Entitätsseiten in Microsoft Sentinel

Wenn Sie bei einer Untersuchung eines Incidents auf ein Benutzerkonto, einen Hostnamen, eine IP-Adresse oder eine Azure Ressource stoßen, können Sie entscheiden, dass Sie mehr darüber wissen möchten. Beispielsweise möchten Sie den Aktivitätsverlauf wissen, ob er in anderen Warnungen oder Vorfällen angezeigt wird, ob er unerwartete oder unzumutsame Aktionen ausgeführt hat usw. Kurz gesagt, Sie benötigen Informationen, die Ihnen helfen können, zu bestimmen, welche Art von Bedrohung diese Entitäten darstellen, und ihre Untersuchung entsprechend leiten können.

In diesem Artikel werden Microsoft Sentinel Entitätsseiten im Azure-Portal beschrieben. Informationen zu Entitätsseiten im Defender-Portal finden Sie unter:

• Seite "Benutzerentität" in Microsoft Defender
• Seite "Geräteentität" in Microsoft Defender
• Seite "IP-Adressentität" in Microsoft Defender

Entitätsseiten

In diesen Situationen können Sie die Entität auswählen (sie wird als klickbarer Link angezeigt) und zu einer Entitätsseite weitergeleitet werden, einem Datenblatt mit nützlichen Informationen zu dieser Entität. Sie können auch zu einer Entitätsseite gelangen, indem Sie direkt auf der Microsoft Sentinel Entitätsverhaltensseite nach Entitäten suchen. Die Arten von Informationen, die Sie auf Entitätsseiten finden, umfassen grundlegende Fakten über die Entität, eine Zeitleiste wichtiger Ereignisse im Zusammenhang mit dieser Entität und Einblicke in das Verhalten der Entität.

Genauer gesagt bestehen Entitätsseiten aus drei Teilen:

• Der linke Bereich enthält die identifizierenden Informationen der Entität, die aus Datenquellen wie Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog und gesammelt werden. Microsoft Defender XDR (mit allen zugehörigen Komponenten).

• Der mittlere Bereich zeigt eine grafische und textuelle Zeitleiste wichtiger Ereignisse im Zusammenhang mit der Entität, z. B. Warnungen, Lesezeichen, Anomalien und Aktivitäten. Aktivitäten sind Aggregationen wichtiger Ereignisse aus Log Analytics. Die Abfragen, mit denen diese Aktivitäten erkannt werden, werden von Microsoft-Sicherheitsteams entwickelt, und Sie können jetzt Ihre eigenen benutzerdefinierten Abfragen hinzufügen, um Aktivitäten Ihrer Wahl zu erkennen .

• Im rechten Bereich werden Verhaltenserkenntnisse zur Entität angezeigt. Diese Erkenntnisse werden von Microsoft-Sicherheitsteams kontinuierlich weiterentwickelt. Sie basieren auf verschiedenen Datenquellen und stellen Kontext für die Entität und ihre beobachteten Aktivitäten bereit, sodass Sie anomales Verhalten und Sicherheitsbedrohungen schnell identifizieren können.

Wenn Sie einen Vorfall mithilfe der neuen Untersuchungsoberfläche untersuchen, können Sie direkt auf der Seite mit den Incidentdetails eine panelisierte Version der Entitätsseite sehen. Sie verfügen über eine Liste aller Entitäten in einem bestimmten Incident, und wenn Sie eine Entität auswählen, wird ein Seitenbereich mit drei "Karten" (Info, Timeline und Insights) geöffnet, die alle oben beschriebenen Informationen innerhalb des bestimmten Zeitrahmens anzeigt, der dem der Warnungen im Incident entspricht.

Wenn Sie die Microsoft Sentinel im Defender-Portal verwenden, werden die Bereiche Zeitleiste und Erkenntnisse auf der Registerkarte Sentinel Ereignisse der Defender-Entitätsseite angezeigt.

Die Zeitleiste

Die Zeitleiste ist ein wichtiger Teil des Beitrags der Entitätsseite zur Verhaltensanalyse in Microsoft Sentinel. Es stellt eine Geschichte über entitätsbezogene Ereignisse dar, die Ihnen hilft, die Aktivität der Entität innerhalb eines bestimmten Zeitrahmens zu verstehen.

Sie können den Zeitbereich aus mehreren voreingestellten Optionen (z. B. letzte 24 Stunden) auswählen oder ihn auf einen beliebigen benutzerdefinierten Zeitrahmen festlegen. Darüber hinaus können Sie Filter festlegen, die die Informationen im Zeitleiste auf bestimmte Arten von Ereignissen oder Warnungen beschränken.

Die folgenden Arten von Elementen sind in der Zeitleiste enthalten.

• Warnungen: Alle Warnungen, in denen die Entität als zugeordnete Entität definiert ist. Wenn Ihr organization benutzerdefinierte Warnungen mithilfe von Analyseregeln erstellt hat, sollten Sie sicherstellen, dass die Entitätszuordnung der Regeln ordnungsgemäß erfolgt.

• Lesezeichen: Alle Lesezeichen, die die bestimmte Entität enthalten, die auf der Seite angezeigt wird.

• Anomalien: UEBA-Erkennungen basierend auf dynamischen Baselines, die für jede Entität für verschiedene Dateneingaben und für ihre eigenen historischen Aktivitäten, die ihrer Peers und die der organization als Ganzes erstellt wurden.

• Aktivitäten: Aggregation wichtiger Ereignisse im Zusammenhang mit der Entität. Eine Vielzahl von Aktivitäten wird automatisch gesammelt, und Sie können diesen Abschnitt jetzt anpassen, indem Sie Aktivitäten Ihrer Wahl hinzufügen.

Entitätserkenntnisse

Entitätserkenntnisse sind Abfragen, die von Microsoft-Sicherheitsexperten definiert werden, um Ihre Analysten bei der Untersuchung effizienter und effektiver zu unterstützen. Die Erkenntnisse werden als Teil der Entitätsseite dargestellt und bieten wertvolle Sicherheitsinformationen zu Hosts und Benutzern in Form von tabellarischen Daten und Diagrammen. Wenn Sie die Informationen hier haben, müssen Sie keinen Umweg zu Log Analytics machen. Zu den Erkenntnissen gehören Daten zu Anmeldungen, Gruppenzufügungen, anomalen Ereignissen und mehr sowie erweiterte ML-Algorithmen zur Erkennung von anomalen Verhaltensweisen.

Die Erkenntnisse basieren auf den folgenden Datenquellen:

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (Microsoft Entra ID)
• SigninLogs (Microsoft Entra ID)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Heartbeat (Azure Monitor-Agent)
• CommonSecurityLog (Microsoft Sentinel)

Im Allgemeinen wird jeder Entitätserkenntnisse, der auf der Entitätsseite angezeigt wird, von einem Link begleitet, der Sie zu einer Seite führt, auf der die der Erkenntnis zugrunde liegende Abfrage zusammen mit den Ergebnissen angezeigt wird, sodass Sie die Ergebnisse genauer untersuchen können.

• In Microsoft Sentinel im Azure-Portal gelangen Sie über den Link zur Seite Protokolle.
• Im Microsoft Defender-Portal gelangen Sie über den Link zur Seite Erweiterte Suche.

Verwenden von Entitätsseiten

Entitätsseiten sind als Teil mehrerer Verwendungsszenarien konzipiert und können über incident management, das Untersuchungsdiagramm, Lesezeichen oder direkt über die Entitätssuchseite unter Entitätsverhalten im hauptmenü Microsoft Sentinel aufgerufen werden.

Entitätsseiteninformationen werden in der Tabelle BehaviorAnalytics gespeichert, die in der Microsoft Sentinel UEBA-Referenz ausführlich beschrieben wird.

Unterstützte Entitätsseiten

Microsoft Sentinel bietet derzeit die folgenden Entitätsseiten:

• Benutzerkonto

• Host

• IP-Adresse (Vorschau)

  Hinweis

  Die Seite der IP-Adressentität (jetzt in der Vorschau) enthält Geolocationdaten , die vom Microsoft Threat Intelligence-Dienst bereitgestellt werden. Dieser Dienst kombiniert Geolocationdaten von Microsoft-Lösungen und Drittanbietern und Partnern. Die Daten stehen dann zur Analyse und Untersuchung im Kontext eines Sicherheitsincidents zur Verfügung. Weitere Informationen finden Sie auch unter Anreichern von Entitäten in Microsoft Sentinel mit Geolocationdaten über die REST-API (Öffentliche Vorschau).

• Azure-Ressource (Vorschau)

• IoT-Gerät (Vorschau) – vorerst nur in Microsoft Sentinel im Azure-Portal.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Informationen zu Entitäten in Microsoft Sentinel mithilfe von Entitätsseiten abgerufen werden. Weitere Informationen zu Entitäten und deren Verwendung finden Sie in den folgenden Artikeln:

• Erfahren Sie mehr über Entitäten in Microsoft Sentinel.
• Anpassen von Aktivitäten auf Zeitachsen der Entitätsseite.
• Identifizieren erweiterter Bedrohungen mit User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel
• Aktivieren Sie die Analyse des Entitätsverhaltens in Microsoft Sentinel.
• Suchen nach Sicherheitsbedrohungen.