Entidades no Microsoft Sentinel
Quando os alertas são enviados ou gerados pelo Microsoft Sentinel, eles contêm elementos de dados que o Sentinel pode reconhecer e classificar em categorias como entidades. Quando o Microsoft Sentinel entende que tipo de entidade um determinado elemento de dados representa, ele sabe as perguntas certas a serem feitas sobre ele e, em seguida, pode comparar insights sobre esse item em toda a gama de fontes de dados e rastreá-lo facilmente e consultá-lo durante toda a experiência do Sentinel - análise, investigação, correção, caça e assim por diante. Alguns exemplos comuns de entidades são contas de usuário, hosts, caixas de correio, endereços IP, arquivos, aplicativos em nuvem, processos e URLs.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Na plataforma unificada de operações de segurança no portal Microsoft Defender, as entidades geralmente se enquadram em duas categorias principais:
Categoria de entidade | Caracterização | Principais exemplos |
---|---|---|
Ativos | ||
Outras entidades (provas) |
Identificadores de entidade
O Microsoft Sentinel suporta uma grande variedade de tipos de entidade. Cada tipo tem seus próprios atributos exclusivos, que são representados como campos no esquema de entidade e são chamados de identificadores. Consulte a lista completa de entidades suportadas abaixo e o conjunto completo de esquemas de entidade e identificadores na referência de tipos de entidade do Microsoft Sentinel.
Identificadores fortes e fracos
Para cada tipo de entidade existem campos, ou conjuntos de campos, que podem identificar instâncias particulares dessa entidade. Estes campos ou conjuntos de campos podem ser referidos como identificadores fortes se puderem identificar exclusivamente uma entidade sem qualquer ambiguidade, ou como identificadores fracos se puderem identificar uma entidade em algumas circunstâncias, mas não é garantido que identifiquem exclusivamente uma entidade em todos os casos. Em muitos casos, porém, uma seleção de identificadores fracos pode ser combinada para produzir um identificador forte.
Por exemplo, as contas de usuário podem ser identificadas como entidades de conta de mais de uma maneira: usando um único identificador forte como o identificador numérico de uma conta do Microsoft Entra (o campo GUID ) ou seu valor UPN (Nome Principal do Usuário) ou, alternativamente, usando uma combinação de identificadores fracos como seus campos Nome e NTDomain . Diferentes fontes de dados podem identificar o mesmo usuário de maneiras diferentes. Sempre que o Microsoft Sentinel encontra duas entidades que ele pode reconhecer como a mesma entidade com base em seus identificadores, ele mescla as duas entidades em uma única entidade, para que possa ser tratada de forma adequada e consistente.
Se, no entanto, um dos seus provedores de recursos criar um alerta no qual uma entidade não está suficientemente identificada — por exemplo, usando apenas um único identificador fraco, como um nome de usuário sem o contexto do nome de domínio —, a entidade do usuário não poderá ser mesclada com outras instâncias da mesma conta de usuário. Essas outras instâncias seriam identificadas como uma entidade separada, e essas duas entidades permaneceriam separadas em vez de unificadas.
Para minimizar o risco de isso acontecer, você deve verificar se todos os seus provedores de alertas identificam corretamente as entidades nos alertas que produzem. Além disso, a sincronização de entidades de conta de usuário com o Microsoft Entra ID pode criar um diretório unificador, que poderá mesclar entidades de conta de usuário.
Entidades suportadas
Os seguintes tipos de entidades são atualmente identificados no Microsoft Sentinel:
- Conta
- Anfitrião
- Endereço IP
- URL
- Recurso do Azure
- Aplicação na nuvem
- Resolução DNS
- Ficheiro
- Hash de ficheiro
- Malware
- Processo
- Chave do registo
- Valor de registo
- Grupo de segurança
- Caixa de Correio
- Cluster de correio
- Mensagem de correio
- E-mail de submissão
Você pode visualizar os identificadores dessas entidades e outras informações relevantes na referência de entidades.
Mapeamento de entidades
Como o Microsoft Sentinel reconhece um dado em um alerta como identificando uma entidade?
Vamos ver como o processamento de dados é feito no Microsoft Sentinel. Os dados são ingeridos de várias fontes por meio de conectores, seja serviço a serviço, baseado em agente ou baseado em API. Os dados são armazenados em tabelas no espaço de trabalho do Log Analytics. Essas tabelas são consultadas em intervalos regulares pelas regras de análise agendadas ou quase em tempo real que você definiu e habilitou, ou sob demanda como parte das consultas de busca quando você procura ameaças. Parte da definição dessas regras de análise e consultas de caça é o mapeamento de campos de dados nas tabelas para tipos de entidade reconhecidos pelo Microsoft Sentinel. De acordo com os mapeamentos definidos, o Microsoft Sentinel pegará campos dos resultados retornados pela sua consulta, os reconhecerá pelos identificadores especificados para cada tipo de entidade e aplicará a eles o tipo de entidade identificado por esses identificadores.
Qual é o objetivo de tudo isso?
Quando o Microsoft Sentinel é capaz de identificar entidades em alertas de diferentes tipos de fontes de dados, e especialmente se puder fazer isso usando identificadores fortes comuns a cada fonte de dados ou a outro esquema, ele poderá se correlacionar facilmente entre todos esses alertas e fontes de dados. Essas correlações ajudam a construir um rico repositório de informações e insights sobre as entidades, oferecendo uma base sólida e contexto para investigar e responder a ameaças à segurança.
Saiba como mapear campos de dados para entidades.
Saiba quais identificadores identificam fortemente uma entidade.
Páginas de entidades
Informações sobre páginas de entidade agora podem ser encontradas em Páginas de entidade no Microsoft Sentinel.
Próximos passos
Neste documento, você aprendeu sobre como trabalhar com entidades no Microsoft Sentinel. Para obter orientações práticas sobre implementação e para usar os insights obtidos, consulte os seguintes artigos:
- Habilite a análise de comportamento de entidade no Microsoft Sentinel.
- Procure ameaças à segurança.