn Microsoft Sentinel in der Lage ist, Entitäten in Warnungen aus verschiedenen Arten von Datenquellen zu identifizieren, und vor allem, wenn dies mit starken Bezeichnern erfolgen kann, die jeder Datenquelle oder einem anderen Schema gemeinsam sind, kann Sentinel dann leicht zwischen all diesen Warnungen und Datenquellen eine Korrelation herstellen. Diese Korrelationen helfen dabei, einen umfassenden Informationsspeicher und Einblicke in die Entitäten zu schaffen, sodass Sie eine solide Grundlage und einen soliden Kontext für die Untersuchung und Reaktion auf Sicherheitsbedrohungen erhalten.
Erfahren Sie, wie Sie Datenfelder Entitäten zuordnen.
Erfahren Sie, welche Bezeichner eine Entität stark identifizieren.
Entitätsseiten
Informationen zu Entitätsseiten finden Sie jetzt unter Entitätsseiten in Microsoft Sentinel.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie mit Entitäten in Microsoft Sentinel arbeiten. Eine praktische Anleitung zur Implementierung und zur Verwendung der gewonnenen Erkenntnisse finden Sie in den folgenden Artikeln:
- Aktivieren von User and Entity Behavior Analytics in Microsoft Sentinel
- Aufspüren von Sicherheitsbedrohungen