Páginas de entidade no Microsoft Sentinel

Quando você se depara com uma conta de usuário, um nome de host, um endereço IP ou um recurso do Azure em uma investigação de incidente, você pode decidir que deseja saber mais sobre ela. Por exemplo, talvez você queira saber seu histórico de atividades, se ele é exibido em outros alertas ou incidentes, se ele fez algo inesperado ou fora do caractere e assim por diante. Em suma, você deseja informações que possam ajudá-lo a determinar que tipo de ameaça essas entidades representam e orientar sua investigação de acordo.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Páginas de entidade

Nessas situações, você pode selecionar a entidade (ela aparecerá como um link clicável) e ser levada para uma página de entidade, uma folha de dados cheia de informações úteis sobre essa entidade. Você também pode chegar a uma página de entidade pesquisando diretamente entidades na página de comportamento da entidade do Microsoft Sentinel. Os tipos de informações encontradas nestas páginas de entidade incluem fatos básicos sobre a entidade, uma linha do tempo de eventos notáveis relacionados a essa entidade e informações sobre o comportamento da entidade.

Mais especificamente, as páginas de entidade consistem em três partes:

  • O painel esquerdo contém as informações de identificação da entidade, coletadas de fontes de dados como Microsoft Entra ID, Azure Monitor, Atividade do Azure, Azure Resource Manager, Microsoft Defender para Nuvem, CEF/Syslog e Microsoft Defender XDR (com todos os componentes).

  • O painel central mostra uma linha do tempo gráfica e textual de eventos notáveis relacionados à entidade, como alertas, indicadores, anomalias e atividades. As atividades são agregações de eventos notáveis do Log Analytics. As consultas que detectam essas atividades são desenvolvidas pelas equipes de pesquisa de segurança da Microsoft e agora você pode adicionar suas próprias consultas personalizadas para detectar atividades da sua preferência.

  • O painel do lado direito apresenta informações comportamentais sobre a entidade. Esses insights são desenvolvidos continuamente pelas equipes de pesquisa de segurança da Microsoft. Eles são baseados em várias fontes de dados e fornecem contexto para a entidade e suas atividades observadas, ajudando você a identificar rapidamente ameaças anômalas e de segurança.

Se você estiver investigando um incidente usando a nova experiência de investigação poderá ver uma versão em painéis da página de entidade diretamente dentro da página de detalhes do incidente. Você tem uma lista de todas as entidades em um determinado incidente e a seleção de uma entidade abre um painel lateral com três "cartões"— Informações, Linha do Tempo e Insights — mostrando todas as mesmas informações descritas acima, dentro do período de tempo específico correspondente ao dos alertas no incidente.

Se você estiver usando a plataforma de operações de segurança unificada no portal do Microsoft Defender, os painéis de linha do tempo e insights aparecerão na guia eventos do Sentinel da página de entidade do Defender.

A linha do tempo

A linha do tempo é uma parte importante da contribuição da página de entidade com a análise de comportamento no Microsoft Azure Sentinel. Apresenta uma história sobre os eventos relacionados a entidades, ajudando você a entender a atividade da entidade em um período específico.

Você pode escolher o intervalo de tempo entre várias opções predefinidas (como nas últimas 24 horas) ou defini-lo como qualquer período personalizado. Além disso, você pode definir filtros que limitam as informações na linha do tempo a tipos específicos de eventos ou alertas.

Os seguintes tipos de itens são incluídos na linha do tempo.

  • Alertas: todos os alertas nos quais a entidade é definida como uma entidade mapeada. Observe que, se a organização criou alertas personalizados usando as regras de análise, você deve verificar se o mapeamento de entidade das regras foi feito corretamente.

  • Indicadores: todos os indicadores que incluem a entidade específica mostrada na página.

  • Anomalias: detecções UEBA baseadas em linhas de base dinâmicas criadas para cada entidade em várias entradas de dados e em relação a suas próprias atividades históricas, as de seus pares e as da organização como um todo.

  • Atividades: agregação de eventos notáveis relacionados à entidade. Um amplo intervalo de atividades é coletado automaticamente, e agora você pode personalizar esta seção adicionando atividades da sua preferência.

Captura de tela de um exemplo de uma linha do tempo em uma página de entidade no portal do Azure.

Insights de entidade

Os insights de entidade são consultas definidas pelos pesquisadores de segurança da Microsoft para ajudar os analistas a investigar de forma mais eficiente e eficaz. Os insights são apresentados como parte da página de entidade e fornecem informações de segurança importantes sobre hosts e usuários, na forma de dados de tabela e gráficos. Ter as informações aqui significa que você não precisa desviar para o Log Analytics. Os insights incluem dados relacionados a entradas, adições de grupo, eventos anômalos e muito mais, e incluem algoritmos avançados de ML para detectar comportamentos anômalos.

Os insights são baseados nas seguintes fontes de dados:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Azure Sentinel UEBA)
  • Heartbeat (agente do Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

De modo geral, cada insight de entidade exibido na página da entidade é acompanhado por um link que levará você a uma página em que a consulta subjacente ao insight é exibida, juntamente com os resultados, para que você possa examinar os resultados com mais profundidade.

  • No Microsoft Sentinel no portal do Azure, o link leva você para a página Logs.
  • Na plataforma de operações de segurança unificada no portal do Microsoft Defender, o link leva você para a página de busca avançada.

Como usar as páginas de entidade

As páginas de entidade são projetadas para fazer parte de vários cenários de uso e podem ser acessadas do gerenciamento de incidentes, do grafo de investigação, dos indicadores ou diretamente da página de pesquisa de entidade em Comportamento de entidade no menu principal do Microsoft Azure Sentinel.

Diagrama de áreas a partir das quais você pode acessar as páginas da entidade, correspondentes aos casos de uso.

As informações da página da entidade são armazenadas na tabela BehaviorAnalytics, descrita em detalhes na referência do Microsoft Sentinel UEBA.

Páginas de entidade com suporte

Atualmente, o Microsoft Sentinel oferece as seguintes páginas de entidade:

  • Conta de usuário

  • Host

  • Endereço IP (versão prévia)

    Observação

    A página da entidade de endereço IP (agora em versão prévia) contém dados de geolocalização fornecidos pelo serviço de Inteligência contra ameaças da Microsoft. Esse serviço combina dados de geolocalização das soluções da Microsoft e de fornecedores e parceiros terceiros. Os dados ficam disponíveis para análise e investigação no contexto de um incidente de segurança. Para obter mais informações, também veja Enriquecer entidades no Microsoft Azure Sentinel com os dados de geolocalização pela API REST (Visualização pública).

  • Recurso do Azure (versão prévia)

  • Dispositivo IoT (versão prévia)— somente no Microsoft Sentinel no portal do Azure por enquanto.

Próximas etapas

Neste documento, você aprendeu a obter informações sobre entidades no Microsoft Sentinel usando páginas de entidade. Para obter mais informações sobre entidades e como você pode usá-las, consulte os seguintes artigos: