你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
实体映射是 计划分析规则配置不可或缺的一部分。 它丰富了规则的输出 (警报和事件) ,其中包含作为任何调查过程和后续补救操作的构建基块的基本信息。
下面详述的过程是分析规则创建向导的一部分。 此处单独处理,以解决在现有分析规则中添加或更改实体映射的方案。
重要
- 有关实体映射的新旧版本向后兼容性和差异的重要信息,请参阅本文档末尾的“新版本说明”。
- 2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户会自动加入并重定向到 Defender 门户。如果仍在Azure 门户中使用 Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。 有关详细信息,请参阅是时候移动了:为提高安全性而停用Microsoft Sentinel Azure 门户。
如何映射实体
在门户中输入“Analytics”页,通过该页访问Microsoft Sentinel:
从Microsoft Sentinel导航菜单的“配置”部分,选择“分析”。
选择计划的查询规则,然后从详细信息窗格中选择 “编辑 ”。 或者单击屏幕顶部的“ 创建 > 计划查询规则 ”创建新规则。
选择“ 设置规则逻辑 ”选项卡。如果是新规则,请在“规则查询”窗口中键入 查询 。
在 “警报增强 ”部分中,展开 “实体映射”。
在“现在展开的 实体映射 ”部分中,选择“ 添加新实体”。
从“实体”下拉列表中选择 实体 类型。
选择实体的 标识符 。 标识符是实体的属性,可以充分标识该实体。 从“ 标识符” 下拉列表中选择一个,然后从“ 值 ”下拉列表中选择与标识符对应的数据字段。 除了一些例外, “值 ”列表由定义为规则查询主题的表中的数据字段填充。
最多可以为给定实体映射定义 三个标识符 。 某些标识符是必需的,其他标识符是可选的。 必须至少选择一个必需的标识符。 否则,系统会显示一条警告消息,指示需要哪些标识符。 为了获得最佳结果(为了获得最大的唯一标识),应尽可能使用 强标识符 ,而使用多个强标识符将增强数据源之间的相关性。 请参阅可用 实体和标识符的完整列表。
选择“ 添加新实体 ”以映射更多实体。 一个分析规则 中最多可以定义 10 个实体映射 。 还可以映射同一类型的多个。 例如,可以映射两个 IP 实体,一个来自 源 IP 地址 字段,一个来自 目标 IP 地址 字段。 这样就可以跟踪它们两者。
如果改变了主意,或者犯了错误,可以通过单击实体下拉列表旁边的垃圾桶图标来删除实体映射。
完成映射实体后,单击“ 查看并创建 ”选项卡。规则验证成功后,单击“ 保存”。
注意
在单个警报中可以统一标识最多 500 个实体,这些实体在规则中定义的所有实体映射之间平均划分。
- 例如,如果在规则中定义了两个实体映射,则每个映射最多可以标识 250 个实体;如果定义了五个映射,则每个映射最多可以标识 100 个实体,依类而行。
- 单个实体类型的多个映射 (例如,源 IP 和目标 IP) 分别计数。
- 如果警报包含的项超过此限制,则不会识别这些多余的项并将其提取为实体。
警报 (“实体”字段) 整个实体区域的大小限制为 64 KB。
- 大于 64 KB 的实体字段将被截断。 标识实体后,它们将逐个添加到警报,直到字段大小达到 64 KB,并且尚未识别的任何实体将从警报中删除。
有关新版本的说明
由于新版本现已正式发布 (正式版) ,因此使用旧版本的功能标志解决方法不再可用。
如果以前使用旧版本为此分析规则定义了实体映射,则它们将自动转换为新版本。
后续步骤
本文档介绍了如何将数据字段映射到Microsoft Sentinel分析规则中的实体。 若要详细了解Microsoft Sentinel,请参阅以下文章:
- 探索丰富警报的其他方法:
- 获取 有关计划查询分析规则的完整图片。
- 详细了解 Microsoft Sentinel 中的实体。