Mengklasifikasikan dan menganalisis data menggunakan entitas di Microsoft Azure Sentinel

  • Artikel
  • 6 menit untuk membaca

Catatan

Azure Sentinel sekarang disebut Microsoft Sentinel, dan kami akan memperbarui halaman ini dalam beberapa minggu mendatang. Pelajari selengkapnyatentang peningkatan keamanan Microsoft terbaru.

Apa itu entitas?

Saat pemberitahuan dikirim ke atau dihasilkan oleh Microsoft Azure Sentinel, pemberitahuan tersebut berisi item data yang dapat dikenali dan diklasifikasikan oleh Sentinel ke dalam kategori sebagai entitas. Ketika Microsoft Azure Sentinel memahami jenis entitas apa yang diwakili item data tertentu, ia tahu pertanyaan yang tepat untuk ditanyakan tentang hal itu, dan kemudian dapat membandingkan wawasan tentang item itu di berbagai sumber data, dan dengan mudah melacaknya dan merujuknya ke seluruh pengalaman Sentinel - analisis, investigasi, perbaikan, perburuan, dan sebagainya. Beberapa contoh umum entitas adalah pengguna, host, file, proses, alamat IP, dan URL.

Pengidentifikasi entitas

Microsoft Azure Sentinel mendukung berbagai jenis entitas. Setiap jenis memiliki atribut unik sendiri, termasuk beberapa yang dapat digunakan untuk mengidentifikasi entitas tertentu. Atribut ini direpresentasikan sebagai bidang dalam entitas, dan disebut pengidentifikasi. Lihat daftar lengkap entitas yang didukung beserta pengidentifikasinya di bawah ini.

Pengidentifikasi yang kuat dan lemah

Seperti disebutkan tepat di atas, untuk setiap jenis entitas ada bidang, atau set bidang, yang dapat mengidentifikasinya. Bidang atau set bidang ini dapat disebut sebagai pengidentifikasi yang kuat jika dapat mengidentifikasi entitas secara unik tanpa ambiguitas, atau sebagai pengidentifikasi yang lemah jika dapat mengidentifikasi entitas dalam beberapa keadaan, tetapi tidak dijamin untuk mengidentifikasi entitas secara unik dalam semua kasus. Namun, dalam banyak kasus, pilihan pengidentifikasi yang lemah dapat dikombinasikan untuk menghasilkan pengidentifikasi yang kuat.

Misalnya, akun pengguna dapat diidentifikasi sebagai entitas akun di lebih dari satu cara: menggunakan satu pengidentifikasi kuat seperti pengidentifikasi numerik akun Microsoft Azure AD (bidang GUID), atau nilai Nama Prinsipal Pengguna (UPN) , atau sebagai alternatif, menggunakan kombinasi pengidentifikasi lemah seperti bidang Nama dan NTDomain-nya. Sumber data yang berbeda dapat mengidentifikasi pengguna yang sama dengan cara yang berbeda. Setiap kali Microsoft Azure Sentinel menemukan dua entitas yang dapat dikenali sebagai entitas yang sama berdasarkan pengidentifikasinya, ia menggabungkan kedua entitas tersebut menjadi satu entitas, sehingga dapat ditangani dengan baik dan konsisten.

Namun, jika salah satu penyedia sumber daya Anda membuat pemberitahuan di mana entitas tidak cukup diidentifikasi - misalnya, hanya menggunakan satu pengidentifikasi lemah seperti nama pengguna tanpa konteks nama domain - maka entitas pengguna tidak dapat digabungkan dengan contoh lain dari akun pengguna yang sama. Contoh lain tersebut akan diidentifikasi sebagai entitas terpisah, dan kedua entitas itu akan tetap terpisah alih-alih bersatu.

Untuk meminimalkan risiko ini terjadi, Anda harus memverifikasi bahwa semua penyedia pemberitahuan Anda mengidentifikasi entitas dengan benar dalam pemberitahuan yang dihasilkan. Selain itu, menyinkronkan entitas akun pengguna dengan Azure Active Directory dapat membuat direktori pemersatu, yang akan dapat menggabungkan entitas akun pengguna.

Entitas yang didukung

Tipe entitas berikut saat ini diidentifikasi di Microsoft Azure Sentinel:

  • Akun pengguna
  • Host
  • Alamat IP
  • Malware
  • File
  • Proses
  • Aplikasi cloud
  • Nama domain
  • Sumber daya Azure
  • Hash file
  • Kunci Registri
  • Nilai registri
  • Kelompok keamanan
  • URL
  • perangkat IoT
  • Kotak surat
  • Kluster mail
  • Pesan mail
  • Email Pengiriman

Anda dapat melihat pengidentifikasi entitas ini dan informasi relevan lainnya dalam referensi entitas.

Pemetaan entitas

Bagaimana Microsoft Azure Sentinel mengenali sepotong data dalam pemberitahuan sebagai mengidentifikasi entitas?

Mari kita lihat bagaimana pemrosesan data dilakukan di Microsoft Azure Sentinel. Data digunakan dari berbagai sumber melalui konektor, baik layanan ke layanan, berbasis agen, atau menggunakan layanan syslog dan penerus log. Data disimpan dalam tabel di ruang kerja Analitik Log Anda. Tabel ini kemudian dikueri pada interval terjadwal secara teratur oleh aturan analitik yang telah Anda tentukan dan aktifkan. Salah satu dari banyak tindakan yang diambil oleh aturan analitik ini adalah pemetaan bidang data dalam tabel ke entitas yang diakui Microsoft Azure Sentinel. Menurut pemetaan yang Anda tentukan dalam aturan analitik Anda, Microsoft Azure Sentinel akan mengambil bidang dari hasil yang ditampilkan oleh kueri Anda, mengenalinya dengan pengidentifikasi yang Anda tentukan untuk setiap jenis entitas, dan memberlakukan jenis entitas yang diidentifikasi oleh pengidentifikasi tersebut.

Apa gunanya semua ini?

Ketika Microsoft Azure Sentinel dapat mengidentifikasi entitas dalam pemberitahuan dari berbagai jenis sumber data, dan terutama jika dapat melakukannya menggunakan pengidentifikasi yang kuat yang umum untuk setiap sumber data atau skema ketiga, maka dapat dengan mudah mengorelasikan antara semua pemberitahuan dan sumber data ini. Korelasi ini membantu membangun penyimpanan informasi dan wawasan yang kaya tentang entitas, memberi Anda fondasi yang kuat untuk operasi keamanan Anda.

Pelajari cara memetakan bidang data ke entitas.

Pelajari pengidentifikasi mana yang sangat mengidentifikasi entitas.

Halaman entitas

Saat Anda menemukan entitas pengguna atau host (entitas alamat IP sedang dalam pratinjau) dalam pencarian entitas, pemberitahuan, atau investigasi, Anda dapat memilih entitas dan halaman entitas akan terbuka, sebuah lembar data yang penuh dengan informasi berguna tentang entitas tersebut. Jenis informasi yang akan Anda temukan di halaman ini mencakup fakta dasar tentang entitas, garis waktu peristiwa penting terkait entitas ini, dan wawasan tentang perilaku entitas.

Halaman entitas terdiri dari tiga bagian:

  • Panel sisi kiri berisi informasi identifikasi entitas, yang dikumpulkan dari sumber data seperti Microsoft Azure Active Directory, Azure Monitor, Microsoft Defender for Cloud, CEF/Syslog, dan Microsoft 365 Defender.

  • Panel tengah menampilkan garis waktu grafis dan tekstual peristiwa penting yang terkait dengan entitas, seperti pemberitahuan, marka buku, anomali, dan aktivitas. Aktivitas adalah agregasi peristiwa penting dari Analitik Log. Kueri yang mendeteksi aktivitas tersebut dikembangkan oleh tim riset keamanan Microsoft, dan sekarang Anda dapat menambahkan kueri kustom Anda sendiri untuk mendeteksi aktivitas yang Anda pilih.

  • Panel sisi kanan menyajikan wawasan perilaku pada entitas. Wawasan ini membantu mengidentifikasi anomali dan ancaman keamanan dengan cepat. Wawasan ini dikembangkan oleh tim peneliti keamanan Microsoft, dan didasarkan pada model deteksi anomali.

Catatan

Halaman entitas alamat IP (sekarang disebut dalam pratinjau) berisi data geolokasi yang disediakan oleh layanan Inteligensi Ancaman Microsoft. Layanan ini menggabungkan data geolokasi dari solusi Microsoft sekaligus vendor dan mitra pihak ketiga. Data tersebut kemudian tersedia untuk analisis dan penyelidikan dalam konteks insiden keamanan. Untuk informasi selengkapnya, lihat juga Memperkaya entitas di Microsoft Azure Sentinel dengan data geolokasi melalui REST API (Pratinjau publik).

Garis waktu

Entity pages timeline

Garis waktu adalah bagian utama dari kontribusi halaman entitas untuk analitik perilaku di Microsoft Azure Sentinel. Hal ini menyajikan kisah tentang peristiwa terkait entitas, membantu Anda memahami aktivitas entitas dalam jangka waktu tertentu.

Anda dapat memilih rentang waktu dari beberapa opsi prasetel (seperti 24 jam terakhir), atau mengesetkannya ke jangka waktu kustom yang ditentukan. Selain itu, Anda dapat mengeset filter yang membatasi informasi di garis waktu untuk jenis peristiwa atau pemberitahuan tertentu.

Jenis item berikut termasuk dalam garis waktu:

  • Pemberitahuan - setiap pemberitahuan di mana entitas didefinisikan sebagai entitas yang dipetakan. Perlu dicatat bahwa jika organisasi Anda telah membuat permberitahuan kustom menggunakan aturan analitik, Anda harus memastikan bahwa pemetaan entitas aturan dilakukan dengan benar.

  • Marka buku - semua marka buku yang menyertakan entitas tertentu yang tertampil di halaman.

  • Anomali - Deteksi UEBA berdasarkan garis besar dinamis yang dibuat untuk setiap entitas di berbagai input data dan terhadap aktivitas historisnya sendiri, rekan-rekannya, dan organisasi secara keseluruhan.

  • Aktivitas - agregasi peristiwa penting yang berkaitan dengan entitas. Berbagai aktivitas dikumpulkan secara otomatis, dan sekarang Anda dapat menyesuaikan bagian ini dengan menambahkan aktivitas yang Anda pilih sendiri.

Wawasan Entitas

Wawasan entitas adalah kueri yang ditentukan oleh peneliti keamanan Microsoft untuk membantu analis Anda menginvestigasi dengan lebih efisien dan efektif. Wawasan tersebut disajikan sebagai bagian dari halaman entitas, dan memberikan informasi keamanan yang berharga tentang host dan pengguna, dalam bentuk data tabular dan char. Memiliki informasi di sini berarti Anda tidak perlu membuka Analitik Log. Wawasan tersebut mencakup data mengenai rincian masuk, penambahan grup, peristiwa anomali, dan banyak lagi, serta menyertakan algoritma ML canggih untuk mendeteksi perilaku anomali.

Wawasan didasarkan pada sumber data berikut:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Azure AD)
  • SigninLogs (Microsoft Azure AD)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (UEBA Microsoft Azure Sentinel)
  • Heartbeat (Agen Azure Monitor)
  • CommonSecurityLog (Microsoft Azure Sentinel)

Cara menggunakan halaman entitas

Halaman entitas didesain untuk menjadi bagian dari beberapa skenario penggunaan, dan dapat diakses dari manajemen insiden, grafik investigasi, marka buku, atau langsung dari halaman pencarian entitas di bagian Analitik perilaku entitas di menu utama Microsoft Azure Sentinel.

Entity page use cases

Informasi halaman entitas disimpan dalam tabel BehaviorAnalytics, dijelaskan secara mendetail dalam referensi pengayaan UEBA Microsoft Azure Sentinel.

Langkah berikutnya

Dalam dokumen ini, Anda belajar tentang bekerja dengan entitas di Microsoft Azure Sentinel. Untuk panduan praktis tentang implementasi dan untuk menggunakan wawasan yang Anda peroleh, lihat artikel berikut: