在 Microsoft Sentinel 中使用实体页调查实体

  • 项目

在事件调查中遇到用户帐户、主机名/IP 地址或 Azure 资源时,你可能会决定要了解详细信息。 例如,你可能想要了解其活动历史记录,其是否出现在其他警报或事件中,其执行任何意外或不相称的操作等等。 简而言之,你需要能够帮助确定这些实体代表哪种威胁类型,并相应地指导你进行调查的信息。

实体页

在这些情况下,可选择实体(它显示为可单击的链接),并转到实体页 - 该页面是一个包含有关该实体的大量有用信息的数据表。 还可直接在 Microsoft Sentinel 的“实体行为”页上搜索实体来转到实体页。 实体页上显示的信息类型包括有关实体的基本事实、与此实体相关的重要事件的时间线,以及有关实体行为的见解。

更具体地说,实体页包含 3 个部分:

  • 左侧面板包含实体的标识信息,这些信息是从 Microsoft Entra ID、Azure Monitor、Azure 活动、Azure 资源管理器、Microsoft Defender for Cloud、CEF/Syslog 等数据源中收集的。

  • 中间面板显示与实体相关的重要事件(例如警报、书签、异常和活动)的图形和文本时间线。 活动是 Log Analytics 中的重要事件的聚合。 检测这些活动的查询是由 Microsoft 安全研究团队开发的。

  • 右侧面板显示关于该实体的行为见解。 这些见解由 Microsoft 安全研究团队持续得出。 它们基于各种数据源,并且为实体及其观察到的活动提供上下文,从而帮助你快速识别异常行为和安全威胁。

如果使用新调查体验调查事件,你将能够在“事件详细信息”页面中看到实体页面的面板化版本。 你有一个给定事件中所有实体的列表,选择实体可打开带三张“卡片”的侧面板,卡片分别为“信息”、“时间线”和“见解”,用于显示在与事件中警报相关内容对应的特定时间范围内的上述所有相同信息。

时间线

Screenshot of an example of a timeline on an entity page.

时间线是实体页显示 Microsoft Sentinel 中的行为分析情况的主要部分。 它会显示与实体相关的事件,帮助你了解特定时间范围内的实体活动。

可在多个预设选项中选择时间范围(例如“过去 24 小时”),也可将其设置为任何自定义时间范围。 此外,你还可设置筛选器,将时间线中的信息限制为特定类型的事件或警报。

时间线中包含以下类型的项:

  • 警报 - 将实体定义为“映射实体”的所有警报。 请注意,如果你的组织已创建使用分析规则的自定义警报,那么你应确保规则的实体映射已正确完成。

  • 书签 - 包含页面上显示的特定实体的所有书签。

  • 异常 - UEBA 检测基于跨各种数据输入为每个实体创建的动态基线,并针对其自身、其对等方以及整个组织的历史活动。

  • 活动 - 与实体相关的重要事件的聚合。 系统会自动收集各种各样的活动。

实体见解

实体见解是 Microsoft 安全研究人员定义的查询,可帮助你的分析师更高效、更有效地进行调查。 见解显示在实体页的区域中,以表格数据和图表形式提供有关主机和用户的重要安全信息。 在此处显示信息意味着你无需访问 Log Analytics。 见解包含与登录、组添加、异常事件等内容相关的数据,还包含用于检测异常行为的高级 ML 算法。

见解基于以下数据源:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat(Azure Monitor 代理)
  • CommonSecurityLog (Microsoft Sentinel)

如何使用实体页

根据设计,实体页是多种使用方案的一部分,你可从事件管理、调查图和书签来访问它,也可从 Microsoft Sentinel 主菜单中“实体行为”下的实体搜索页来直接访问它。

Diagram of areas from which you can access entity pages, corresponding with use cases.

实体页信息将存储在 BehaviorAnalytics 表中,详见 Microsoft Sentinel UEBA 参考

支持的实体页

Microsoft Sentinel 当前提供以下实体页:

  • 用户帐户

  • 主机

  • IP 地址(预览版)

    注意

    IP 地址实体页(现为预览版)包含 Microsoft 威胁情报服务提供的地理位置数据。 此服务综合了 Microsoft 解决方案以及第三方供应商和合作伙伴的地理位置数据。 接下来就可以将数据用于在安全事件上下文中进行分析和调查。 有关详细信息,另请参阅通过 REST API 用地理位置数据扩充 Microsoft Sentinel 中的实体(公共预览版)

  • Azure 资源(预览版)

  • IoT 设备(预览版)

后续步骤

在本文档中,你学习了如何在 Microsoft Sentinel 中使用实体页获取实体相关信息。 若要详细了解实体及其使用方式,请参阅以下文章: