Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Когда оповещения отправляются или создаются Microsoft Sentinel, они содержат элементы данных, которые Sentinel могут распознавать и классифицировать по категориям как сущности. Когда Microsoft Sentinel понимает, какую сущность представляет конкретный элемент данных, она знает правильные вопросы, которые следует задать о ней, а затем может сравнить аналитические сведения об этом элементе по всему диапазону источников данных, а также легко отслеживать его и ссылаться на него на протяжении всего Sentinel опыта — аналитики, исследования, исправления, охоты и т. д. Некоторые распространенные примеры сущностей — это учетные записи пользователей, узлы, почтовые ящики, IP-адреса, файлы, облачные приложения, процессы и URL-адреса.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
На портале Microsoft Defender сущности обычно делятся на две основные категории:
| Категория сущностей | Характеристика | Основные примеры |
|---|---|---|
| Ресурсы | ||
| Другие сущности (свидетельство) |
Идентификаторы сущностей
Microsoft Sentinel поддерживает широкий спектр типов сущностей. Каждый тип имеет собственные уникальные атрибуты, которые представлены в виде полей в схеме сущности и называются идентификаторами. См. полный список поддерживаемых сущностей ниже и полный набор схем и идентификаторов сущностей в справочнике по Microsoft Sentinel типам сущностей.
Надежные и слабые идентификаторы
Для каждого типа сущности есть поля или наборы полей, которые могут идентифицировать конкретные экземпляры этой сущности. Эти поля или наборы полей можно назвать строгими идентификаторами , если они могут однозначно идентифицировать сущность без какой-либо неоднозначности, или как слабые идентификаторы , если они могут идентифицировать сущность при определенных обстоятельствах, но не гарантируется однозначно идентифицировать сущность во всех случаях. Однако во многих случаях выбор слабых идентификаторов можно объединить для создания надежного идентификатора.
Например, учетные записи пользователей можно идентифицировать как сущности учетных записей несколькими способами: с помощью одного надежного идентификатора, например числового идентификатора Microsoft Entra учетной записи (поле GUID) или значения имени участника-пользователя (UPN) или с помощью сочетания слабых идентификаторов, таких как поля Name и NTDomain. Разные источники данных могут идентифицировать одного пользователя по-разному. Всякий раз, когда Microsoft Sentinel обнаруживает две сущности, которые можно распознать как одну и ту же сущность по их идентификаторам, она объединяет две сущности в одну сущность, чтобы ее можно было правильно и согласованно обрабатывать.
Однако если один из поставщиков ресурсов создает оповещение, в котором сущность недостаточно определена (например, используя только один слабый идентификатор , например имя пользователя без контекста доменного имени), то сущность пользователя не может быть объединена с другими экземплярами той же учетной записи пользователя. Эти другие экземпляры будут определены как отдельная сущность, и эти две сущности останутся отдельными, а не объединенными.
Чтобы свести к минимуму риск этого, следует убедиться, что все поставщики оповещений правильно определяют сущности в создаваемых ими оповещениях. Кроме того, синхронизация сущностей учетных записей пользователей с Microsoft Entra ID может создать единый каталог, который сможет объединять сущности учетных записей пользователей.
Поддерживаемые сущности
В настоящее время в Microsoft Sentinel определены следующие типы сущностей:
- Account
- Host
- IP-адрес.
- URL-адрес
- Ресурс Azure
- Облачное приложение
- Разрешение DNS
- Файл
- Хэш файла
- Вредоносная программа
- Процесс
- Раздел реестра
- Значение реестра
- Группа безопасности.
- Mailbox
- Почтовый кластер
- Почтовое сообщение
- Отправка почты
Идентификаторы этих сущностей и другую важную информацию можно просмотреть в справочнике по сущностям.
Сопоставление сущностей
Как Microsoft Sentinel распознать часть данных в оповещении как определяющую сущность?
Давайте посмотрим, как выполняется обработка данных в Microsoft Sentinel. Данные передаются из различных источников через соединители, будь то "служба — служба", "агент" или "API". Данные хранятся в таблицах в рабочей области Log Analytics. Эти таблицы запрашиваются через регулярные интервалы с помощью запланированных или почти в реальном времени правил аналитики, которые вы определили и включили, или по запросу в рамках поиска запросов при поиске угроз. Частью определения этих правил аналитики и запросов охоты является сопоставление полей данных в таблицах с типами сущностей, распознаваемыми Microsoft Sentinel. В соответствии с заданными сопоставлениями Microsoft Sentinel будут принимать поля из результатов, возвращаемых запросом, распознавать их по идентификаторам, указанным для каждого типа сущности, и применять к ним тип сущности, определяемый этими идентификаторами.
В чем смысл всего этого?
Когда Microsoft Sentinel может идентифицировать сущности в оповещениях из разных типов источников данных, особенно если это можно сделать с помощью надежных идентификаторов, общих для каждого источника данных или другой схемы, он может легко сопоставить все эти оповещения и источники данных. Эти корреляции помогают создать богатый запас информации и аналитических сведений о сущностях, предоставляя надежную основу и контекст для исследования угроз безопасности и реагирования на них.
Узнайте, как сопоставлять поля данных с сущностями.
Узнайте , какие идентификаторы строго идентифицируют сущность.
Страницы сущности
Сведения о страницах сущностей теперь можно найти на странице сущностей в Microsoft Sentinel.
Дальнейшие действия
В этом документе вы узнали о работе с сущностями в Microsoft Sentinel. Практические рекомендации по реализации и использование полученных аналитических сведений см. в следующих статьях:
- Включите аналитику поведения сущностей в Microsoft Sentinel.
- Поиск угроз безопасности.