Entidades no Microsoft Sentinel
Quando os alertas são enviados ou gerados pelo Microsoft Sentinel, eles contêm elementos de dados que o Sentinel pode reconhecer e classificar em categorias como entidades. Quando o Microsoft Sentinel entende que tipo de entidade um determinado elemento de dados representa, ele sabe as perguntas certas a serem feitas sobre ele e pode comparar os insights sobre ele em todas as fontes de dados, além de rastreá-lo facilmente e consultá-lo em toda a experiência do Sentinel, ou seja, na análise, na investigação, na correção, na busca e assim por diante. Alguns exemplos comuns de entidades são contas de usuário, hosts, caixas de correio, endereços IP, arquivos, aplicativos em nuvem, processos e URLs.
Importante
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
No portal do Microsoft Defender, as entidades geralmente se enquadram em duas categorias principais:
Categoria da entidade | Caracterização | Exemplos principais |
---|---|---|
Ativos | ||
Outras entidades (evidência) |
Identificadores de entidade
O Microsoft Sentinel suporta uma ampla variedade de tipos de entidade. Cada tipo conta com os próprios atributos exclusivos, que são representados como campos no esquema da entidade e são chamados de identificadores. Confira abaixo a lista completa de entidades com suporte. Também é possível conferir o conjunto completo de esquemas e identificadores de entidade na referência de tipos de entidade do Microsoft Sentinel.
Identificadores fortes e fracos
Para cada tipo de entidade existem campos, ou conjuntos de campos, que podem identificar instâncias específicas dessa entidade. Esses campos (ou conjuntos de campos) podem ser chamados de identificadores fortes, se puderem identificar exclusivamente uma entidade sem nenhuma ambiguidade, ou de identificadores fracos, se puderem identificar uma entidade em algumas circunstâncias, mas não houver garantia de identificar exclusivamente uma entidade em todos os casos possíveis. Em muitos casos, no entanto, uma seleção de identificadores fracos pode ser combinada para produzir um identificador forte.
Por exemplo, as contas de usuário podem ser identificadas como entidades da conta de mais de uma maneira: usando um único identificador forte, como o identificador numérico de uma conta do Microsoft Entra (o campo GUID) ou seu valor Nome da Entidade do Usuário (UPN), ou, como alternativa, usando uma combinação de identificadores fracos como seus campos Nome e NTDomain. Fontes de dados diferentes podem identificar o mesmo usuário de maneiras diferentes. Sempre que o Microsoft Sentinel encontra duas entidades que ele pode reconhecer como a mesma entidade com base em seus identificadores, ele mescla as duas entidades em apenas uma, para que possam ser gerenciadas de maneira adequada e consistente.
Se, no entanto, um dos provedores de recursos criar um alerta em que uma entidade não está suficientemente identificada (por exemplo, usando um único identificador fraco, como um nome de usuário sem o contexto do nome de domínio), a entidade do usuário não poderá ser mesclada com outras instâncias da mesma conta de usuário. Essas outras instâncias seriam identificadas como uma entidade separada e essas duas entidades permaneceriam separadas em vez de unificadas.
Para minimizar o risco dessa ocorrência, você deve verificar se todos os provedores de alertas identificam corretamente as entidades nos alertas produzidos. Além disso, sincronizar as entidades da conta do usuário com a ID do Microsoft Entra pode criar um diretório unificador, que poderá mesclar as entidades da conta do usuário.
Entidades com suporte
No momento, os seguintes tipos de entidades são identificados no Microsoft Sentinel:
- Conta
- Host
- Endereço IP
- URL
- Recursos do Azure
- Aplicativo de nuvem
- Resolução DNS
- Arquivo
- Hash do arquivo
- Malware
- Processo
- Chave do Registro
- Valor do Registro
- Grupo de segurança
- Caixa de Correio
- Cluster de e-mail
- Mensagem de e-mail
- E-mail de envio
Você pode ver os identificadores dessas entidades e outras informações relevantes na referência das entidades.
Mapeamento de entidade
Como o Microsoft Sentinel reconhece uma parte dos dados de um alerta como a identificação de uma entidade?
Vejamos como o processamento de dados é feito no Microsoft Sentinel. Os dados são ingeridos de diversas fontes por meio de conectores, sejam eles serviço a serviço, baseados em agente ou baseados em API. Os dados são armazenados em tabelas no seu workspace do Log Analytics. Essas tabelas são consultadas em intervalos regulares pelas regras de análise agendadas ou quase em tempo real que você definiu e habilitou, ou sob demanda como parte de consultas de busca quando você procura ameaças. Parte da definição dessas regras de análise e consultas de busca é o mapeamento de campos de dados nas tabelas para tipos de entidade reconhecidos pelo Microsoft Sentinel. De acordo com os mapeamentos definidos, o Microsoft Sentinel reconhecerá os campos dos resultados retornados pela consulta com base nos identificadores especificados para cada tipo de entidade e aplicará a eles o tipo de entidade indicado pelos identificadores.
Qual é o objetivo de tudo isso?
Quando o Microsoft Sentinel é capaz de identificar entidades em alertas de diferentes tipos de fontes de dados e, especialmente, quando é capaz de fazer isso usando identificadores sólidos comuns a cada fonte de dados ou a outro esquema, ele pode realizar a correlação fácil entre todos esses alertas e fontes de dados. Essas correlações ajudam a criar um armazenamento completo de informações e insights sobre as entidades, proporcionando uma base sólida e um contexto para investigar e responder a ameaças à segurança.
Saiba como mapear campos de dados para as entidades.
Saiba quais identificadores identificam fortemente uma entidade.
Páginas de entidade
Informações sobre páginas de entidade agora podem ser encontradas em Páginas de entidade no Microsoft Sentinel.
Próximas etapas
Neste documento, você aprendeu como trabalhar com entidades no Microsoft Sentinel. Para obter diretrizes práticas sobre implementação e usar os insights obtidos, confira os seguintes artigos:
- Habilitar a análise de comportamento de entidades no Microsoft Sentinel.
- Buscar por ameaças de segurança.