在 Microsoft Sentinel 中使用实体对数据进行分类和分析

项目
03/04/2024

当 Microsoft Sentinel 接收或生成警报时，这些警报会包含 Sentinel 可识别并分类为“实体”的数据项。当 Microsoft Sentinel 了解特定数据项所代表的实体类型时，它就知道该就其提出哪些问题，然后它可在数据源的整个范围中比较有关该项的见解，还可轻松地对其进行跟踪，并在整个 Sentinel 体验（分析、调查、修正等搜寻等）中参考它。实体的一些常见示例包括用户帐户、主机、文件、进程、IP 地址和 URL。

实体标识符

Microsoft Sentinel 支持多种实体类型。每种类型都有自己的唯一属性，包括一些可用于标识特定实体的属性。这些属性在实体中表示为字段，被称为“标识符”。请在下面查看受支持的实体及其标识符的完整列表。

强标识符和弱标识符

正如前文所述，对于每种类型的实体，都有可标识它的字段或字段集。如果这些字段或字段集可唯一地标识一个实体而无歧义，则可称之为“强标识符”；如果它们在某些情况下可标识一个实体，但不保证在所有情况下都能唯一地标识一个实体，则可称之为“弱标识符” 。但在很多情况下，可对所选的弱标识符进行组合来生成强标识符。

例如，可通过多种方式将用户帐户标识为“帐户”实体：使用单个强标识符，例如 Microsoft Entra 帐户的数字标识符（GUID 字段）或其用户主体名称 (UPN) 值，或者使用弱标识符（例如其 Name 和 NTDomain 字段）的组合。不同的数据源可以不同的方式标识同一用户。每当 Microsoft Sentinel 遇到两个实体，而这两个实体可根据其标识符被识别为同一实体时，它就会将这两个实体合并为一个实体，以便能够正确、一致地处理它们。

但是，如果你的某个资源提供程序创建了一个警报，其中显示没有充分识别实体（例如，仅使用一个弱标识符，比如没有域名上下文的用户名），那么不能将该用户实体与同一用户帐户的其他实例进行合并。这些其他实例会被标识为一个单独的实体，而这两个实体将保持独立，不会合并。

为了尽量降低出现此情况的风险，应验证所有警报提供程序是否都正确地标识了其生成的警报中的实体。此外，将用户帐户实体与 Microsoft Entra ID 进行同步可创建一个统一目录，从而能够合并用户帐户实体。

受支持的实体

Microsoft Sentinel 中当前标识了以下类型的实体：

帐户
主机
IP 地址
URL
Azure 资源
云应用程序
DNS 解析
文件
文件哈希
恶意软件
过程
注册表项
注册表值
安全组
邮箱
邮件群集
邮件消息
提交邮件

可在实体参考中查看这些实体的标识符及其他相关信息。

实体映射

Microsoft Sentinel 在标识实体时如何识别警报中的一段数据？

让我们来看看如何在 Microsoft Sentinel 中处理数据。数据是通过连接器从各种源中引入的，无论是服务到服务、基于代理，还是使用 syslog 服务和日志转发器都是如此。数据存储在 Log Analytics 工作区的表中。然后，系统会根据你定义并启用的分析规则按定期间隔查询这些表。这些分析规则会执行很多操作，其中一项是将表中的数据字段映射到 Microsoft Sentinel 识别的实体。根据你在分析规则中定义的映射，Microsoft Sentinel 将从查询返回的结果中获取字段，通过你为每种实体类型指定的标识符来识别这些字段，并对其应用这些标识符所标识的实体类型。

这样做的意义何在？

当 Microsoft Sentinel 能够标识来自不同类型的数据源的警报中的实体时，尤其是如果它可以使用每个数据源或第三方架构通用的强标识符来进行识别，它就可以在所有这些警报和数据源之间轻松进行关联。这些关联有助于在实体上构建丰富的信息和见解，从而为你的安全操作奠定坚实的基础。

了解如何将数据字段映射到实体。

了解可强标识实体的标识符。