Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Когда вы сталкиваетесь с учетной записью пользователя, именем узла, IP-адресом или ресурсом Azure в расследовании инцидентов, вы можете решить, что вы хотите узнать больше об этом. Например, может потребоваться узнать историю активности, встречалась ли сущность в других оповещениях или инцидентах, происходило ли с ней что-то неожиданное и т. д. Короче говоря, нужна информация, которая поможет определить, какую угрозу представляет сущность, и направить ваше расследование по верному пути.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.
Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.
Страницы сущностей
В таких ситуациях можно выбрать сущность (она будет представлена как активная ссылка) и перейти на страницу сущности, то есть таблицу с полезными сведениями о ней. Перейти на страницу сущности можно также путем поиска сущности на странице поведения сущностей в Microsoft Sentinel. На странице сущности можно найти следующие сведения: основные сведения о сущности, временная шкала значимых событий, связанных с этой сущностью, и полезные сведения о поведении сущности.
В частности, страница сущности состоит из трех частей:
На левой панели содержатся сведения об идентификации сущности, собранные из источников данных, таких как Идентификатор Microsoft Entra, Azure Monitor, Действие Azure, Azure Resource Manager, Microsoft Defender для облака, CEF/Syslog и XDR Microsoft Defender (со всеми компонентами).
На центральной панели отображается графическая и текстовая временная шкала значимых событий, связанных с сущностью, таких как оповещения, закладки, аномалии и действия. Действия — это агрегаты важных событий из Log Analytics. Запросы для обнаружения этих действий разрабатываются исследовательскими группами Майкрософт в области безопасности, и теперь вы можете добавлять собственные запросы.
На правой панели представлены полезные сведения о поведении сущности. Эти сведения постоянно улучшаются и уточняются исследовательскими группами Майкрософт по безопасности. Они основаны на различных источниках данных и дают общее представление о сущности и ее наблюдаемой активности, помогая быстро выявлять аномальное поведение и угрозы безопасности.
Если вы расследуете инцидент с помощью нового интерфейса расследования, вы сможете увидеть панельную версию страницы сущности прямо на странице сведений об инциденте. У вас есть список всех сущностей в данном инциденте, и при выборе сущности открывается боковая панель с тремя "карточками", "Сведения", временная шкала и аналитика, отображающая все те же сведения, описанные выше, в течение определенного периода времени, соответствующего оповещений в инциденте.
Если вы используете Microsoft Sentinel на портале Defender, панели временной шкалы и аналитики отображаются на вкладке событий Sentinel на странице сущности Defender.
Временная шкала
Временная шкала на вкладке событий Sentinel добавляет основную часть вклада страницы сущности в аналитику поведения на портале Defender. Это история событий, связанных с сущностями, которая помогает понять действия сущности в течение определенного промежутка времени.
В частности, вы увидите оповещения и события временной шкалы событий Sentinel из сторонних источников, собранных только Microsoft Sentinel, например syslog/CEF и пользовательские журналы, принятые агентом Azure Monitor или пользовательскими соединителями.
В временную шкалу включены следующие типы элементов.
Оповещения: все оповещения, в которых сущность определяется как сопоставленная сущность. Если ваша организация создала пользовательские оповещения с помощью правил аналитики, убедитесь, что сопоставление сущностей правил выполнено правильно.
Закладки: все закладки, содержащие конкретную сущность, показанную на странице.
Аномалии: обнаружение UEBA на основе динамических базовых показателей, созданных для каждой сущности в различных входных данных и в отношении собственных исторических действий, одноранговых и одноранговых показателей организации в целом.
Действия: агрегирование важных событий, связанных с сущностью. Множество действий регистрируется автоматически, и теперь вы можете настроить этот раздел, добавив собственные действия.
Для сущностей устройства добавлен новый тип действия в январе 2025 года. Это действие включает удаление, блокировку или отклоненный сетевой трафик, исходящий с данного устройства, на основе данных, собранных из журналов сетевых устройств, ведущих в отрасли. Эти журналы предоставляют группам безопасности критически важные сведения для быстрого выявления и устранения потенциальных угроз.
По состоянию на январь 2025 года действия для сущности устройства отображаются на главной вкладке временной шкалы страницы сущности устройства, а также отображаются на вкладкесобытий Sentinel, как и раньше. Дополнительные сведения см. в разделе "Единая временная шкала( предварительная версия)".
На этой временной шкале отображаются сведения за последние 24 часа. Этот период в настоящее время не настраивается.
Аналитические сведения о сущностях
Полезные сведения о сущностях — это запросы, определяемые аналитиками безопасности Майкрософт, которые помогают им проводить расследования более эффективно. Аналитика представляется как часть страницы сущности и предоставляет ценные сведения о безопасности узлов и пользователей в виде табличных данных и диаграмм. Если здесь есть информация, то вам не нужно переходить в Log Analytics. Полезные сведения включают в себя данные о входах, добавлении групп, аномальных событиях и т. д., а также сложные алгоритмы Машинного обучения для обнаружения аномального поведения.
Полезные сведения содержат следующие источники данных:
- системный журнал (Linux);
- SecurityEvent (Windows);
- AuditLogs (идентификатор Microsoft Entra)
- SigninLogs (идентификатор Microsoft Entra)
- OfficeActivity (Office 365);
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor Agent);
- CommonSecurityLog (Microsoft Sentinel)
Как правило, каждое представление сущности, отображаемое на странице сущности, сопровождается ссылкой, которая приведет вас к странице, в которой отображается запрос, базовый аналитический анализ, а также результаты, поэтому вы можете проанализировать результаты в большей глубине.
- В Microsoft Sentinel в портал Azure ссылка перейдет на страницу журналов.
- На портале Microsoft Defender ссылка перейдет на страницу расширенной охоты .
Работа со страницами сущностей
Страницы сущностей предназначены для нескольких сценариев использования и могут быть доступны из управления инцидентами, графа исследования, закладок или непосредственно из страницы поиска сущностей в поведении сущностей в главном меню Microsoft Sentinel.
Информация на странице сущности хранится в таблице BehaviorAnalytics, подробно описанной в справочнике по Microsoft Sentinel UEBA.
Поддерживаемые страницы сущностей
В настоящее время в Microsoft Sentinel предлагаются следующие страницы сущностей:
Учетная запись пользователя
Хост
IP-адрес (предварительная версия)
Примечание.
Страница сущности IP address (сейчас на стадии бета-тестирования) содержит данные геолокации, предоставляемые службой Microsoft Threat Intelligence. Эта служба объединяет данные геолокации из решений Майкрософт и от сторонних поставщиков и партнеров. Затем данные предоставляются для анализа и исследования в контексте инцидента безопасности. Дополнительные сведения см. также в разделе Дополнение сущностей в Microsoft Sentinel данными геолокации через REST API (общедоступная предварительная версия).
Ресурс Azure (предварительная версия)
Устройство Интернета вещей (предварительная версия)— только в Microsoft Sentinel в портал Azure на данный момент.
Следующие шаги
В этом документе вы узнали о получении сведений о сущностях в Microsoft Sentinel с помощью страниц сущностей. Дополнительные сведения о сущностях и их использовании см. в следующих статьях:
- Сведения о сущностях в Microsoft Sentinel.
- Настройка действий на временной шкале на странице сущности.
- Выявление дополнительных угроз с помощью анализа поведения пользователей и сущностей (UEBA) в Microsoft Sentinel
- Аналитика поведения пользователей и сущностей в Microsoft Sentinel.
- Поиск угроз безопасности.