Mapowanie pól danych na jednostki w usłudze Microsoft Sentinel
Mapowanie jednostek jest integralną częścią konfiguracji zaplanowanych reguł analizy. Wzbogaca on dane wyjściowe reguł (alerty i zdarzenia) o podstawowe informacje, które służą jako bloki konstrukcyjne wszelkich procesów śledczych i działań naprawczych, które następują.
Poniższa procedura jest częścią kreatora tworzenia reguł analizy. Jest ona traktowana niezależnie od scenariusza dodawania lub zmieniania mapowań jednostek w istniejącej regule analizy.
Ważne
- Zobacz "Uwagi dotyczące nowej wersji" na końcu tego dokumentu, aby uzyskać ważne informacje na temat zgodności z poprzednimi wersjami i różnic między nowymi i starymi wersjami mapowania jednostek.
- Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Jak mapować jednostki
Wprowadź stronę Analiza w portalu, za pomocą której uzyskujesz dostęp do usługi Microsoft Sentinel:
W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.
Wybierz regułę zaplanowanego zapytania i wybierz pozycję Edytuj w okienku szczegółów. Możesz też utworzyć nową regułę, klikając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.
Wybierz kartę Ustaw logikę reguły. Jeśli nowa reguła, wpisz zapytanie w oknie Zapytanie reguły.
W sekcji Ulepszenia alertu rozwiń węzeł Mapowanie jednostek.
W teraz rozwiniętej sekcji Mapowanie jednostek wybierz pozycję Dodaj nową jednostkę.
Wybierz typ jednostki z listy rozwijanej Jednostka .
Wybierz identyfikator jednostki. Identyfikatory to atrybuty jednostki, która może wystarczająco ją zidentyfikować. Wybierz jedno z listy rozwijanej Identyfikator , a następnie wybierz pole danych z listy rozwijanej Wartość , która będzie odpowiadać identyfikatorowi. Z pewnymi wyjątkami lista Wartość jest wypełniana przez pola danych w tabeli zdefiniowane jako temat zapytania reguły.
Można zdefiniować maksymalnie trzy identyfikatory dla danego mapowania jednostki. Niektóre identyfikatory są wymagane, inne są opcjonalne. Musisz wybrać co najmniej jeden wymagany identyfikator. Jeśli tego nie zrobisz, zostanie wyświetlony komunikat ostrzegawczy informujący o tym, które identyfikatory są wymagane. Aby uzyskać najlepsze wyniki — w celu uzyskania maksymalnej unikatowej identyfikacji — należy używać silnych identyfikatorów zawsze wtedy, gdy jest to możliwe, a użycie wielu silnych identyfikatorów umożliwi większą korelację między źródłami danych. Zobacz pełną listę dostępnych jednostek i identyfikatorów.
Wybierz pozycję Dodaj nową jednostkę , aby zamapować więcej jednostek. W jednej regule analizy można zdefiniować maksymalnie dziesięć mapowań jednostek. Można również mapować więcej niż jeden z tego samego typu. Można na przykład mapować dwie jednostki IP— jedną z pola źródłowego adresu IP i jedną z docelowego pola adresu IP. W ten sposób można śledzić oba te elementy.
Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć mapowanie jednostek, klikając ikonę kosza obok listy rozwijanej jednostki.
Po zakończeniu mapowania jednostek kliknij kartę Przeglądanie i tworzenie . Po pomyślnym zakończeniu walidacji reguły kliknij przycisk Zapisz.
Uwaga
Łącznie można zidentyfikować maksymalnie 500 jednostek w jednym alercie podzielonym równomiernie na wszystkie mapowania jednostek zdefiniowane w regule.
- Na przykład jeśli w regule zdefiniowano dwa mapowania jednostek, każde mapowanie może identyfikować maksymalnie 250 jednostek; Jeśli zdefiniowano pięć mapowań, każdy z nich może zidentyfikować maksymalnie 100 jednostek itd.
- Wiele mapowań pojedynczego typu jednostki (na przykład źródłowego adresu IP i docelowego adresu IP) każda liczba jest oddzielnie.
- Jeśli alert zawiera elementy przekraczające ten limit, te nadmiarowe elementy nie zostaną rozpoznane i wyodrębnione jako jednostki.
Limit rozmiaru dla całego obszaru jednostek alertu ( pole Jednostki ) wynosi 64 KB.
- Pola jednostek , które rosną powyżej 64 KB, zostaną obcięte. W miarę identyfikowania jednostek są one dodawane do alertu jeden po drugim, dopóki rozmiar pola nie osiągnie 64 KB, a wszystkie jednostki, które jeszcze niezidentyfikowane zostaną usunięte z alertu.
Uwagi dotyczące nowej wersji
Ponieważ nowa wersja jest teraz ogólnie dostępna ,obejście flagi funkcji do korzystania ze starej wersji nie jest już dostępne.
Jeśli wcześniej zdefiniowano mapowania jednostek dla tej reguły analizy przy użyciu starej wersji, zostaną one automatycznie przekonwertowane na nową wersję.
Następne kroki
W tym dokumencie przedstawiono sposób mapowania pól danych na jednostki w regułach analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Zapoznaj się z innymi sposobami wzbogacania alertów:
- Uzyskaj pełny obraz dla zaplanowanych reguł analizy zapytań.
- Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel.