Microsoft Sentinel 中的實體
當警示傳送至 Microsoft Sentinel 或由 Microsoft Sentinel 產生時,它們會包含 Sentinel 可辨識並分類為 實體分類的數據元素。 當 Microsoft Sentinel 瞭解特定數據元素所代表的實體類型時,它會知道詢問它的正確問題,然後就可以比較整個 Sentinel 體驗中有關該專案的深入解析,並輕鬆地追蹤並在整個 Sentinel 體驗中參考它 - 分析、調查、補救、搜捕等等。 實體的一些常見範例包括用戶帳戶、主機、信箱、IP 位址、檔案、雲端應用程式、進程和 URL。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
在 Microsoft Defender 入口網站中的統一安全性作業平臺中,實體通常分為兩個主要類別:
| 實體類別 | 表徵 | 主要範例 |
|---|---|---|
| 資產 | ||
| 其他實體 (證據) |
實體標識碼
Microsoft Sentinel 支援各種不同的實體類型。 每個類型都有自己的唯一屬性,這些屬性會以實體架構中的字段表示,而且稱為 標識符。 請參閱下方支持實體的完整清單,以及 Microsoft Sentinel 實體類型參考中的完整實體架構和標識符集。
強式和弱式標識碼
每個實體類型都有欄位或一組字段,可識別該實體的特定實例。 如果這些欄位或一組欄位可以唯一識別沒有模棱兩可的實體,或在某些情況下識別實體時,這些欄位或字段集合可稱為強標識碼,但不保證在所有情況下都能唯一識別實體。 不過,在許多情況下,可以選擇弱式標識符來產生強標識符。
例如,用戶帳戶可以使用多個方式識別為帳戶實體:使用單一強標識碼,例如 Microsoft Entra 帳戶的數值識別元(GUID 欄位),或其用戶主體名稱 (UPN) 值,或者,或者,使用弱標識碼的組合,例如其 Name 和 NTDomain 字段。 不同的資料來源可以用不同的方式來識別相同的使用者。 每當 Microsoft Sentinel 遇到兩個實體,它可以根據其標識符辨識為相同的實體時,它會將兩個實體合併成單一實體,以便正確且一致地處理它。
不過,如果其中一個資源提供者會建立警示,其中實體尚未充分識別,例如,只使用單 一弱式標識碼 ,例如沒有域名內容的用戶名稱,則使用者實體無法與相同用戶帳戶的其他實例合併。 這些其他實例會識別為個別的實體,這兩個實體會保持獨立,而不是統一。
為了將發生這類情況的風險降至最低,您應該確認所有警示提供者都能正確地識別其產生警示中的實體。 此外,與 Microsoft Entra ID 同步處理使用者帳戶實體,可能會產生整合的目錄,其能夠合併使用者帳戶實體。
支持的實體
以下是目前在 Microsoft Sentinel 中識別的實體類型:
您可以在實體參考中檢視這些實體的標識碼和其他相關信息。
實體對應
Microsoft Sentinel 如何將警示中的數據片段辨識為識別實體?
讓我們看看如何在 Microsoft Sentinel 中完成數據處理。 數據會透過 連接器從各種來源擷取,無論是服務對服務、代理程式型還是API型。 數據會儲存在Log Analytics工作區的數據表中。 當您搜尋威脅時,這些數據表會依排程或近乎即時的分析規則定期查詢,或隨選搜尋查詢。 這些分析規則和搜捕查詢定義的一部分,是數據表中的數據欄位對應至 Microsoft Sentinel 所辨識的實體類型。 根據您定義的對應,Microsoft Sentinel 會從查詢傳回的結果中取得欄位、依您為每個實體類型指定的識別碼加以辨識,並套用至這些標識符所識別的實體類型。
這一切有什麼意義?
當 Microsoft Sentinel 能夠從不同類型的數據源識別警示中的實體時,特別是當它可以使用每個數據源或另一個架構通用的強標識符時,它就可以輕鬆地與所有這些警示和數據源相互關聯。 這些相互關聯有助於在實體上建置豐富的資訊和見解存放區,為您提供調查及回應安全性威脅的堅實基礎和內容。
瞭解如何將數據 欄位對應至實體。
瞭解 哪些標識符會強式識別實體。
實體頁面
您現在可以在 Microsoft Sentinel 中的實體頁面找到實體頁面的相關信息。
下一步
在本檔中,您已瞭解如何在 Microsoft Sentinel 中使用實體。 如需實作的實際指引,以及使用您取得的深入解析,請參閱下列文章: