將資料欄位對應至 Microsoft Sentinel 中的實體
實體對應是排程查詢分析規則組態不可或缺的一部分。 它以基本資訊豐富規則的輸出(警示和事件),作為任何調查程序和後續動作的建置組塊。
以下詳述的程式是分析規則建立精靈的一部分。 這裡會單獨處理,以解決在現有分析規則中新增或變更實體對應的情況。
重要
- 如需新版與舊版實體對應之間回溯相容性和差異的重要資訊,請參閱本文件結尾的<
新功能注意事項>。 - Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如何對應實體
在您存取 Microsoft Sentinel 的入口網站中輸入 Analytics 頁面:
從 Microsoft Sentinel 導覽功能表的 [設定] 區段,選取 [分析]。
選取排程的查詢規則,然後從詳細數據窗格中選取 [編輯 ]。 或單擊畫面頂端的 [ 建立 > 排程查詢規則] 來建立新的規則 。
選取 [ 設定規則邏輯 ] 索引標籤。如果新的規則,請在 [ 規則查詢] 視窗中輸入查詢 。
在 [ 警示增強功能] 區段中,展開 [實體對應]。
在 [立即展開 的實體對應] 區段中,選取 [ 新增實體]。
從 [實體] 下拉式清單中選取實體 類型。
選取實體的標識碼。 標識碼是實體的屬性,可以充分識別它。 從 [ 標識符 ] 下拉式清單中選擇一個,然後從 [值 ] 下拉式清單中選擇一個對應至標識符的數據欄位。 有一些例外狀況, 值 清單會由定義為規則查詢主旨之數據表中的數據欄位填入。
您可以定義 指定實體對應的最多三個識別碼 。 有些標識碼是必要的,有些則是選擇性的。 您必須至少選擇一個必要的識別碼。 如果沒有,警告訊息會指示您需要哪些標識符。 為了獲得最佳結果,為了達到最大唯一標識符,您應該盡可能使用 強標識碼 ,而使用多個強標識碼可讓數據源之間產生更大的相互關聯。 請參閱可用 實體和識別碼的完整清單。
選取 [新增實體 ] 以對應更多實體。 您可以在單一分析規則中定義 最多十個實體對應 。 您也可以對應多個相同類型。 例如,您可以對應兩個IP實體,一個來自來源IP位址欄位,另一個來自目的地IP位址欄位。 如此一來,您就可以追蹤兩者。
如果您改變主意,或如果您犯了錯誤,您可以按兩下拉式清單旁的垃圾桶圖示來移除實體對應。
當您完成對應實體時,請按兩下 [ 檢閱並建立] 索引標籤。一旦規則驗證成功,請按兩下 [ 儲存]。
注意
在單一警示中可識別 最多500個實體,在規則中定義的所有實體對應中平均分配。
- 例如,如果規則中定義了兩個實體對應,則每個對應最多可以識別 250 個實體;如果定義了五個對應,則每個對應最多可以識別 100 個實體等等。
- 單一實體類型的多個對應(例如,來源IP和目的地IP)會個別計算。
- 如果警示包含超出此限制的項目,這些多餘的專案將無法辨識並擷取為實體。
警示之整個實體區域的大小限制 ([實體] 字段) 為 64 KB。
- 成長超過 64 KB 的實體 字段將會遭到截斷。 識別實體時,它們會逐一新增至警示,直到字段大小達到 64 KB 為止,且任何尚未識別的實體都從警示中卸除。
新版本的注意事項
由於新版本現已正式推出(GA),因此無法使用舊版的功能旗標因應措施。
如果您先前已使用舊版定義此分析規則的實體對應,它們會自動轉換成新版本。
下一步
在本檔中,您已瞭解如何將數據欄位對應至 Microsoft Sentinel 分析規則中的實體。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 探索擴充警示的其他方式:
- 取得排程查詢分析規則的完整圖片。
- 深入瞭解 Microsoft Sentinel 中的實體。