Поделиться через

Сопоставление полей данных с сущностями в Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Сопоставление сущностей является неотъемлемой частью конфигурации правил запланированной аналитики. Он дополняет вывод правил (предупреждений и инцидентов) на наличие основной информации, которая служит в качестве стандартных блоков для любых исследовательских процессов и действий, которые следуют за ними.

Процедура, описанная ниже, является частью процесса создания правил аналитики. Он обрабатывается отдельно, чтобы устранить ситуацию добавления или изменения сопоставлений сущностей в существующем правиле аналитики.

Внимание

  • Важные сведения о обратной совместимости и различиях между новой и старой версиями сопоставления сущностей см. в примечаниях к новой версии в конце этого документа.
  • Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Как сопоставлять сущности

  1. Введите страницу аналитики на портале, с помощью которого вы обращаетесь к Microsoft Sentinel:

    В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".

  2. Выберите правило запланированного запроса и щелкните Изменить в области сведений. Или создайте новое правило, выбрав Создать  > Запланированное правило запроса в верхней части экрана.

  3. Перейдите на вкладку "Задать логику правила". Если новое правило, введите запрос в окне запроса правила.

  4. В разделе "Усовершенствование оповещений" разверните сопоставление сущностей.

    Развертывание узла

  5. В разделе сопоставления сущностей, развернутом теперь, выберите "Добавить новую сущность".

    Снимок экрана: добавление новой сущности.

  6. Выберите тип сущности в раскрывающемся списке Entity .

    Выбор типа сущности

  7. Выберите идентификатор для сущности. Идентификаторы — это атрибуты сущности, которые достаточны для ее идентификации. Выберите из раскрывающегося списка один идентификатор, а затем выберите из раскрывающегося списка значение поле данных, которое будет соответствовать идентификатору. С некоторыми исключениями список значений заполняется полями данных в таблице, определенной как тема запроса правила.

    Для сопоставления сущностей можно определить до трех идентификаторов . Некоторые идентификаторы обязательны, другие дополнительны. Вы должны выбрать как минимум один обязательный идентификатор. В противном случае появится предупреждающее сообщение с указанием, какие идентификаторы требуются. Для получения наилучших результатов ( для максимальной уникальной идентификации) следует использовать надежные идентификаторы , когда это возможно, и использование нескольких надежных идентификаторов обеспечивает большую корреляцию между источниками данных. См. полный список доступных сущностей и идентификаторов.

    Сопоставление полей сущностям

  8. Нажмите кнопку "Добавить новую сущность ", чтобы сопоставить больше сущностей. Можно определить до десяти сопоставлений сущностей в одном правиле аналитики. Можно также сопоставлять более одного типа. Например, можно сопоставлять два объекта IP: один — из поля исходного IP-адреса, а другой — из поля конечного IP-адреса. Таким образом вы можете отслеживать их.

    Если вы передумали или сделали ошибку, можно удалить сопоставление сущностей, щелкнув значок корзины рядом с раскрывающимся списком сущностей.

  9. Завершив настройку сведений, перейдите на вкладку Review and create (Проверка и создание). После успешного завершения проверки правила нажмите Save (Сохранить).

Примечание.

  • В одном оповещении можно определить до 500 сущностей , разделенных одинаково по всем сопоставлениям сущностей, определенным в правиле.

    • Например, если в правиле определены два сопоставления сущностей, каждое сопоставление может идентифицировать до 250 сущностей; Если определены пять сопоставлений, каждый из них может определять до 100 сущностей и т. д.
    • Несколько сопоставлений одного типа сущности (например, исходный IP-адрес и IP-адрес назначения) каждого количества отдельно.
    • Если оповещение содержит элементы, превышающие это ограничение, эти лишние элементы не будут распознаны и извлечены как сущности.

  • Ограничение размера для всей области сущностей оповещения ( поле "Сущности ") составляет 64 КБ.

    • Поля сущностей , размер которых превышает 64 КБ, будут усечены. Как идентифицируются сущности, они добавляются в оповещение по одному до тех пор, пока размер поля не достигнет 64 КБ, и все сущности, но неопознанные удаляются из оповещения.

Примечания к новой версии

  • Так как новая версия теперь является общедоступной, временное решение на основе флага функций для использования старой версии больше недоступно.

  • Если вы ранее определили сопоставления сущностей для этого правила аналитики с использованием старой версии, они будут автоматически преобразованы в новую версию.

Следующие шаги

В этом документе вы узнали, как сопоставлять поля данных с сущностями в правилах аналитики Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: