Страницы сущностей в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Когда вы сталкиваетесь с учетной записью пользователя, именем узла, IP-адресом или ресурсом Azure в расследовании инцидентов, вы можете решить, что вы хотите узнать больше об этом. Например, может потребоваться узнать историю активности, встречалась ли сущность в других оповещениях или инцидентах, происходило ли с ней что-то неожиданное и т. д. Короче говоря, нужна информация, которая поможет определить, какую угрозу представляет сущность, и направить ваше расследование по верному пути.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Страницы сущностей

В таких ситуациях можно выбрать сущность (она будет представлена как активная ссылка) и перейти на страницу сущности, то есть таблицу с полезными сведениями о ней. Перейти на страницу сущности можно также путем поиска сущности на странице поведения сущностей в Microsoft Sentinel. На странице сущности можно найти следующие сведения: основные сведения о сущности, временная шкала значимых событий, связанных с этой сущностью, и полезные сведения о поведении сущности.

В частности, страница сущности состоит из трех частей:

• На левой панели содержатся сведения об идентификации сущности, собранные из источников данных, таких как Идентификатор Microsoft Entra, Azure Monitor, Действие Azure, Azure Resource Manager, Microsoft Defender для облака, CEF/Syslog и XDR Microsoft Defender (со всеми компонентами).

• На центральной панели отображается графическая и текстовая временная шкала значимых событий, связанных с сущностью, таких как оповещения, закладки, аномалии и действия. Действия — это агрегаты важных событий из Log Analytics. Запросы для обнаружения этих действий разрабатываются исследовательскими группами Майкрософт в области безопасности, и теперь вы можете добавлять собственные запросы.

• На правой панели представлены полезные сведения о поведении сущности. Эти сведения постоянно улучшаются и уточняются исследовательскими группами Майкрософт по безопасности. Они основаны на различных источниках данных и дают общее представление о сущности и ее наблюдаемой активности, помогая быстро выявлять аномальное поведение и угрозы безопасности.

  По состоянию на ноябрь 2023 г. в виде мини-приложений обогащения в виде мини-приложений обогащения начинается следующее поколение аналитических сведений. Эти новые аналитические сведения могут интегрировать данные из внешних источников и получать обновления в режиме реального времени, и их можно увидеть вместе с существующими аналитическими сведениями. Чтобы воспользоваться преимуществами этих новых мини-приложений, необходимо включить интерфейс мини-приложения.

Если вы расследуете инцидент с помощью нового интерфейса расследования, вы сможете увидеть панельную версию страницы сущности прямо на странице сведений об инциденте. У вас есть список всех сущностей в данном инциденте, и при выборе сущности откроется боковая панель с тремя "карта" — Сведения, временная шкала и Аналитика, отображающая все те же сведения, описанные выше, в течение определенного интервала времени, соответствующего оповещениям в инциденте.

Если вы используете единую платформу операций безопасности на портале Microsoft Defender, на вкладке событий Sentinel на странице сущности Defender отображаются панели временная шкала и аналитических сведений.

Портал Azure

Портал Defender

Временная шкала

Портал Azure

Временная шкала является основным вкладом страницы сущности в аналитику поведения в Microsoft Sentinel. Это история событий, связанных с сущностями, которая помогает понять действия сущности в течение определенного промежутка времени.

Можно выбрать диапазон времени из нескольких предварительно заданных параметров (например, за последние 24 часа) или задать для него любой пользовательский интервал. Кроме того, можно задать фильтры, которые ограничивают данные на временной шкале конкретными типами событий или оповещений.

В временная шкала включены следующие типы элементов.

• Оповещения: все оповещения, в которых сущность определяется как сопоставленная сущность. Обратите внимание, что если ваша организация создала пользовательские оповещения с помощью правил аналитики, то следует убедиться, что сопоставление сущностей правил выполнено правильно.

• Закладки: все закладки, содержащие конкретную сущность, показанную на странице.

• Аномалии: обнаружение UEBA на основе динамических базовых показателей, созданных для каждой сущности в различных входных данных и в отношении собственных исторических действий, одноранговых и одноранговых показателей организации в целом.

• Действия: агрегирование важных событий, связанных с сущностью. Множество действий регистрируется автоматически, и теперь вы можете настроить этот раздел, добавив собственные действия.

Портал Defender

Временная шкала на вкладке событий Sentinel добавляет основную часть вклада страницы сущности в аналитику поведения в единой платформе операций безопасности в Microsoft Defender. Это история событий, связанных с сущностями, которая помогает понять действия сущности в течение определенного промежутка времени.

В частности, вы увидите события Sentinel временная шкала оповещения и события из сторонних источников, собранных только Microsoft Sentinel, например syslog/CEF и пользовательские журналы, принятые через агент Azure Monitor или пользовательские соединители.

В временная шкала включены следующие типы элементов.

• Оповещения: все оповещения, в которых сущность определяется как сопоставленная сущность. Обратите внимание, что если ваша организация создала пользовательские оповещения с помощью правил аналитики, то следует убедиться, что сопоставление сущностей правил выполнено правильно.

• Закладки: все закладки, содержащие конкретную сущность, показанную на странице.

• Аномалии: обнаружение UEBA на основе динамических базовых показателей, созданных для каждой сущности в различных входных данных и в отношении собственных исторических действий, одноранговых и одноранговых показателей организации в целом.

• Действия: агрегирование важных событий, связанных с сущностью. Множество действий регистрируется автоматически, и теперь вы можете настроить этот раздел, добавив собственные действия.

В этом временная шкала отображаются сведения за последние 24 часа. Этот период в настоящее время не настраивается.

Аналитические сведения о сущностях

Полезные сведения о сущностях — это запросы, определяемые аналитиками безопасности Майкрософт, которые помогают им проводить расследования более эффективно. Аналитика представляется как часть страницы сущности и предоставляет ценные сведения о безопасности узлов и пользователей в виде табличных данных и диаграмм. Если здесь есть информация, то вам не нужно переходить в Log Analytics. Полезные сведения включают в себя данные о входах, добавлении групп, аномальных событиях и т. д., а также сложные алгоритмы Машинного обучения для обнаружения аномального поведения.

Полезные сведения содержат следующие источники данных:

• системный журнал (Linux);
• SecurityEvent (Windows);
• AuditLogs (идентификатор Microsoft Entra)
• SigninLogs (идентификатор Microsoft Entra)
• OfficeActivity (Office 365);
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Heartbeat (Azure Monitor Agent);
• CommonSecurityLog (Microsoft Sentinel)

Как правило, каждое представление сущности, отображаемое на странице сущности, сопровождается ссылкой, которая приведет вас к странице, в которой отображается запрос, базовый аналитический анализ, а также результаты, поэтому вы можете проанализировать результаты в большей глубине.

• В Microsoft Sentinel в портал Azure ссылка перейдет на страницу журналов.
• На единой платформе операций безопасности на портале Microsoft Defender вы перейдете на страницу расширенной охоты .

Работа со страницами сущностей

Страницы сущностей предназначены для использования в рамках нескольких сценариев, и доступ к ним осуществляется из системы управления инцидентами, графов расследования, закладок или непосредственно со страницы поиска сущностей в разделе Поведение сущностей в главном меню Microsoft Sentinel.

Информация на странице сущности хранится в таблице BehaviorAnalytics, подробно описанной в справочнике по Microsoft Sentinel UEBA.

Поддерживаемые страницы сущностей

В настоящее время в Microsoft Sentinel предлагаются следующие страницы сущностей:

• Учетная запись пользователя

• Хост

• IP-адрес (предварительная версия)

  Примечание.

  Страница сущности IP address (сейчас на стадии бета-тестирования) содержит данные геолокации, предоставляемые службой Microsoft Threat Intelligence. Эта служба объединяет данные геолокации из решений Майкрософт и от сторонних поставщиков и партнеров. Затем данные предоставляются для анализа и исследования в контексте инцидента безопасности. Дополнительные сведения см. также в разделе Дополнение сущностей в Microsoft Sentinel данными геолокации через REST API (общедоступная предварительная версия).

• Ресурс Azure (предварительная версия)

• Устройство Интернета вещей (предварительная версия)— только в Microsoft Sentinel в портал Azure на данный момент.

Следующие шаги

В этом документе вы узнали о получении сведений о сущностях в Microsoft Sentinel с помощью страниц сущностей. Дополнительные сведения о сущностях и их использовании см. в следующих статьях:

• Сведения о сущностях в Microsoft Sentinel.
• Настройка действий на временной шкале на странице сущности.
• Выявление дополнительных угроз с помощью анализа поведения пользователей и сущностей (UEBA) в Microsoft Sentinel
• Аналитика поведения пользователей и сущностей в Microsoft Sentinel.
• Поиск угроз безопасности.