Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сопоставление сущностей является неотъемлемой частью конфигурации запланированных правил аналитики. Он дополняет выходные данные правил (оповещения и инциденты) важной информацией, которая служит в качестве стандартных блоков любых процессов расследования и последующих действий по исправлению.
Описанная ниже процедура является частью мастера создания правил аналитики. Здесь он обрабатывается независимо для решения сценария добавления или изменения сопоставлений сущностей в существующем правиле аналитики.
Важно!
- Важные сведения о обратной совместимости и различиях между новой и старой версиями сопоставления сущностей см. в разделе Заметки о новой версии.
- После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender. Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуем начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Время перемещения: портал Azure списания Microsoft Sentinel для повышения безопасности.
Сопоставление сущностей
Войдите на страницу Аналитика на портале, с помощью которого вы обращаетесь к Microsoft Sentinel:
В разделе Конфигурация в меню навигации Microsoft Sentinel выберите Аналитика.
Выберите запланированное правило запроса и выберите Изменить в области сведений. Или создайте новое правило, щелкнув Создать > запланированное правило запроса в верхней части экрана.
Перейдите на вкладку Задать логику правила . Если новое правило, введите запрос в окне Запрос правила .
В разделе Усовершенствование оповещений разверните узел Сопоставление сущностей.
В развернутом разделе Сопоставление сущностей выберите Добавить новую сущность.
Выберите тип сущности в раскрывающемся списке Сущность .
Выберите идентификатор сущности. Идентификаторы — это атрибуты сущности, которые могут достаточно ее идентифицировать. Выберите его из раскрывающегося списка Идентификатор , а затем в раскрывающемся списке Значение выберите поле данных, которое будет соответствовать идентификатору. За некоторыми исключениями список Значение заполняется полями данных в таблице, определенной как тема запроса правила.
Можно определить до трех идентификаторов для определенного сопоставления сущностей. Некоторые идентификаторы являются обязательными, другие — необязательными. Необходимо выбрать по крайней мере один обязательный идентификатор. В противном случае появится предупреждающее сообщение о том, какие идентификаторы требуются. Для достижения наилучших результатов — для максимальной уникальной идентификации — по возможности следует использовать надежные идентификаторы , а использование нескольких надежных идентификаторов обеспечит большую корреляцию между источниками данных. См. полный список доступных сущностей и идентификаторов.
Выберите Добавить новую сущность , чтобы сопоставить другие сущности. В одном правиле аналитики можно определить до десяти сопоставлений сущностей . Кроме того, можно сопоставить несколько типов. Например, можно сопоставить две IP-сущности : одну из поля исходного IP-адреса , а другую — из поля IP-адреса назначения . Таким образом, вы можете отслеживать их оба.
Если вы передумаете или совершили ошибку, вы можете удалить сопоставление сущностей, щелкнув значок корзины рядом с раскрывающимся списком сущностей.
Завершив сопоставление сущностей, перейдите на вкладку Просмотр и создание . После успешной проверки правила нажмите кнопку Сохранить.
Примечание.
В одном оповещении можно определить до 500 сущностей, разделенных поровну между всеми сопоставлениями сущностей, определенными в правиле.
- Например, если в правиле определены два сопоставления сущностей, каждое сопоставление может идентифицировать до 250 сущностей; Если определены пять сопоставлений, каждое из них может идентифицировать до 100 сущностей и т. д.
- Несколько сопоставлений одного типа сущности (например, исходный IP-адрес и IP-адрес назначения) учитываются отдельно.
- Если оповещение содержит элементы, превышающие это ограничение, эти лишние элементы не будут распознаны и извлечены как сущности.
Максимальный размер всей области сущностей оповещения (поле Сущности ) составляет 64 КБ.
- Поля сущностей , размер которых превышает 64 КБ, будут усечены. По мере идентификации сущностей они добавляются в оповещение по одному до тех пор, пока размер поля не достигнет 64 КБ, а все неопознанные сущности удаляются из оповещения.
Заметки о новой версии
Так как новая версия теперь общедоступна, обходной путь для использования старой версии для флага компонентов больше недоступен.
Если вы ранее определили сопоставления сущностей для этого правила аналитики с помощью старой версии, они будут автоматически преобразованы в новую версию.
Дальнейшие действия
В этом документе вы узнали, как сопоставлять поля данных с сущностями в правилах Microsoft Sentinel аналитики. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях:
- Изучите другие способы обогащения оповещений:
- Получение полной картины о правилах аналитики запланированных запросов.
- Дополнительные сведения о сущностях в Microsoft Sentinel.