Microsoft Sentinel中的实体

当警报被发送到 Microsoft Sentinel 或由其生成时，它们包含一些数据元素，这些元素可以被 Sentinel 识别并分类为类别中的实体。 当 Microsoft Sentinel 了解特定数据元素所表示的实体类型时，它知道要提出适当的问题，然后，它可以比较整个数据源范围内关于该项的洞察，并能轻松地跟踪和在整个 Sentinel 体验中对其进行引用，包括分析、调查、整改、威胁搜寻等。 实体的一些常见示例包括用户帐户、主机、邮箱、IP 地址、文件、云应用程序、进程和 URL。

实体标识符

Microsoft Sentinel支持各种实体类型。 每种类型都有自己独特的属性，这些属性在实体架构中表示为字段，称为“标识符”。 请参阅受支持实体的完整列表below，以及 Microsoft Sentinel 实体类型引用中的完整实体架构和标识符集。

强标识符和弱标识符

对于每种类型的实体，都有可以标识该实体的特定实例的字段或字段集。 如果这些字段或字段集可唯一地标识一个实体而无歧义，则可称之为“强标识符”；如果它们在某些情况下可标识一个实体，但不保证在所有情况下都能唯一地标识一个实体，则可称之为“弱标识符” 。 但在很多情况下，可对所选的弱标识符进行组合来生成强标识符。

例如，可以通过多种方式将用户帐户标识为 account 实体：使用单个 strong identifier，如 Microsoft Entra 帐户的数字标识符（GUID 字段），或其 用户主体名称（UPN） 值，或者，使用 weak identifiers 的组合，例如其 Name 和 NTDomain 字段。 不同的数据源可以不同的方式标识同一用户。 每当Microsoft Sentinel遇到两个实体，它可以根据其标识符识别为同一实体时，它将这两个实体合并为单个实体，以便可以正确且一致地处理它。

但是，如果你的某个资源提供程序创建了一个警报，其中显示没有充分识别实体（例如，仅使用一个弱标识符，比如没有域名上下文的用户名），那么不能将该用户实体与同一用户帐户的其他实例进行合并。 这些其他实例会被标识为一个单独的实体，而这两个实体将保持独立，不会合并。

为了尽量降低出现此情况的风险，应验证所有警报提供程序是否都正确地标识了其生成的警报中的实体。 此外，将用户帐户实体与Microsoft Entra ID同步可能会创建一个统一目录，该目录将能够合并用户帐户实体。

受支持的实体

Microsoft Sentinel中当前标识了以下类型的实体：

• 账户
• 主机
• IP 地址
• URL
• Azure 资源
• 云应用程序
• DNS 解析
• 文件
• 文件哈希
• 恶意软件
• 处理
• 注册表项
• 注册表值
• 安全组
• 邮箱
• 邮件群集
• 邮件消息
• 提交邮件

可在实体参考中查看这些实体的标识符及其他相关信息。

实体映射

Microsoft Sentinel如何识别警报中的一段数据来标识实体？

让我们看看如何在Microsoft Sentinel中完成数据处理。 数据通过连接器从各种源（无论是服务到服务、基于代理还是基于 API 的源）引入。 数据存储在Log Analytics工作区中的表中。 这些表会由您定义并启用的计划或准实时分析规则定期查询，或在查找威胁时根据需求作为搜寻查询的一部分进行查询。 这些分析规则和搜寻查询的定义的一部分是将表中的数据字段映射到Microsoft Sentinel识别的实体类型。 根据您定义的映射，Microsoft Sentinel 将从查询返回的结果中提取字段，根据您为每种实体类型指定的标识符识别它们，并将这些标识符识别的实体类型应用于相应字段。

这样做的意义何在？

当Microsoft Sentinel能够识别来自不同类型的数据源的警报中的实体，特别是当它可以使用每个数据源或另一个架构通用的强标识符时，它就可以在所有这些警报和数据源之间轻松关联。 这些关联有助于生成丰富的信息存储和有关实体的见解，为调查和响应安全威胁提供坚实的基础和上下文。

了解如何将数据字段映射到实体。

了解哪些标识符能够明确标识一个实体。

实体页面

现在可以在Microsoft Sentinel的Entity 页面找到有关实体页面的信息。

后续步骤

在这份文档中，你了解了如何处理 Microsoft Sentinel 中的实体。 若要获得有关实现的实用指南，或要使用已获得的见解，请参阅以下文章：

• 在 Microsoft Sentinel 中启用实体行为分析。
• 搜寻安全威胁。