共用方式為

Microsoft Sentinel 中的實體

  • 發行項

警示傳送至 Microsoft Sentinel 或由 Microsoft Sentinel 產生時,會包含 Sentinel 可辨識並分類為實體的資料項目。 Microsoft Sentinel 瞭解特定資料項目所代表的實體類型時,會知道要對其詢問的正確問題,然後便可比較整個 Sentinel 體驗中有關該項目的深入解析,並輕鬆地追蹤,同時在整個 Sentinel 體驗 (分析、調查、補救、搜捕等) 中做為參考。 實體的一些常見範例包括使用者帳戶、主機、信箱、IP 位址、檔案、雲端應用程式、流程和 URL。

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

在 Microsoft Defender 入口網站中,實體通常分為兩個主要類別:

實體類別 特徵 主要範例
資產
  • 內部物件
  • 受保護的物件
  • 已清查的物件
    		•
  • 帳戶 (使用者)
  • 主機 (裝置)
  • 信箱
  • Azure 資源
    		•
    其他實體
    (辨識項)
  • 外部項目
  • 不在控制項中
  • 入侵指標
    		•
  • IP 位址
  • 檔案
  • 程序
  • URL
    		•

    實體識別碼

    Microsoft Sentinel 支援各種不同的實體類型。 每個類型都有自己的唯一屬性,這些屬性會以實體結構描述中的欄位表示,並稱為識別碼。 請參閱下方將支援的實體列出的完整清單,以及 Microsoft Sentinel 實體類型參考中的完整實體結構描述和識別碼集。

    強和弱識別碼

    針對每種實體類型,都有欄位或欄位集可以識別該實體的特定執行個體。 如果這些欄位或欄位集可以明確地唯一識別實體,則可以稱為強識別碼;如果在某些情況下可以識別實體,但不保證在所有情況下都能唯一識別實體,則可以稱為弱識別碼。 不過,在許多情況下,可以合併使用數個弱識別碼來產生強識別碼。

    例如,使用者帳戶可以透過多個方式識別為帳戶實體:使用單一強識別碼,例如 Microsoft Entra 帳戶的數值識別碼 (GUID 欄位),或使用其使用者主體名稱 (UPN) 值,或者使用多個弱識別碼的組合,例如其 NameNTDomain 欄位。 不同的資料來源可以用不同的方式來識別相同的使用者。 每當 Microsoft Sentinel 發現兩個實體可以根據其識別碼辨識為相同的實體時,就會將這兩個實體合併成單一實體,以便正確且一致地處理。

    不過,如果其中一個資源提供者建立警示,且警示中有實體尚未充分識別 (例如只使用單一弱識別碼,例如沒有功能變數名稱內容的使用者名稱),則使用者實體無法與相同使用者帳戶的其他執行個體合併。 這些其他的執行個體將會識別為區隔的實體,而這兩個實體會維持區隔而非整合。

    為了將發生這類情況的風險降至最低,您應該確認所有警示提供者都能正確地識別其產生警示中的實體。 此外,與 Microsoft Entra ID 同步處理使用者帳戶實體,可能會產生整合的目錄,其能夠合併使用者帳戶實體。

    支援的實體

    以下是目前在 Microsoft Sentinel 中識別的實體類型:

    您可以在實體參考中檢視這些實體的識別碼和其他相關資訊。

    實體對應

    Microsoft Sentinel 如何將警示中的資料片段辨識為識別實體?

    讓我們看看如何在 Microsoft Sentinel 中完成資料處理。 資料會透過連接器從各種來源擷取,無論是服務對服務、代理程式型或 API 型。 資料會儲存在 Log Analytics 工作區中的資料表中。 您搜捕威脅時,這些資料表會依排程或近乎即時的分析規則定期查詢,或隨選搜捕查詢。 這些分析規則和搜捕查詢定義中的一部分,是資料表中的資料欄位對應於 Microsoft Sentinel 所辨識的實體類型。 根據您定義的對應,Microsoft Sentinel 會從查詢所傳回的結果取得欄位、依您為每個實體類型指定的識別碼加以辨識,並套用至這些識別碼所識別的實體類型。

    這些動作的目的是什麼?

    當 Microsoft Sentinel 能夠識別來自不同資料來源類型之警示中的實體,特別是當可以使用每個資料來源或其他結構描述通用的強識別碼時,就可以輕鬆地與全部這些警示和資料來源相互關聯。 這些相互關聯有助於在實體上建置豐富的資訊和深入解析存放區,讓您擁有調查和回應安全威脅的穩固基礎和脈絡。

    瞭解如何將資料欄位對應至實體

    瞭解哪些識別碼會強識別實體

    實體頁面

    現在,您可以在 Microsoft Sentinel 中的實體頁面找到實體頁面的相關資訊。

    下一步

    在本文件中,您已瞭解如何在 Microsoft Sentinel 中使用實體。 如需實作的實用指導,以及使用您取得的見解,請參閱下列文章: