Mapear campos de dados para as entidades no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

O mapeamento da entidade é a parte integrante da configuração dasregras analíticas da manutenção agendada. Ele enriquece a saída de filtro (alertas e incidentes) a respeito das informações essenciais que servem como blocos de construção de quaisquer processos investigativos e ações corretivas a seguir.

O procedimento detalhado abaixo faz parte do assistente de criação de regras da análise. É tratado aqui de forma independente para endereçar o cenário de adição ou alteração de mapeamentos da entidade numa regra de análise existente.

Importante

• Confira as "Notas sobre a nova versão" no final deste documento para obter informações importantes sobre a compatibilidade com versões anteriores e as diferenças entre as versões novas e antigas do mapeamento de entidade.
• O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Como mapear as entidades

1. Entre na página Análise no portal em que você acessa o Microsoft Sentinel:

   Portal do Azure

   Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.

   Portal do Defender

   No menu de navegação do Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

2. Selecione uma regra de consulta agendada e selecione Editar no painel de detalhes. Ou crie uma regra clicando em Criar > Regra de consulta agendada na parte superior da tela.

3. Selecione a guia Definir lógica de regra. Se for uma nova regra, digite uma consulta na janela Consulta de regra.

4. Na seção Enriquecimento de alerta, expanda o Mapeamento de entidade.

   

5. Na seção Mapeamento de entidade expandida agora, selecione Adicionar nova entidade.

   

6. Na lista suspensa Entidade, escolha uma entidade.

   

7. Selecione umidentificadorda entidade. Os identificadores são atributos de uma entidade que podem identificá-los suficientemente. Escolha um da lista suspensa identificador e, em seguida, escolha um campo de dados da lista suspensa Valorque corresponderá ao identificador. Com algumas exceções, a lista deValoré preenchida pelos campos de dados na tabela definida como o assunto da consulta de regra.

   Você pode definir até três identificadores para o mapeamento de uma referida entidade. Alguns identificadores são necessários; outros são opcionais. Você deve escolher pelo menos um identificador necessário. Se você não fizer isso, uma mensagem de aviso ordenará quais os identificadores são necessários. Para obter melhores resultados – para a identificação específica máxima – você deve usar identificadores fortes sempre que possível e usar diversos identificadores fortes permitirá maior correlação entre as origens de dados. Verifique a lista completa deentidades e identificadoresdisponíveis.

   

8. Selecione Adicionar nova entidade para mapear mais entidades. Você pode definir até dez mapeamentos de entidade em uma única regra analítica. Você pode também mapear mais que um do mesmo tipo. Por exemplo, você pode mapear duas entidades deIP, uma de um campo doendereço IP de origeme outra de um campo doendereço IP de destino. Desta maneira, você pode acompanhá-los.

   Se você mudar de ideia ou se cometer um erro, poderá remover um mapeamento da entidade clicando no ícone lixeira ao lado da lista suspensa da entidade.

9. Quando terminar de mapear as entidades, clique na guiaRevisar e criar. Uma vez que a validação da regra for bem-sucedida, clique emSalvar.

Observação

• Até 500 entidades coletivamente podem ser identificadas em um único alerta, divididas igualmente entre todos os mapeamentos de entidade definidos na regra.

  • Por exemplo, se dois mapeamentos de entidade forem definidos na regra, cada mapeamento poderá identificar até 250 entidades; se cinco mapeamentos forem definidos, cada um poderá identificar até 100 entidades e assim por diante.
  • Vários mapeamentos de um único tipo de entidade (por exemplo, IP de origem e IP de destino) contam separadamente.
  • Se um alerta contiver itens acima desse limite, esses itens em excesso não serão reconhecidos e extraídos como entidades.

• O limite de tamanho para toda a área de entidades de um alerta (o campo Entidades) é de 64 KB.

  • Campos de entidades maiores que 64 KB serão truncados. À medida que as entidades são identificadas, elas são adicionadas ao alerta uma a uma até que o tamanho do campo atinja 64 KB e quaisquer entidades ainda não identificadas sejam removidas do alerta.

Notas sobre a nova versão

• Como a nova versão já tem GA (disponibilidade geral), a solução alternativa do sinalizador de recursos para usar a versão antiga não está mais disponível.

• Se você já tiver definido mapeamentos de entidade para essa regra de análise usando a versão antiga, eles serão convertidos automaticamente na nova versão.

Próximas etapas

Neste documento, você aprendeu como mapear campos de dados para as entidades nas regras de análise do Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:

• Explore as outras maneiras de enriquecer seus alertas:
  • Detalhes do evento personalizado do Surface em alertas no Microsoft Sentinel
  • Personalizar detalhes do alerta no Microsoft Sentinel
• Obtenha a imagem completa nasregras de análise de consulta agendada.
• Saiba mais sobre entidades no Microsoft Sentinel.