将数据字段映射到 Microsoft Sentinel 中的实体

实体映射是计划分析规则配置不可或缺的一部分。 它可使用重要信息来丰富规则的输出(警报和事件),这些信息是任何调查过程和后续补救操作的构建基块。

下面详细介绍的过程是分析规则创建向导的一部分。 这里单独应用该过程来处理在现有分析规则中添加或更改实体映射的方案。

重要

  • 请参阅本文档末尾的“新版本说明”,了解有关实体映射向后兼容性的重要信息以及新旧版本之间的差异。

如何映射实体

  1. 从访问 Microsoft Sentinel 的门户中进入“分析”页面:

    从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。

  2. 选择计划的查询规则,然后单击详细信息窗格中的“编辑”。 或者单击屏幕顶部的“创建”>“计划的查询规则”,以新建规则。

  3. 选择“设置规则逻辑”选项卡。对于新规则,请在“规则查询”窗口中键入一个查询

  4. 在“警报增强”部分中,展开“实体映射”

    展开实体映射

  5. 在现在展开的“实体映射”部分中,选择“添加新实体”

    屏幕截图显示如何添加新实体。

  6. 从“实体”下拉列表中选择一个实体类型

    选择实体类型

  7. 选择实体的“标识符”。 标识符是可充分标识实体的实体属性。 从“标识符”下拉列表中选择一个标识符,然后从“值”下拉列表中选择一个与标识符相对应的数据字段 。 除了一些例外情况,“值”列表中填充的是定义为规则查询主题的表中的数据字段。

    最多可为给定实体映射定义三个标识符。 有些标识符是必需的;而有些是可选的。 必须至少选择一个必需标识符。 否则,会出现一条警告消息,指示需要哪些标识符。 为了获得最佳结果(为了获得最佳唯一标识),应尽可能使用“强标识符”,使用多个强标识符可使数据源之间的关联度更高。 查看可用实体和标识符的完整列表。

    将字段映射到实体

  8. 选择“添加新实体”以映射多个实体。 一个分析规则中最多可以定义十个实体映射。 还可以映射多个相同类型的实体。 例如,可以映射两个 IP 实体,一个来自“源 IP 地址”字段,另一个来自“目标 IP 地址”字段 。 这样就可以同时跟踪两者。

    如果改变了主意或出错,可以通过单击实体下拉列表旁边的 “垃圾桶”图标来删除实体映射。

  9. 完成实体映射后,请单击“查看并创建”选项卡。成功验证规则后,单击“保存”。

注意

  • 在单个警报中,最多可以标识 500 个实体,这些实体在规则中定义的所有实体映射之间平均划分

    • 例如,如果在规则中定义了两个实体映射,则每个映射最多可以标识 250 个实体;如果定义了五个映射,则每个映射最多可以标识 100 个实体,依此而行。
    • 单个实体类型的多个映射(例如,源 IP 和目标 IP)分别计数。
    • 如果警报包含的项超出此限制,则不会识别这些多余的项并将其提取为实体。
  • 警报的整个实体区域(“实体”字段)的大小限制为 64 KB

    • 增长超过 64 KB 的实体字段将被截断。 识别出实体后,它们将被逐一添加到字段中,直到实体字段大小达到 64 KB,并且任何未识别的实体都将从警报中删除。

新版本的说明

  • 由于新版本现已正式发布 (GA),因此使用旧版本的功能标志解决方法不再可用。

  • 如果以前使用旧版本为此分析规则定义了实体映射,则这些映射会自动转换为新版本。

后续步骤

本文档介绍了如何将数据字段映射到 Microsoft Sentinel 分析规则中的实体。 若要详细了解 Microsoft Sentinel,请参阅以下文章: