Microsoft Sentinel 中的實體
警示傳送至 Microsoft Sentinel 或由 Microsoft Sentinel 產生時,會包含 Sentinel 可辨識並分類為實體的資料項目。 Microsoft Sentinel 瞭解特定資料項目所代表的實體類型時,會知道要對其詢問的正確問題,然後便可比較整個 Sentinel 體驗中有關該項目的深入解析,並輕鬆地追蹤,同時在整個 Sentinel 體驗 (分析、調查、補救、搜捕等) 中做為參考。 實體的一些常見範例包括使用者帳戶、主機、信箱、IP 位址、檔案、雲端應用程式、流程和 URL。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
在 Microsoft Defender 入口網站中,實體通常分為兩個主要類別:
實體類別 | 特徵 | 主要範例 |
---|---|---|
資產 | ||
其他實體 (辨識項) |
實體識別碼
Microsoft Sentinel 支援各種不同的實體類型。 每個類型都有自己的唯一屬性,這些屬性會以實體結構描述中的欄位表示,並稱為識別碼。 請參閱下方支持實體的完整清單,以及Microsoft Sentinel 實體類型參考中的完整實體架構和標識符集。
強和弱識別碼
針對每種實體類型,都有欄位或欄位集可以識別該實體的特定執行個體。 如果這些欄位或欄位集可以明確地唯一識別實體,則可以稱為強識別碼;如果在某些情況下可以識別實體,但不保證在所有情況下都能唯一識別實體,則可以稱為弱識別碼。 不過,在許多情況下,可以合併使用數個弱識別碼來產生強識別碼。
例如,用戶帳戶可以透過多種方式識別為帳戶實體:使用單一強標識符,例如Microsoft Entra 帳戶的數值標識元(GUID 欄位),或其用戶主體名稱 (UPN) 值,或者,使用弱標識符的組合,例如其 Name 和 NTDomain 字段。 不同的資料來源可以用不同的方式來識別相同的使用者。 每當 Microsoft Sentinel 發現兩個實體可以根據其識別碼辨識為相同的實體時,就會將這兩個實體合併成單一實體,以便正確且一致地處理。
不過,如果其中一個資源提供者建立警示,且警示中有實體尚未充分識別 (例如只使用單一弱識別碼,例如沒有功能變數名稱內容的使用者名稱),則使用者實體無法與相同使用者帳戶的其他執行個體合併。 這些其他的執行個體將會識別為區隔的實體,而這兩個實體會維持區隔而非整合。
為了將發生這類情況的風險降至最低,您應該確認所有警示提供者都能正確地識別其產生警示中的實體。 此外,與 Microsoft Entra ID 同步處理使用者帳戶實體,可能會產生整合的目錄,其能夠合併使用者帳戶實體。
支援的實體
以下是目前在 Microsoft Sentinel 中識別的實體類型:
您可以在實體參考中檢視這些實體的識別碼和其他相關資訊。
實體對應
Microsoft Sentinel 如何將警示中的資料片段辨識為識別實體?
讓我們看看如何在 Microsoft Sentinel 中完成資料處理。 資料會透過連接器從各種來源擷取,無論是服務對服務、代理程式型或 API 型。 資料會儲存在 Log Analytics 工作區中的資料表中。 您搜捕威脅時,這些資料表會依排程或近乎即時的分析規則定期查詢,或隨選搜捕查詢。 這些分析規則和搜捕查詢定義中的一部分,是資料表中的資料欄位對應於 Microsoft Sentinel 所辨識的實體類型。 根據您定義的對應,Microsoft Sentinel 會從查詢所傳回的結果取得欄位、依您為每個實體類型指定的識別碼加以辨識,並套用至這些識別碼所識別的實體類型。
這些動作的目的是什麼?
當 Microsoft Sentinel 能夠識別來自不同資料來源類型之警示中的實體,特別是當可以使用每個資料來源或其他結構描述通用的強識別碼時,就可以輕鬆地與全部這些警示和資料來源相互關聯。 這些相互關聯有助於在實體上建置豐富的資訊和深入解析存放區,讓您擁有調查和回應安全威脅的穩固基礎和脈絡。
瞭解如何將資料欄位對應至實體。
瞭解哪些識別碼會強識別實體。
實體頁面
現在,您可以在 Microsoft Sentinel 中的實體頁面找到實體頁面的相關資訊。
下一步
在本文件中,您已瞭解如何在 Microsoft Sentinel 中使用實體。 如需實作的實用指導,以及使用您取得的見解,請參閱下列文章: