Изучение сущностей

  • 7 мин

Когда оповещения отправляются в Microsoft Sentinel, они содержат элементы данных, которые Microsoft Sentinel определяет и классифицирует как сущности, такие как учетные записи пользователей, узлы, IP-адреса и т. д. В некоторых случаях такая идентификация может оказаться сложной задачей, если оповещение не содержит достаточно сведений о сущности.

Например, учетные записи пользователей можно определить несколькими способами: с помощью числового идентификатора учетной записи Microsoft Entra или значения имени участника-пользователя (UPN) или с помощью сочетания имени пользователя и его доменного имени NT. Различные источники данных могут идентифицировать одного и того же пользователя по-разному. Таким образом, Microsoft Sentinel по возможности объединяет такие идентификаторы в единую сущность, чтобы обеспечить ее надлежащую идентификацию.

Однако это может произойти, если один из поставщиков ресурсов создает оповещение, в котором сущность недостаточно идентифицирована, например имя пользователя без контекста доменного имени. В этом случае сущность пользователя нельзя объединить с другими экземплярами той учетной записи пользователя, которая была идентифицирована как отдельная сущность, и эти две сущности останутся отдельными, а не единым целом.

Чтобы свести к минимуму риск возникновения такой ситуации, необходимо убедиться, что все поставщики оповещений правильно идентифицируют сущности в создаваемых ими оповещениях. Кроме того, синхронизация сущностей учетной записи пользователя с идентификатором Microsoft Entra может создать унифицированный каталог, который сможет объединить сущности учетной записи пользователя.

В Microsoft Sentinel в настоящее время идентифицированы указанные ниже типы сущностей.

  • Учетная запись пользователя (Account)

  • Хост

  • IP-адрес (IP)

  • Вредоносная программа

  • Файл

  • Обработка

  • Облачное приложение (CloudApplication)

  • Доменное имя (DNS)

  • Ресурс Azure

  • Файл (FileHash)

  • Раздел реестра

  • Значение реестра

  • Группа безопасности

  • URL

  • Устройство Интернета вещей

  • Почтовый ящик

  • Почтовый кластер

  • Mail message

  • Отправка почты

Страницы сущностей

При обнаружении сущности (в настоящее время ограничены пользователями и узлами) в ходе поиска, предупреждении или расследовании вы можете выбрать сущность и перенести ее на страницу сущностей, где представлена полная таблица с полезной информацией об этой сущности. На этой странице можно найти следующие сведения: основные сведения сущности, временная шкала значимых событий, связанных с этой сущностью, и полезные сведения о поведении сущности.

Страницы сущностей состоят из трех частей.

  • На левой панели содержатся сведения об идентификации сущности, собранные из источников данных, таких как Идентификатор Microsoft Entra, Azure Monitor, Microsoft Defender для облака и XDR в Microsoft Defender.

  • На центральной панели отображается графическая текстовая шкала для значимых событий, связанных с сущностью, таких как оповещения, закладки и действия. Действия — это агрегаты важных событий из Log Analytics. Запросы, которые обнаруживают эти действия, разрабатываются аналитиками безопасности Майкрософт.

  • На правой панели представлены полезные сведения о поведении сущности. Эти полезные сведения помогают быстро выявлять аномалии и угрозы безопасности. Полезные сведения разрабатываются аналитиками безопасности Майкрософт на основе моделей обнаружения аномалий.

Временная шкала

Screen shot of an Entity Behavior timeline.

Временная шкала является основным вкладом страницы сущности в аналитику поведения в Microsoft Sentinel. Это история событий, связанных с сущностями, которая помогает понять действия сущности в течение определенного промежутка времени.

Можно выбрать диапазон времени из нескольких предварительно заданных параметров (например, за последние 24 часа) или задать для него любой пользовательский интервал. Кроме того, можно задать фильтры, которые ограничивают данные на временной шкале конкретными типами событий или оповещений.

На временной шкале представлены следующие типы элементов.

Оповещения — все оповещения, в которых сущность определена как сопоставленная сущность. Обратите внимание, что если ваша организация создала настраиваемые оповещения с помощью правил аналитики, то следует убедиться, что сопоставление сущностей правил выполнено правильно.

Закладки — все закладки, которые содержат конкретную сущность, показанную на странице.

Действия — это агрегирование важных событий, связанных с сущностью.

Полезные сведения о сущностях

Полезные сведения о сущностях — это запросы, определяемые аналитиками безопасности Майкрософт, которые помогают им проводить расследования более эффективно. Аналитика представляется как часть страницы сущности и предоставляет ценные сведения о безопасности узлов и пользователей в виде табличных данных и диаграмм. Если здесь есть информация, то вам не нужно переходить в Log Analytics. Полезные сведения включают в себя данные о входах, добавлении групп, аномальных событиях и т. д., а также сложные алгоритмы машинного обучения для обнаружения аномального поведения. Полезные сведения содержат следующие типы данных.

  • Системный журнал

  • SecurityEvent

  • Журналы аудита

  • Журналы входов

  • Действия Office

  • Анализ поведения