Страницы сущностей в Microsoft Sentinel
Когда вы сталкиваетесь с учетной записью пользователя, именем узла, IP-адресом или ресурсом Azure в расследовании инцидентов, вы можете решить, что вы хотите узнать больше об этом. Например, может потребоваться узнать историю активности, встречалась ли сущность в других оповещениях или инцидентах, происходило ли с ней что-то неожиданное и т. д. Короче говоря, нужна информация, которая поможет определить, какую угрозу представляет сущность, и направить ваше расследование по верному пути.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Страницы сущностей
В таких ситуациях можно выбрать сущность (она будет представлена как активная ссылка) и перейти на страницу сущности, то есть таблицу с полезными сведениями о ней. Перейти на страницу сущности можно также путем поиска сущности на странице поведения сущностей в Microsoft Sentinel. На странице сущности можно найти следующие сведения: основные сведения о сущности, временная шкала значимых событий, связанных с этой сущностью, и полезные сведения о поведении сущности.
В частности, страница сущности состоит из трех частей:
На левой панели содержатся сведения об идентификации сущности, собранные из источников данных, таких как Идентификатор Microsoft Entra, Azure Monitor, Действие Azure, Azure Resource Manager, Microsoft Defender для облака, CEF/Syslog и XDR Microsoft Defender (со всеми компонентами).
На центральной панели отображается графическая и текстовая временная шкала значимых событий, связанных с сущностью, таких как оповещения, закладки, аномалии и действия. Действия — это агрегаты важных событий из Log Analytics. Запросы для обнаружения этих действий разрабатываются исследовательскими группами Майкрософт в области безопасности, и теперь вы можете добавлять собственные запросы.
На правой панели представлены полезные сведения о поведении сущности. Эти сведения постоянно улучшаются и уточняются исследовательскими группами Майкрософт по безопасности. Они основаны на различных источниках данных и дают общее представление о сущности и ее наблюдаемой активности, помогая быстро выявлять аномальное поведение и угрозы безопасности.
Если вы расследуете инцидент с помощью нового интерфейса расследования, вы сможете увидеть панельную версию страницы сущности прямо на странице сведений об инциденте. У вас есть список всех сущностей в данном инциденте, и при выборе сущности открывается боковая панель с тремя "карточками", "Сведения", временная шкала и аналитика, отображающая все те же сведения, описанные выше, в течение определенного периода времени, соответствующего оповещений в инциденте.
Если вы используете Microsoft Sentinel на портале Defender, панели временной шкалы и аналитики отображаются на вкладке событий Sentinel на странице сущности Defender.
Временная шкала
Временная шкала является основным вкладом страницы сущности в аналитику поведения в Microsoft Sentinel. Это история событий, связанных с сущностями, которая помогает понять действия сущности в течение определенного промежутка времени.
Можно выбрать диапазон времени из нескольких предварительно заданных параметров (например, за последние 24 часа) или задать для него любой пользовательский интервал. Кроме того, можно задать фильтры, которые ограничивают данные на временной шкале конкретными типами событий или оповещений.
В временную шкалу включены следующие типы элементов.
Оповещения: все оповещения, в которых сущность определяется как сопоставленная сущность. Обратите внимание, что если ваша организация создала пользовательские оповещения с помощью правил аналитики, то следует убедиться, что сопоставление сущностей правил выполнено правильно.
Закладки: все закладки, содержащие конкретную сущность, показанную на странице.
Аномалии: обнаружение UEBA на основе динамических базовых показателей, созданных для каждой сущности в различных входных данных и в отношении собственных исторических действий, одноранговых и одноранговых показателей организации в целом.
Действия: агрегирование важных событий, связанных с сущностью. Множество действий регистрируется автоматически, и теперь вы можете настроить этот раздел, добавив собственные действия.
Аналитические сведения о сущностях
Полезные сведения о сущностях — это запросы, определяемые аналитиками безопасности Майкрософт, которые помогают им проводить расследования более эффективно. Аналитика представляется как часть страницы сущности и предоставляет ценные сведения о безопасности узлов и пользователей в виде табличных данных и диаграмм. Если здесь есть информация, то вам не нужно переходить в Log Analytics. Полезные сведения включают в себя данные о входах, добавлении групп, аномальных событиях и т. д., а также сложные алгоритмы Машинного обучения для обнаружения аномального поведения.
Полезные сведения содержат следующие источники данных:
- системный журнал (Linux);
- SecurityEvent (Windows);
- AuditLogs (идентификатор Microsoft Entra)
- SigninLogs (идентификатор Microsoft Entra)
- OfficeActivity (Office 365);
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor Agent);
- CommonSecurityLog (Microsoft Sentinel)
Как правило, каждое представление сущности, отображаемое на странице сущности, сопровождается ссылкой, которая приведет вас к странице, в которой отображается запрос, базовый аналитический анализ, а также результаты, поэтому вы можете проанализировать результаты в большей глубине.
- В Microsoft Sentinel в портал Azure ссылка перейдет на страницу журналов.
- На портале Microsoft Defender ссылка перейдет на страницу расширенной охоты .
Работа со страницами сущностей
Страницы сущностей предназначены для использования в рамках нескольких сценариев, и доступ к ним осуществляется из системы управления инцидентами, графов расследования, закладок или непосредственно со страницы поиска сущностей в разделе Поведение сущностей в главном меню Microsoft Sentinel.
Информация на странице сущности хранится в таблице BehaviorAnalytics, подробно описанной в справочнике по Microsoft Sentinel UEBA.
Поддерживаемые страницы сущностей
В настоящее время в Microsoft Sentinel предлагаются следующие страницы сущностей:
Учетная запись пользователя
Хост
IP-адрес (предварительная версия)
Примечание.
Страница сущности IP address (сейчас на стадии бета-тестирования) содержит данные геолокации, предоставляемые службой Microsoft Threat Intelligence. Эта служба объединяет данные геолокации из решений Майкрософт и от сторонних поставщиков и партнеров. Затем данные предоставляются для анализа и исследования в контексте инцидента безопасности. Дополнительные сведения см. также в разделе Дополнение сущностей в Microsoft Sentinel данными геолокации через REST API (общедоступная предварительная версия).
Ресурс Azure (предварительная версия)
Устройство Интернета вещей (предварительная версия)— только в Microsoft Sentinel в портал Azure на данный момент.
Следующие шаги
В этом документе вы узнали о получении сведений о сущностях в Microsoft Sentinel с помощью страниц сущностей. Дополнительные сведения о сущностях и их использовании см. в следующих статьях:
- Сведения о сущностях в Microsoft Sentinel.
- Настройка действий на временной шкале на странице сущности.
- Выявление дополнительных угроз с помощью анализа поведения пользователей и сущностей (UEBA) в Microsoft Sentinel
- Аналитика поведения пользователей и сущностей в Microsoft Sentinel.
- Поиск угроз безопасности.