Esplorare le entità

  • 7 minuti

Quando gli avvisi vengono inviati a Microsoft Sentinel, includono elementi di dati che Microsoft Sentinel identificano e classificano come entità, ad esempio account utente, host, indirizzi IP e altri. In alcuni casi, l'identificazione può risultare problematica, se l'avviso non contiene informazioni sufficienti sull'entità.

Ad esempio, gli account utente possono essere identificati in più modi: usando un identificatore numerico (GUID) di un account Microsoft Entra o il relativo valore UPN (User Principal Name) o in alternativa, usando una combinazione del nome utente e del relativo nome di dominio NT. Origini dati diverse possono identificare lo stesso utente in modi diversi. Pertanto, quando possibile, Microsoft Sentinel unisce tali identificatori in una singola entità, in modo che possa essere identificato correttamente.

Può accadere, tuttavia, che uno dei provider di risorse crei un avviso in cui un'entità non è sufficientemente identificata, ad esempio un nome utente senza il contesto del nome di dominio. In tal caso, l'entità utente non può essere unita ad altre istanze dello stesso account utente, che verrebbero identificate come entità separate, e le due entità rimarranno separate anziché unite.

Per ridurre al minimo il rischio che si verifichi questo problema, è necessario verificare che tutti i provider di avvisi identifichino correttamente le entità negli avvisi che producono. Inoltre, la sincronizzazione delle entità dell'account utente con Microsoft Entra ID può creare una directory unificata, in grado di unire le entità dell'account utente.

I tipi di entità seguenti sono attualmente identificati in Microsoft Sentinel:

  • Account utente (account)

  • Host

  • Indirizzo IP (IP)

  • Malware

  • File

  • Processo

  • Applicazione cloud (CloudApplication)

  • Nome di dominio (DNS)

  • risorsa Azure

  • File (FileHash)

  • Chiave del Registro di sistema

  • Valore del Registro di sistema

  • Gruppo di sicurezza

  • URL

  • Dispositivo IoT

  • Cassetta postale

  • Cluster di posta

  • Messaggio di posta

  • Posta elettronica inviata

Pagine delle entità

Quando si trova un'entità, attualmente limitata a utenti e host, in una ricerca, un avviso o un'indagine, è possibile selezionarla per essere reindirizzati a una pagina dell'entità, ovvero un foglio dati con informazioni utili su tale entità. I tipi di informazioni disponibili in questa pagina includono i fatti di base sull'entità, una sequenza temporale di eventi rilevanti correlati a questa entità e informazioni dettagliate sul comportamento dell'entità.

Le pagine delle entità sono composte da tre parti:

  • Il pannello a sinistra contiene le informazioni di identificazione dell'entità, raccolte da origini dati come Microsoft Entra ID, Monitoraggio di Azure, Microsoft Defender per il cloud e Microsoft Defender XDR.

  • Il pannello centrale mostra una sequenza temporale grafica e testuale degli eventi rilevanti correlati all'entità, ad esempio avvisi, segnalibri e attività. Le attività sono aggregazioni di eventi rilevanti provenienti da Log Analytics. Le query che rilevano tali attività vengono sviluppate da Microsoft team di ricerca sulla sicurezza.

  • Il pannello a destra presenta informazioni sul comportamento dell'entità. Queste informazioni consentono di identificare rapidamente le anomalie e le minacce per la sicurezza. Le informazioni dettagliate vengono sviluppate da Microsoft team di ricerca sulla sicurezza e si basano su modelli di rilevamento anomalie.

Sequenza temporale

Screenshot di una sequenza temporale del comportamento di un'entità in Microsoft Sentinel.

La sequenza temporale è una parte importante del contributo della pagina dell'entità all'analisi del comportamento in Microsoft Sentinel. Presenta una storia degli eventi correlati all'entità, che permette di comprendere l'attività dell'entità in un intervallo di tempo specifico.

È possibile scegliere l'intervallo di tempo tra diverse opzioni predefinite, ad esempio le ultime 24 ore, o impostarlo su qualsiasi intervallo di tempo personalizzato. Inoltre, è possibile impostare i filtri che limitano le informazioni nella sequenza temporale a tipi specifici di eventi o avvisi.

La sequenza temporale include i tipi di elementi seguenti:

Avvisi: tutti gli avvisi in cui l'entità viene definita come entità mappata. Si noti che, se l'organizzazione ha creato avvisi personalizzati usando le regole di analisi, è necessario assicurarsi che il mapping delle entità delle regole venga eseguito correttamente.

Segnalibri: tutti i segnalibri che includono l'entità specifica visualizzata nella pagina.

Attività: aggregazione di eventi rilevanti correlati all'entità.

Informazioni dettagliate sulle entità

Le informazioni sulle entità sono query definite dai ricercatori di sicurezza di Microsoft per aiutare gli analisti a indagare in modo più efficiente ed efficace. Le informazioni dettagliate vengono presentate come parte della pagina dell'entità e forniscono informazioni di sicurezza importanti su host e utenti, sotto forma di dati tabulari e grafici. Significa che avendo le informazioni qui non sarà necessario deviare verso Log Analytics. Le informazioni dettagliate includono dati relativi agli accessi, aggiunte di gruppo, eventi anomali e altro e contengono algoritmi avanzati di apprendimento automatico che consentono di rilevare comportamenti anomali. Le informazioni dettagliate sono basate sui tipi di dati seguenti:

  • SysLog

  • Evento di Sicurezza

  • Log di audit

  • Log di accesso

  • Attività di Office

  • BehaviorAnalytics (UEBA)