Entitetssidor i Microsoft Sentinel

Artikel
04/05/2024
Gäller för:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

När du stöter på ett användarkonto, ett värdnamn, en IP-adress eller en Azure-resurs i en incidentundersökning kanske du vill veta mer om det. Du kanske till exempel vill veta dess aktivitetshistorik, om den visas i andra aviseringar eller incidenter, om den har gjort något oväntat eller inte och så vidare. I korthet vill du ha information som kan hjälpa dig att avgöra vilken typ av hot dessa entiteter representerar och vägleda din undersökning i enlighet med detta.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Entitetssidor

I dessa situationer kan du välja entiteten (den visas som en klickbar länk) och tas till en entitetssida, ett datablad som är fullt av användbar information om den entiteten. Du kan också komma till en entitetssida genom att söka direkt efter entiteter på beteendesidan för Microsoft Sentinel-entiteter. De typer av information som du hittar på entitetssidor innehåller grundläggande fakta om entiteten, en tidslinje med viktiga händelser relaterade till den här entiteten och insikter om entitetens beteende.

Mer specifikt består entitetssidor av tre delar:

Panelen till vänster innehåller entitetens identifierande information som samlas in från datakällor som Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender för molnet, CEF/Syslog och Microsoft Defender XDR (med alla dess komponenter).
I mittenpanelen visas en grafisk tidslinje och en texttidslinje med viktiga händelser relaterade till entiteten, till exempel aviseringar, bokmärken, avvikelser och aktiviteter. Aktiviteter är aggregeringar av viktiga händelser från Log Analytics. De frågor som identifierar dessa aktiviteter utvecklas av Microsofts säkerhetsforskningsteam och du kan nu lägga till egna anpassade frågor för att identifiera aktiviteter som du väljer.
Panelen på höger sida visar beteendeinsikter för entiteten. Dessa insikter utvecklas kontinuerligt av Microsofts säkerhetsforskningsteam. De baseras på olika datakällor och ger kontext för entiteten och dess observerade aktiviteter, vilket hjälper dig att snabbt identifiera avvikande beteende och säkerhetshot.

Från och med november 2023 börjar nästa generations insikter att göras tillgängliga i FÖRHANDSVERSION, i form av berikningswidgetar. Dessa nya insikter kan integrera data från externa källor och få uppdateringar i realtid, och de kan ses tillsammans med befintliga insikter. Om du vill dra nytta av dessa nya widgetar måste du aktivera widgetupplevelsen.

Om du undersöker en incident med hjälp av den nya undersökningsmiljön kan du se en panelversion av entitetssidan direkt på sidan med incidentinformation. Du har en lista över alla entiteter i en viss incident och om du väljer en entitet öppnas en sidopanel med tre "kort", info, tidslinje och insikter, som visar samma information som beskrivs ovan, inom den specifika tidsram som motsvarar aviseringarna i incidenten.

Om du använder den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen visas panelerna tidslinje och insikter på fliken Sentinel-händelser på sidan Defender-entitet.

Azure-portalen
Defender-portalen

Skärmbild av ett exempel på en entitetssida i Azure-portalen.

Tidslinjen är en viktig del av entitetssidans bidrag till beteendeanalys i Microsoft Sentinel. Den visar en berättelse om entitetsrelaterade händelser som hjälper dig att förstå entitetens aktivitet inom en viss tidsram.

Du kan välja tidsintervallbland flera förinställda alternativ (till exempel de senaste 24 timmarna) eller ange det till valfri anpassad tidsram. Dessutom kan du ange filter som begränsar informationen i tidslinjen till specifika typer av händelser eller aviseringar.

Följande typer av objekt ingår i tidslinjen.

Aviseringar: alla aviseringar där entiteten definieras som en mappad entitet. Observera att om din organisation har skapat anpassade aviseringar med hjälp av analysregler bör du se till att reglernas entitetsmappning görs korrekt.
Bokmärken: alla bokmärken som innehåller den specifika entitet som visas på sidan.
Avvikelser: UEBA-identifieringar baserade på dynamiska baslinjer som skapats för varje entitet över olika dataindata och mot dess egna historiska aktiviteter, peer-objektens och organisationens som helhet.
Aktiviteter: aggregering av viktiga händelser som rör entiteten. En mängd olika aktiviteter samlas in automatiskt, och du kan nu anpassa det här avsnittet genom att lägga till aktiviteter som du själv väljer.

Skärmbild av ett exempel på en tidslinje på en entitetssida i Azure-portalen.

Entitetsinsikter

Entitetsinsikter är frågor som definieras av Microsofts säkerhetsforskare för att hjälpa dina analytiker att undersöka mer effektivt och effektivt. Insikterna presenteras som en del av entitetssidan och ger värdefull säkerhetsinformation om värdar och användare i form av tabelldata och diagram. Att ha informationen här innebär att du inte behöver ta en omväg till Log Analytics. Insikterna omfattar data om inloggningar, grupptillägg, avvikande händelser med mera och inkluderar avancerade ML-algoritmer för att identifiera avvikande beteende.

Insikterna baseras på följande datakällor:

Syslog (Linux)
SecurityEvent (Windows)
AuditLogs (Microsoft Entra ID)
SigninLogs (Microsoft Entra ID)
OfficeActivity (Office 365)
BehaviorAnalytics (Microsoft Sentinel UEBA)
Pulsslag (Azure Monitor Agent)
CommonSecurityLog (Microsoft Sentinel)

Generellt sett åtföljs varje entitetsinsikt som visas på entitetssidan av en länk som tar dig till en sida där frågan som ligger till grund för insikten visas, tillsammans med resultaten, så att du kan undersöka resultaten mer ingående.

I Microsoft Sentinel i Azure-portalen tar länken dig till sidan Loggar .
I den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen tar länken dig till sidan Avancerad jakt .

Så här använder du entitetssidor

Entitetssidor är utformade för att ingå i flera användningsscenarier och kan nås från incidenthantering, undersökningsdiagram, bokmärken eller direkt från entitetssökningssidan under Entitetsbeteende på Microsoft Sentinel-huvudmenyn.

Diagram över områden som du kan komma åt entitetssidor från, motsvarande användningsfall.

Information om entitetssidan lagras i tabellen BehaviorAnalytics, som beskrivs i detalj i UEBA-referensen för Microsoft Sentinel.

Entitetssidor som stöds

Microsoft Sentinel erbjuder för närvarande följande entitetssidor:

Användarkonto
Host
IP-adress (förhandsversion)

Kommentar

Sidan IP-adressentitet (nu i förhandsversion) innehåller geoplatsdata som tillhandahålls av Microsoft Threat Intelligence-tjänsten. Den här tjänsten kombinerar geoplatsdata från Microsoft-lösningar och tredjepartsleverantörer och partner. Data är sedan tillgängliga för analys och undersökning i samband med en säkerhetsincident. Mer information finns även i Berika entiteter i Microsoft Sentinel med geoplatsdata via REST API (offentlig förhandsversion).
Azure-resurs (förhandsversion)
IoT-enhet (förhandsversion) – endast i Microsoft Sentinel i Azure-portalen för tillfället.

Nästa steg

I det här dokumentet har du lärt dig om att hämta information om entiteter i Microsoft Sentinel med hjälp av entitetssidor. Mer information om entiteter och hur du kan använda dem finns i följande artiklar:

Läs mer om entiteter i Microsoft Sentinel.
Anpassa aktiviteter på tidslinjer för entitetssidor.
Identifiera avancerade hot med UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel
Aktivera analys av entitetsbeteende i Microsoft Sentinel.
Jaga efter säkerhetshot.