Zuordnen von Datenfeldern zu Entitäten in Microsoft Sentinel
Die Entitätszuordnung ist ein wesentlicher Bestandteil der Konfiguration von Regeln für geplante Analysen. Dadurch wird die Ausgabe der Regeln (Warnungen und Vorfälle) um wesentliche Informationen erweitert, die als Bausteine für alle nachfolgenden Untersuchungsprozesse und Korrekturmaßnahmen dienen.
Das unten beschriebene Verfahren ist Teil des Assistenten zum Erstellen von Analyseregeln. Es wird hier separat beschrieben, um das Szenario für das Hinzufügen oder Ändern von Entitätszuordnungen in einer vorhandenen Analyseregel zu erläutern.
Wichtig
- Wichtige Informationen zur Abwärtskompatibilität und zu den Unterschieden zwischen der neuen und alten Version der Entitätszuordnung finden Sie unter Hinweise zur neuen Version am Ende dieses Dokuments.
- Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Zuordnen von Entitäten
Geben Sie die Analyseseite im Portal ein, über die Sie auf Microsoft Sentinel zugreifen:
Wählen Sie im Microsoft Sentinel Navigationsmenü im Abschnitt Konfiguration die Option Analytics aus.
Wählen Sie eine geplante Abfrageregel und dann im Detailbereich Bearbeiten aus. Oder erstellen Sie eine neue Regel, indem Sie oben auf dem Bildschirm auf Erstellen und Geplante Abfrageregel klicken.
Wählen Sie die Registerkarte Regellogik festlegen aus. Wenn eine neue Regel vorhanden ist, geben Sie im Fenster Regelabfrage eine Abfrage ein.
Erweitern Sie im Abschnitt Warnungserweiterung den Bereich Entitätszuordnung.
Wählen Sie im jetzt erweiterten Abschnitt Entitätszuordnung die Option Neue Entität hinzufügen aus.
Wählen Sie in der Dropdownliste Entität einen Entitätstyp aus.
Wählen Sie einen Bezeichner für die Entität aus. Bezeichner sind Attribute einer Entität, die diese ausreichend identifizieren können. Wählen Sie einen Bezeichner in der Dropdownliste Bezeichner und dann in der Dropdownliste Wert ein Datenfeld aus, das dem Bezeichner entspricht. Mit wenigen Ausnahmen wird die Liste Wert durch die Datenfelder in der Tabelle gefüllt, die als Gegenstand der Regelabfrage definiert ist.
Pro Entitätszuordnung können Sie bis zu drei Bezeichner definieren. Einige Bezeichner sind erforderlich, andere dagegen optional. Sie müssen mindestens einen erforderlichen Bezeichner auswählen. Andernfalls werden Sie in einer Warnmeldung auf die erforderlichen Bezeichner hingewiesen. Um optimale Ergebnisse – für die bestmögliche eindeutige Identifizierung – zu erzielen, sollten Sie nach Möglichkeit starke Bezeichner verwenden. Die Verwendung mehrerer starker Bezeichner wird eine größere Korrelation zwischen Datenquellen ermöglichen. Die vollständige Liste der verfügbaren Entitäten und Bezeichner finden Sie hier.
Wählen Sie Neue Entität hinzufügen aus, um weitere Entitäten zuzuordnen. Sie können bis zu zehn benutzerdefinierte Entitätszuordnungen in einer Analyseregel definieren. Außerdem können Sie mehrere Entitäten desselben Typs zuordnen. Beispielsweise können Sie zwei IP-Entitäten zuordnen: eine aus dem Feld Quell-IP-Adresse und eine aus dem Feld Ziel-IP-Adresse. So können beide nachverfolgt werden.
Wenn Sie Ihre Meinung ändern oder einen Fehler verursacht haben, können Sie eine Entitätszuordnung entfernen, indem Sie auf das Papierkorbsymbol neben der Dropdownliste der Entität klicken.
Klicken Sie nach der Zuordnung der Entitäten auf die Registerkarte Überprüfen und erstellen. Klicken Sie nach der erfolgten Regelüberprüfung auf Speichern.
Hinweis
Insgesamt bis zu 500 Entitäten können in einer einzigen Warnung identifiziert werden, gleichmäßig verteilt auf alle in der Regel definierten Entitätszuordnungen.
- Wenn beispielsweise zwei Entitätszuordnungen in der Regel definiert sind, kann jede Zuordnung bis zu 250 Entitäten identifizieren. Wenn fünf Zuordnungen definiert sind, kann jede bis zu 100 Entitäten identifizieren usw.
- Mehrere Zuordnungen eines einzelnen Entitätstyps (z. B. Quell-IP und Ziel-IP) zählen jeweils separat.
- Wenn eine Warnung Elemente enthält, die diesen Grenzwert überschreiten, werden diese überzähligen Elemente nicht erkannt und als Entitäten extrahiert.
Die Größenbeschränkung für den gesamten Entitätsbereich einer Warnung (das Feld Entitäten) beträgt 64 KB.
- Entitätsfelder, die größer als 64 KB werden, werden abgeschnitten. Wenn Entitäten identifiziert werden, werden sie der Warnung einzeln hinzugefügt, bis die Feldgröße 64 KB erreicht, und alle noch nicht identifizierten Entitäten werden aus der Warnung gelöscht.
Hinweise zur neuen Version
Da die neue Version jetzt allgemein verfügbar ist (GA), ist die Feature-Flag-Problemumgehung zur Verwendung der alten Version nicht mehr verfügbar.
Wenn Sie zuvor Entitätszuordnungen für diese Analyseregel mithilfe der alten Version definiert haben, werden diese automatisch in die neue Version konvertiert.
Nächste Schritte
In diesem Dokument wurde beschrieben, wie Sie Datenfelder Entitäten in Microsoft Sentinel-Analyseregeln zuordnen. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erkunden Sie die anderen Möglichkeiten, um Ihre Warnungen zu bereichern:
- Unter Tutorial: Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen können Sie sich ein Gesamtbild machen.
- Erfahren Sie mehr über Entitäten in Microsoft Sentinel.