Untersuchen von Entitäten

  • 7 Minuten

Wenn Warnungen an Microsoft Sentinel gesendet werden, enthalten sie Datenelemente, die Microsoft Sentinel als Entitäten identifiziert und klassifiziert werden, z. B. Benutzerkonten, Hosts, IP-Adressen und andere. Gelegentlich kann diese Identifizierung eine Herausforderung darstellen, wenn die Warnung keine ausreichenden Informationen zur Entität enthält.

Beispielsweise können Benutzerkonten auf mehr als eine Weise identifiziert werden: Verwenden der numerischen ID (GUID) eines Microsoft Entra Kontos oder des Werts des Benutzerprinzipalnamens (User Principal Name, UPN) oder alternativ eine Kombination aus Benutzername und NT-Domänenname. Verschiedene Datenquellen können denselben Benutzer auf unterschiedliche Weise identifizieren. Daher führt Microsoft Sentinel diese Bezeichner nach Möglichkeit mit einer einzigen Entität zusammen, damit sie ordnungsgemäß identifiziert werden kann.

Es kann jedoch vorkommen, dass einer Ihrer Ressourcenanbieter eine Warnung erstellt, in der eine Entität nicht ausreichend identifiziert wird, z. B. ein Benutzername ohne den Kontext des Domänennamens. In einem solchen Fall kann die Benutzerentität nicht mit anderen Instanzen desselben Benutzerkontos zusammengeführt werden, die dann als separate Entität identifiziert würden. Diese beiden Entitäten würden dann getrennt bleiben anstatt vereinigt zu werden.

Sie sollten sich vergewissern, dass alle Ihre Anbieter von Warnungen die Entitäten in den von ihnen erstellten Warnungen richtig identifizieren, um das Risiko eines solchen Ereignisses zu minimieren. Darüber hinaus kann die Synchronisierung von Benutzerkontoentitäten mit Microsoft Entra ID ein vereinheitlichendes Verzeichnis erstellen, das Benutzerkontenentitäten zusammenführen kann.

Die folgenden Entitätstypen werden derzeit in Microsoft Sentinel identifiziert:

  • Benutzerkonto (Konto)

  • Gastgeber

  • IP-Adresse (IP)

  • Schadsoftware

  • Datei

  • Prozess

  • Cloudanwendung (CloudApplication)

  • Domänenname (DNS)

  • Azure Ressource

  • Datei (FileHash)

  • Registrierungsschlüssel

  • Registrierungswert

  • Sicherheitsgruppe

  • URL

  • IoT-Gerät

  • Postfach

  • E-Mail-Cluster

  • E-Mail-Nachricht

  • Einreichungs-E-Mail

Entitätsseiten

Wenn Sie bei einer Suche, in einer Warnung oder bei einer Untersuchung auf eine Entität (derzeit nur Benutzer und Hosts) stoßen, können Sie die Entität auswählen und gelangen dadurch auf eine Entitätsseite. Hierbei handelt es sich um ein Datenblatt mit nützlichen Informationen zu dieser Entität. Die Arten von Informationen, die Sie auf dieser Seite finden, umfassen grundlegende Fakten zur Entität, eine Zeitachse wichtiger Ereignisse im Zusammenhang mit dieser Entität und Erkenntnisse über das Verhalten der Entität.

Entitätsseiten bestehen aus drei Teilen:

  • Der linke Bereich enthält die identifizierenden Informationen der Entität, die aus Datenquellen wie Microsoft Entra ID, Azure Monitor, Microsoft Defender for Cloud und Microsoft Defender XDR gesammelt werden.

  • Im mittleren Bereich wird eine grafische und textbezogene Zeitachse mit für die Entität wichtigen Ereignissen wie Warnungen, Lesezeichen und Aktivitäten angezeigt. Aktivitäten sind Aggregationen wichtiger Ereignisse aus Log Analytics. Die Abfragen, die diese Aktivitäten erkennen, werden von Microsoft Sicherheitsforschungsteams entwickelt.

  • Im rechten Bereich werden Erkenntnisse über das Verhalten der Entität angezeigt. Mit diesen Erkenntnissen können Sie Anomalien und Sicherheitsbedrohungen schnell erkennen. Die Erkenntnisse werden von Microsoft Sicherheitsforschungsteams entwickelt und basieren auf Anomalieerkennungsmodellen.

Die Zeitachse

Screenshot einer Entitätsverhaltens-Zeitachse in Microsoft Sentinel.

Die Zeitachse ist ein wesentlicher Bestandteil des Beitrags der Entitätsseite zu den Verhaltensanalysen in Microsoft Sentinel. Sie stellt den Verlauf von für eine Entität wichtigen Ereignissen dar, sodass Sie sich einen Überblick über die Aktivitäten der Entität innerhalb eines bestimmten Zeitraums verschaffen können.

Sie können den Zeitbereich aus verschiedenen vordefinierten Optionen (z. B. letzte 24 Stunden) auswählen oder einen benutzerdefinierten Zeitrahmen festlegen. Zudem können Sie Filter festlegen, mit denen die Informationen auf der Zeitachse auf bestimmte Ereignis- oder Warnungsarten beschränkt wird.

Die folgenden Elementtypen sind in der Zeitleiste enthalten.

Warnungen - alle Warnungen, bei denen die Entität als zugeordnete Entität definiert ist. Wenn Ihre Organisation benutzerdefinierte Warnungen mit Analyseregeln erstellt hat, müssen Sie darauf achten, dass die Entitätszuordnung der Regeln ordnungsgemäß vorgenommen wurde.

Lesezeichen: Lesezeichen, die eine bestimmte Entität enthalten, die auf der Seite angezeigt wird

Aktivitäten: Aggregation von für die Entität wichtigen Ereignissen

Erkenntnisse über Entitäten

Entitätserkenntnisse sind Abfragen, die von Microsoft Sicherheitsforschern definiert werden, damit Ihre Analysten effizienter und effektiver untersuchen können. Die Erkenntnisse werden auf der Entitätsseite angezeigt. Sie stellen wichtige Sicherheitsinformationen über Hosts und Benutzer in Form von Tabellendaten und -diagrammen bereit. Wenn Sie die Informationen hier haben, müssen Sie nicht zu Log Analytics wechseln. Zu den Erkenntnissen zählen Daten zu Anmeldungen, Gruppenerweiterungen, anormalen Ereignissen und vielem mehr sowie intelligente ML-Algorithmen zur Erkennung von anormalem Verhalten. Die Erkenntnisse basieren auf den folgenden Datentypen:

  • syslog

  • Sicherheitsereignis

  • Überwachungsprotokolle

  • Anmeldeprotokolle

  • Office-Aktivitäten

  • Verhaltensanalyse (UEBA)