你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 中的实体页面

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

在事件调查中遇到用户帐户、主机名、IP 地址或 Azure 资源时,你可能会决定要了解其详细信息。 例如,你可能想要了解其活动历史记录,其是否出现在其他警报或事件中,其执行任何意外或不相称的操作等等。 简而言之,你需要能够帮助确定这些实体代表哪种威胁类型,并相应地指导你进行调查的信息。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

实体页

在这些情况下,可选择实体(它显示为可单击的链接),并转到实体页 - 该页面是一个包含有关该实体的大量有用信息的数据表。 还可直接在 Microsoft Sentinel 的“实体行为”页上搜索实体来转到实体页。 实体页上显示的信息类型包括有关实体的基本事实、与此实体相关的重要事件的时间线,以及有关实体行为的见解。

更具体地说,实体页包含 3 个部分:

  • 左侧面板包含实体的标识信息,这些信息收集自 Microsoft Entra ID、Azure Monitor、Azure 活动、Azure 资源管理器、Microsoft Defender for Cloud、CEF/Syslog 和 Microsoft Defender XDR(包含其所有组件)等数据源。

  • 中间面板显示与实体相关的重要事件(例如警报、书签、异常和活动)的图形和文本时间线。 活动是 Log Analytics 中的重要事件的聚合。 检测这些活动的查询由 Microsoft 安全研究团队开发。你现在可以添加你自己的自定义查询来检测所选活动

  • 右侧面板显示关于该实体的行为见解。 这些见解由 Microsoft 安全研究团队持续得出。 它们基于各种数据源,并且为实体及其观察到的活动提供上下文,从而帮助你快速识别异常行为和安全威胁。

    截至 2023 年 11 月,下一代见解开始以扩充小组件的形式在预览版中提供。 这些新见解可以集成来自外部源的数据并实时获取更新,并且可以与现有见解一起查看。 若要利用这些新的小组件,必须启用小组件体验

如果使用新调查体验调查事件,你将能够在“事件详细信息”页面中看到实体页面的面板化版本。 你有一个给定事件中所有实体的列表,选择实体可打开带三张“卡片”的侧面板,卡片分别为“信息”、“时间线”和“见解”,用于显示在与事件中警报相关内容对应的特定时间范围内的上述所有相同信息。

如果使用 Microsoft Defender 门户中的统一安全运营平台,则时间线和见解面板将显示在 Defender 实体页面的“Sentinel 事件”选项卡中

时间线

时间线是实体页显示 Microsoft Sentinel 中的行为分析情况的主要部分。 它会显示与实体相关的事件,帮助你了解特定时间范围内的实体活动。

可在多个预设选项中选择时间范围(例如“过去 24 小时”),也可将其设置为任何自定义时间范围。 此外,你还可设置筛选器,将时间线中的信息限制为特定类型的事件或警报。

时间线中包含以下类型的项。

  • 警报:将实体定义为“映射实体”的所有警报。 请注意,如果你的组织已创建使用分析规则的自定义警报,那么你应确保规则的实体映射已正确完成。

  • 书签:包含页面上显示的特定实体的所有书签

  • 异常:UEBA 检测,这些检测将基于跨各种数据输入为每个实体创建的动态基线,并对照其自身、其对等方以及整个组织的历史活动

  • 活动:与实体相关的重要事件的聚合。 各种活动是自动收集的,你现在可以通过添加自己选择的活动来自定义此部分

Azure 门户中实体页面上时间线示例的屏幕截图。

实体见解

实体见解是 Microsoft 安全研究人员定义的查询,可帮助你的分析师更高效、更有效地进行调查。 见解显示在实体页的区域中,以表格数据和图表形式提供有关主机和用户的重要安全信息。 在此处显示信息意味着你无需访问 Log Analytics。 见解包含与登录、组添加、异常事件等内容相关的数据,还包含用于检测异常行为的高级 ML 算法。

见解基于以下数据源:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat(Azure Monitor 代理)
  • CommonSecurityLog (Microsoft Sentinel)

一般来说,实体页面上显示的每个实体见解都附带一个链接,该链接将指向显示见解基础查询及其结果的页面,可供你更深入地了解结果。

  • 在 Azure 门户中的 Microsoft Sentinel 中,该链接将转到“日志”页面
  • 在 Microsoft Defender 门户中的统一安全运营平台中,该链接将转到“高级搜寻”页面

如何使用实体页

根据设计,实体页是多种使用方案的一部分,你可从事件管理、调查图和书签来访问它,也可从 Microsoft Sentinel 主菜单中“实体行为”下的实体搜索页来直接访问它。

可访问实体页的区域的图表,这些区域与用例相对应。

实体页信息将存储在 BehaviorAnalytics 表中,详见 Microsoft Sentinel UEBA 参考

支持的实体页

Microsoft Sentinel 当前提供以下实体页:

  • 用户帐户

  • 主机

  • IP 地址(预览版)

    注意

    IP 地址实体页(现为预览版)包含 Microsoft 威胁情报服务提供的地理位置数据。 此服务综合了 Microsoft 解决方案以及第三方供应商和合作伙伴的地理位置数据。 接下来就可以将数据用于在安全事件上下文中进行分析和调查。 有关详细信息,另请参阅通过 REST API 用地理位置数据扩充 Microsoft Sentinel 中的实体(公共预览版)

  • Azure 资源(预览版)

  • IoT 设备(预览版)- 目前仅在 Azure 门户中的 Microsoft Sentinel 中提供。

后续步骤

在本文档中,你学习了如何在 Microsoft Sentinel 中使用实体页获取实体相关信息。 若要详细了解实体及其使用方式,请参阅以下文章: