Microsoft Sentinel 中的实体
当 Microsoft Sentinel 接收或生成警报时,这些警报会包含 Sentinel 可识别并分类为“实体”的数据元素。 当 Microsoft Sentinel 了解特定数据元素所代表的实体类型时,它就知道该就其提出哪些问题,然后它可在数据源的整个范围中比较有关该项的见解,还可轻松地对其进行跟踪,并在整个 Sentinel 体验(分析、调查、修正、搜寻等)中参考它。 实体的一些常见示例包括用户帐户、主机、邮箱、IP 地址、文件、云应用程序、进程和 URL。
实体标识符
Microsoft Sentinel 支持多种实体类型。 每种类型都有自己独特的属性,这些属性在实体架构中表示为字段,称为“标识符”。 请参阅下面列出的受支持实体的完整列表,以及 Microsoft Sentinel 实体类型参考中的完整实体架构和标识符集。
强标识符和弱标识符
对于每种类型的实体,都有可以标识该实体的特定实例的字段或字段集。 如果这些字段或字段集可唯一地标识一个实体而无歧义,则可称之为“强标识符”;如果它们在某些情况下可标识一个实体,但不保证在所有情况下都能唯一地标识一个实体,则可称之为“弱标识符” 。 但在很多情况下,可对所选的弱标识符进行组合来生成强标识符。
例如,可通过多种方式将用户帐户标识为“帐户”实体:使用单个强标识符,例如 Microsoft Entra 帐户的数字标识符(GUID 字段)或其用户主体名称 (UPN) 值,或者使用弱标识符(例如其 Name 和 NTDomain 字段)的组合。 不同的数据源可以不同的方式标识同一用户。 每当 Microsoft Sentinel 遇到两个实体,而这两个实体可根据其标识符被识别为同一实体时,它就会将这两个实体合并为一个实体,以便能够正确、一致地处理它们。
但是,如果你的某个资源提供程序创建了一个警报,其中显示没有充分识别实体(例如,仅使用一个弱标识符,比如没有域名上下文的用户名),那么不能将该用户实体与同一用户帐户的其他实例进行合并。 这些其他实例会被标识为一个单独的实体,而这两个实体将保持独立,不会合并。
为了尽量降低出现此情况的风险,应验证所有警报提供程序是否都正确地标识了其生成的警报中的实体。 此外,将用户帐户实体与 Microsoft Entra ID 进行同步可创建一个统一目录,从而能够合并用户帐户实体。
受支持的实体
Microsoft Sentinel 中当前标识了以下类型的实体:
可在实体参考中查看这些实体的标识符及其他相关信息。
实体映射
Microsoft Sentinel 在标识实体时如何识别警报中的一段数据?
让我们来看看如何在 Microsoft Sentinel 中处理数据。 数据通过连接器从各种源(无论是服务到服务、基于代理还是基于 API 的源)引入。 数据存储在 Log Analytics 工作区的表中。 这些表会按照定义并启用的按计划或准实时分析规则定期查询,或者在查找威胁时作为搜寻查询的一部分按需查询。 这些分析规则和搜寻查询的定义的一部分是将表中的数据字段映射到 Microsoft Sentinel 识别的实体类型。 根据定义的映射,Microsoft Sentinel 将从查询返回的结果中获取字段,通过你为每种实体类型指定的标识符来识别这些字段,并对其应用这些标识符所标识的实体类型。
这样做的意义何在?
当 Microsoft Sentinel 能够标识来自不同类型的数据源的警报中的实体时,尤其是如果它可以使用每个数据源或其他架构通用的强标识符来进行识别,它就可以在所有这些警报和数据源之间轻松进行关联。 这些关联有助于生成丰富的信息存储和有关实体的见解,为调查和响应安全威胁提供坚实的基础和上下文。
了解如何将数据字段映射到实体。
了解可强标识实体的标识符。
实体页
现在可以在 Microsoft Sentinel 中的实体页上找到有关实体页的信息。
后续步骤
本文档介绍了如何使用 Microsoft Sentinel 中的实体。 若要获得有关实现的实用指南,或要使用已获得的见解,请参阅以下文章: