Strony jednostek w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Jeśli napotkasz konto użytkownika, nazwę hosta, adres IP lub zasób platformy Azure w ramach badania zdarzeń, możesz zdecydować, że chcesz dowiedzieć się więcej o nim. Na przykład możesz chcieć znać historię działań, niezależnie od tego, czy jest ona wyświetlana w innych alertach lub zdarzeniach, czy to robi coś nieoczekiwanego, czy poza znakiem itd. Krótko mówiąc, potrzebujesz informacji, które mogą pomóc w ustaleniu, jakiego rodzaju zagrożenie reprezentują te jednostki i odpowiednio przeprowadzą badanie.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Strony jednostek

W takich sytuacjach możesz wybrać jednostkę (będzie ona wyświetlana jako link do kliknięcia) i zostać przeniesiona na stronę jednostki— arkusz danych pełen przydatnych informacji o tej jednostce. Możesz również uzyskać stronę jednostki, wyszukując bezpośrednio jednostki na stronie zachowania jednostki usługi Microsoft Sentinel. Typy informacji, które znajdziesz na stronach jednostek, obejmują podstawowe fakty dotyczące jednostki, oś czasu godnych uwagi zdarzeń związanych z tą jednostką i szczegółowe informacje o zachowaniu jednostki.

W szczególności strony jednostek składają się z trzech części:

• Panel po lewej stronie zawiera informacje identyfikujące jednostkę, zbierane ze źródeł danych, takich jak Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender dla Chmury, CEF/Syslog i Microsoft Defender XDR (ze wszystkimi składnikami).

• Na panelu środkowym jest wyświetlana graficzna i tekstowa oś czasu istotnych zdarzeń związanych z jednostką, takich jak alerty, zakładki, anomalie i działania. Działania to agregacje istotnych zdarzeń z usługi Log Analytics. Zapytania, które wykrywają te działania, są opracowywane przez zespoły badawcze ds. zabezpieczeń firmy Microsoft i można teraz dodawać własne zapytania niestandardowe, aby wykrywać wybrane działania .

• Panel po prawej stronie przedstawia szczegółowe informacje behawioralne dotyczące jednostki. Te szczegółowe informacje są stale opracowywane przez zespoły badawcze ds. zabezpieczeń firmy Microsoft. Są one oparte na różnych źródłach danych i zapewniają kontekst dla jednostki i obserwowanych działań, ułatwiając szybkie identyfikowanie nietypowych zachowań i zagrożeń bezpieczeństwa.

Jeśli badasz zdarzenie przy użyciu nowego środowiska badania, zobaczysz panelizowaną wersję strony jednostki bezpośrednio na stronie szczegółów zdarzenia. Masz listę wszystkich jednostek w danym zdarzeniu i wybranie jednostki otwiera panel boczny z trzema "kartami" — Informacje, Oś czasu i Szczegółowe informacje — pokazując wszystkie te same informacje opisane powyżej, w określonym przedziale czasu odpowiadającym alertom w zdarzeniu.

Jeśli używasz usługi Microsoft Sentinel w portalu usługi Defender, na karcie Zdarzenia usługi Defender na karcie zdarzeń usługi Defender są wyświetlane panele osi czasu i szczegółowych informacji.

Witryna Azure Portal

Portal usługi Defender

Oś czasu

Witryna Azure Portal

Oś czasu jest główną częścią udziału strony jednostki w analizie zachowań w usłudze Microsoft Sentinel. Przedstawia on historię o zdarzeniach związanych z jednostkami, pomagając zrozumieć działanie jednostki w określonym przedziale czasu.

Możesz wybrać zakres czasu spośród kilku wstępnie ustawionych opcji (takich jak ostatnie 24 godziny) lub ustawić go na dowolny niestandardowy przedział czasu. Ponadto można ustawić filtry, które ograniczają informacje na osi czasu do określonych typów zdarzeń lub alertów.

Na osi czasu znajdują się następujące typy elementów.

• Alerty: wszelkie alerty, w których jednostka jest zdefiniowana jako zamapowana jednostka. Należy pamiętać, że jeśli organizacja utworzyła niestandardowe alerty przy użyciu reguł analizy, upewnij się, że mapowanie jednostek reguł jest wykonywane prawidłowo.

• Zakładki: wszystkie zakładki zawierające konkretną jednostkę wyświetlaną na stronie.

• Anomalie: wykrywanie UEBA oparte na dynamicznych punktach odniesienia utworzonych dla każdej jednostki w różnych danych wejściowych i w odniesieniu do własnych działań historycznych, ich elementów równorzędnych i wszystkich organizacji.

• Działania: agregacja godnych uwagi zdarzeń odnoszących się do jednostki. Wiele działań jest zbieranych automatycznie, a teraz możesz dostosować tę sekcję, dodając własne działania .

Portal usługi Defender

Oś czasu na karcie Zdarzenia usługi Sentinel dodaje główną część udziału strony jednostki w analizie zachowań w portalu usługi Defender. Przedstawia on historię o zdarzeniach związanych z jednostkami, pomagając zrozumieć działanie jednostki w określonym przedziale czasu.

W szczególności na osi czasu zdarzeń usługi Sentinel zostaną wyświetlone alerty i zdarzenia ze źródeł innych firm zebrane tylko przez usługę Microsoft Sentinel, takie jak dziennik syslog/CEF i dzienniki niestandardowe pozyskane za pośrednictwem agenta usługi Azure Monitor lub łączników niestandardowych.

Na osi czasu znajdują się następujące typy elementów.

• Alerty: wszelkie alerty, w których jednostka jest zdefiniowana jako zamapowana jednostka. Należy pamiętać, że jeśli organizacja utworzyła niestandardowe alerty przy użyciu reguł analizy, upewnij się, że mapowanie jednostek reguł jest wykonywane prawidłowo.

• Zakładki: wszystkie zakładki zawierające konkretną jednostkę wyświetlaną na stronie.

• Anomalie: wykrywanie UEBA oparte na dynamicznych punktach odniesienia utworzonych dla każdej jednostki w różnych danych wejściowych i w odniesieniu do własnych działań historycznych, ich elementów równorzędnych i wszystkich organizacji.

• Działania: agregacja godnych uwagi zdarzeń odnoszących się do jednostki. Wiele działań jest zbieranych automatycznie, a teraz możesz dostosować tę sekcję, dodając własne działania .

Na tej osi czasu są wyświetlane informacje z ostatnich 24 godzin. Ten okres nie jest obecnie regulowany.

Szczegółowe informacje o jednostkach

Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, aby pomóc analitykom w bardziej wydajnym i efektywnym zbadaniu. Szczegółowe informacje są prezentowane jako część strony jednostki i zapewniają cenne informacje o zabezpieczeniach na hostach i użytkownikach w postaci tabelarycznych danych i wykresów. Posiadanie informacji w tym miejscu oznacza, że nie musisz objazdać do usługi Log Analytics. Szczegółowe informacje obejmują dane dotyczące logowania, dodawania grup, nietypowych zdarzeń i nie tylko oraz zawierają zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowych zachowań.

Szczegółowe informacje są oparte na następujących źródłach danych:

• Dziennik systemowy (Linux)
• SecurityEvent (Windows)
• AuditLogs (Microsoft Entra ID)
• SigninLogs (Microsoft Entra ID)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Puls (agent usługi Azure Monitor)
• CommonSecurityLog (Microsoft Sentinel)

Ogólnie rzecz biorąc, każda analiza jednostki wyświetlana na stronie jednostki jest dołączona przez łącze, które spowoduje przejście do strony, na której jest wyświetlane zapytanie będące podstawą szczegółowych informacji, wraz z wynikami, aby można było dokładniej zbadać wyniki.

• W usłudze Microsoft Sentinel w witrynie Azure Portal link spowoduje przejście do strony Dzienniki .
• W portalu usługi Microsoft Defender link spowoduje przejście do strony Zaawansowane wyszukiwanie zagrożeń .

Jak używać stron jednostek

Strony jednostek są przeznaczone do obsługi wielu scenariuszy użycia i mogą być dostępne z zarządzania zdarzeniami, wykresu badania, zakładek lub bezpośrednio ze strony wyszukiwania jednostek w obszarze Zachowanie jednostki w menu głównym usługi Microsoft Sentinel.

Informacje o stronie jednostki są przechowywane w tabeli BehaviorAnalytics opisanej szczegółowo w dokumentacji analizy UEBA usługi Microsoft Sentinel.

Obsługiwane strony jednostek

Usługa Microsoft Sentinel obecnie oferuje następujące strony jednostek:

• Konto użytkownika

• Gospodarz

• Adres IP (wersja zapoznawcza)

  Uwaga

  Strona jednostki adresu IP (teraz w wersji zapoznawczej) zawiera dane geolokalizacji dostarczone przez usługę Microsoft Threat Intelligence. Ta usługa łączy dane geolokalizacji od rozwiązań firmy Microsoft i innych dostawców i partnerów. Dane są następnie dostępne do analizy i badania w kontekście zdarzenia zabezpieczeń. Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza).

• Zasób platformy Azure (wersja zapoznawcza)

• Urządzenie IoT (wersja zapoznawcza) — na razie tylko w usłudze Microsoft Sentinel w witrynie Azure Portal.

Następne kroki

W tym dokumencie przedstawiono informacje o uzyskiwaniu informacji o jednostkach w usłudze Microsoft Sentinel przy użyciu stron jednostek. Aby uzyskać więcej informacji o jednostkach i sposobie ich używania, zobacz następujące artykuły:

• Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel.
• Dostosowywanie działań na osiach czasu strony jednostki.
• Identyfikowanie zaawansowanych zagrożeń za pomocą analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel
• Włącz analizę zachowań jednostek w usłudze Microsoft Sentinel.
• Wyszukiwanie zagrożeń bezpieczeństwa.