Mapování datových polí na entity v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Mapování entit je nedílnou součástí konfigurace pravidel plánované analýzy dotazů. Rozšiřuje výstup pravidel (výstrahy a incidenty) o základní informace, které slouží jako stavební bloky všech vyšetřovacích procesů a nápravných akcí, které následují.

Níže uvedený postup je součástí průvodce vytvořením analytického pravidla. Sem se zachází nezávisle na řešení scénáře přidání nebo změny mapování entit v existujícím analytickém pravidlu.

Důležité

• Důležité informace o zpětné kompatibilitě a rozdílechmezich
• Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Jak mapovat entity

1. Na portálu zadejte stránku Analýza , přes kterou přistupujete k Microsoft Sentinelu:

   Azure Portal

   V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

   Portál Defenderu

   V navigační nabídce v programu Microsoft Defender rozbalte Položku Microsoft Sentinel a pak Konfiguraci. Vyberte Analýza.

2. Vyberte pravidlo naplánovaného dotazu a v podokně podrobností vyberte Upravit . Nebo můžete vytvořit nové pravidlo kliknutím na vytvořit > pravidlo naplánovaného dotazu v horní části obrazovky.

3. Vyberte kartu Nastavit logiku pravidla. Pokud nové pravidlo, zadejte dotaz do okna dotazu pravidla.

4. V části Vylepšení výstrahy rozbalte mapování entit.

   

5. V nově rozbalené části Mapování entit vyberte Přidat novou entitu.

   

6. V rozevíracím seznamu Entita vyberte typ entity.

   

7. Vyberte identifikátor entity. Identifikátory jsou atributy entity, které ji mohou dostatečně identifikovat. Zvolte jedno z rozevíracího seznamu Identifikátor a pak v rozevíracím seznamu Hodnota zvolte datové pole, které bude odpovídat identifikátoru. S některými výjimkami je seznam hodnot naplněn datovými poli v tabulce definované jako předmět dotazu pravidla.

   Pro mapování dané entity můžete definovat až tři identifikátory . Některé identifikátory jsou povinné, jiné jsou volitelné. Musíte zvolit alespoň jeden požadovaný identifikátor. Pokud ne, zobrazí se zpráva s upozorněním, které identifikátory jsou povinné. Nejlepších výsledků – pro maximální jedinečnou identifikaci – byste měli použít silné identifikátory , kdykoli je to možné, a použití více silných identifikátorů umožní větší korelaci mezi zdroji dat. Podívejte se na úplný seznam dostupných entit a identifikátorů.

   

8. Pokud chcete namapovat další entity, vyberte Přidat novou entitu . V jednom analytickém pravidlu můžete definovat až deset mapování entit. Můžete také mapovat více než jeden ze stejného typu. Můžete například namapovat dvě entity IP adres, jednu z pole zdrojové IP adresy a jednu z pole cílové IP adresy. Tímto způsobem je můžete sledovat oba.

   Pokud si to rozmyslíte nebo uděláte chybu, můžete mapování entit odebrat kliknutím na ikonu koše vedle rozevíracího seznamu entit.

9. Po dokončení mapování entit klikněte na kartu Revize a vytvoření . Po úspěšném ověření pravidla klikněte na Uložit.

Poznámka:

• V jediném upozornění je možné společně identifikovat až 500 entit , rovnoměrně rozdělených napříč všemi mapováními entit definovanými v pravidle.

  • Pokud jsou například v pravidle definovány dvě mapování entit, může každé mapování identifikovat až 250 entit; pokud je definováno pět mapování, může každý z nich identifikovat až 100 entit atd.
  • Více mapování jednoho typu entity (například zdrojová IP adresa a cílová IP adresa) každý počet zvlášť.
  • Pokud výstraha obsahuje položky nad tímto limitem, nebudou tyto nadbytečné položky rozpoznány a extrahovány jako entity.

• Limit velikosti pro celou oblast entit výstrahy (pole Entity) je 64 kB.

  • Pole entit větší než 64 kB budou zkrácena. Jak jsou entity identifikovány, přidají se do výstrahy o jednu po druhé, dokud velikost pole nedosáhne 64 kB a všechny entity, které ještě nebyly identifikovány, se z výstrahy zahodí.

Poznámky k nové verzi

• Vzhledem k tomu, že nová verze je nyní obecně dostupná (GA), alternativní řešení příznaku funkcí pro použití staré verze už není k dispozici.

• Pokud jste dříve nadefinovali mapování entit pro toto analytické pravidlo pomocí staré verze, automaticky se převedou na novou verzi.

Další kroky

V tomto dokumentu jste zjistili, jak mapovat datová pole na entity v analytických pravidlech Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Prozkoumejte další způsoby, jak rozšířit upozornění:
  • Podrobnosti o vlastních událostech surface v upozorněních v Microsoft Sentinelu
  • Přizpůsobení podrobností výstrah v Microsoft Sentinelu
• Získejte úplný obrázek o pravidlech analýzy naplánovaných dotazů.
• Přečtěte si další informace o entitách v Microsoft Sentinelu.