Entità in Microsoft Sentinel

Quando gli avvisi vengono inviati o generati da Microsoft Sentinel, contengono elementi di dati che Sentinel può riconoscere e classificare in categorie come entità. Quando Microsoft Sentinel comprende il tipo di entità rappresentata da un particolare elemento dati, conosce le domande giuste da porre e può quindi confrontare le informazioni dettagliate su tale elemento nell'intera gamma di origini dati e tenerne facilmente traccia e farvi riferimento nell'intera esperienza di Sentinel: analisi, indagine, correzione, ricerca e così via. Alcuni esempi comuni di entità sono account utente, host, cassette postali, indirizzi IP, file, applicazioni cloud, processi e URL.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Nella piattaforma operativa di sicurezza unificata nel portale di Microsoft Defender, le entità in genere rientrano in due categorie principali:

Categoria di entità Caratterizzazione Esempi principali
Asset
  • Oggetti interni
  • Oggetti protetti
  • Oggetti di inventario
  • Account (utenti)
  • Host (dispositivi)
  • Cassette postali
  • Risorse di Azure
  • Altre entità
    (prova)
  • Elementi esterni
  • Non nel controllo
  • Indicatori di compromissione
  • Indirizzi IP
  • File
  • Processi
  • URL
  • Identificatori di entità

    Microsoft Sentinel supporta un'ampia gamma di tipi di entità. Ogni tipo ha i propri attributi univoci, rappresentati come campi nello schema delle entità e chiamati identificatori. Vedere l'elenco completo delle entità supportate qui sottoe il set completo di schemi di entità e identificatori in Riferimento ai tipi di entità di Microsoft Sentinel.

    Identificatori sicuri e deboli

    Per ogni tipo di entità sono presenti campi o set di campi in grado di identificare istanze specifiche di tale entità. Questi campi o set di campi possono essere definiti identificatori sicuri se possono identificare in modo univoco un'entità senza ambiguità o come identificatori deboli se possono identificare un'entità in alcune circostanze, ma non sono garantiti per identificare in modo univoco un'entità in tutti i casi. In molti casi, tuttavia, una selezione di identificatori deboli può essere combinata per produrre un identificatore sicuro.

    Ad esempio, gli account utente possono essere identificati come entità account in più modi: usando un singolo identificatore sicuro come l'identificatore numerico di un account Microsoft Entra (il campo GUID) o il relativo valore Nome dell'entità utente (UPN), in alternativa, usando una combinazione di identificatori deboli come Nome e campi NTDomain. Origini dati diverse possono identificare lo stesso utente in modi diversi. Ogni volta che Microsoft Sentinel rileva due entità che può riconoscere come la stessa entità in base ai relativi identificatori, unisce le due entità in una singola entità, in modo che possa essere gestita correttamente e in modo coerente.

    Se, tuttavia, uno dei provider di risorse crea un avviso in cui un'entità non è sufficientemente identificata, ad esempio usando solo un singolo identificatore debole come un nome utente senza il contesto del nome di dominio, l'entità utente non può quindi essere unita ad altre istanze dello stesso account utente. Tali altre istanze vengono identificate come entità separate e queste due entità rimarranno separate anziché unificate.

    Per ridurre al minimo il rischio che si verifichi questo problema, è necessario verificare che tutti i provider di avvisi identifichino correttamente le entità negli avvisi che producono. Inoltre, la sincronizzazione delle entità account utente con Microsoft Entra ID può creare una directory di unione, che sarà in grado di unire entità account utente.

    Entità supportate

    Di seguito sono riportati i tipi di entità attualmente identificati in Microsoft Sentinel:

    È possibile visualizzare gli identificatori di queste entità e altre informazioni pertinenti nel riferimento alle entità.

    Mapping di entità

    In che modo Microsoft Sentinel riconosce una parte di dati in un avviso come identificazione di un'entità?

    Si esaminerà ora come viene eseguita l'elaborazione dei dati in Microsoft Sentinel. I dati vengono inseriti da varie origini tramite connettori, sia che si tratti di servizi collegati a servizi, basati su agenti o basati su API. I dati vengono archiviati in tabelle nell'area di lavoro Log Analytics. Queste tabelle vengono sottoposte a query a intervalli regolari dalle regole di analisi programmate o quasi in tempo reale definite e attivate dall'utente, oppure su richiesta come parte delle query di ricerca quando si rilevano le minacce. Parte della definizione di queste regole di analisi e query di ricerca è il mapping dei campi dati nelle tabelle ai tipi di entità riconosciuti da Microsoft Sentinel. In base ai mapping definiti, Microsoft Sentinel prende i campi dai risultati restituiti dalla query, li riconosce dagli identificatori specificati per ogni tipo di entità e li applica al tipo di entità identificato da tali identificatori.

    Qual è il punto?

    Quando Microsoft Sentinel è in grado di identificare le entità negli avvisi di diversi tipi di origini dati e soprattutto se può farlo usando identificatori sicuri comuni a ogni origine dati o a un altro schema, può quindi effettuare correlazioni facilmente tra tutti questi avvisi e origini dati. Queste correlazioni consentono di creare un archivio avanzato di informazioni dettagliate e non sulle entità, offrendo una solida base e contesto per l'analisi e la risposta alle minacce alla sicurezza.

    Informazioni su come eseguire il mapping dei campi dati alle entità.

    Informazioni su quali identificatori identificano fortemente un'entità.

    Pagine sulle entità

    Le informazioni sulle pagine delle entità sono ora disponibili nelle pagine delle entità in Microsoft Sentinel.

    Passaggi successivi

    In questo documento si è appreso come usare le entità in Microsoft Sentinel. Per materiale sussidiario pratico sull'implementazione e per usare le informazioni dettagliate acquisite, vedere gli articoli seguenti: