Explorar entidades

  • 7 minutos

Quando os alertas são enviados ao Microsoft Azure Sentinel, incluem elementos de dados que o Microsoft Azure Sentinel identifica e classifica como entidades, por exemplo, contas de usuário, hosts, endereços IP e outros. Na ocasião, essa identificação pode ser um desafio, se o alerta não contiver informações suficientes sobre a entidade.

Por exemplo, as contas de usuário podem ser identificadas de mais de uma maneira: usando um identificador numérico da conta do Microsoft Entra (GUID) ou o valor UPN, ou, como alternativa, usando uma combinação do nome de usuário e do domínio do NT. Fontes de dados diferentes podem identificar o mesmo usuário de maneiras diferentes. Portanto, sempre que possível, o Microsoft Azure Sentinel mescla esses identificadores em uma única entidade para que possa ser identificado corretamente.

No entanto, um dos provedores de recursos pode criar um alerta em que uma entidade não está suficientemente identificada, por exemplo, um nome de usuário sem o contexto do nome de domínio. Nesse caso, não é possível mesclar a entidade de usuário com outras instâncias da mesma conta de usuário, que seria identificada como uma entidade separada, e essas duas entidades permaneceriam separadas em vez de unificadas.

Para minimizar o risco dessa ocorrência, você deve verificar se todos os provedores de alertas identificam corretamente as entidades nos alertas produzidos. Além disso, a sincronização de entidades de conta de usuário com o Microsoft Entra ID pode criar um diretório unificado, que pode mesclar entidades de conta de usuário.

Os seguintes tipos de entidades estão identificados no Microsoft Azure Sentinel atualmente:

  • Conta de usuário (Conta)

  • Host

  • Endereço IP (IP)

  • Software malicioso

  • Arquivo

  • Processo

  • Aplicativo de nuvem (CloudApplication)

  • Nome de domínio (DNS)

  • Recursos do Azure

  • Arquivo (FileHash)

  • Chave do Registro

  • Valor do Registro

  • Grupo de segurança

  • URL

  • Dispositivo IoT

  • Caixa de Correio

  • Cluster de correio eletrônico

  • Mensagem de e-mail

  • E-mail de submissão

Páginas de entidade

Quando você encontra qualquer entidade (atualmente limitada a usuários e hosts) em uma pesquisa, um alerta ou uma investigação, você pode selecionar a entidade e ser levado a uma página de entidade, uma folha de dados cheia de informações úteis sobre essa entidade. Os tipos de informações encontradas nesta página incluem fatos básicos sobre a entidade, uma linha do tempo de eventos notáveis relacionados a essa entidade e insights sobre o comportamento da entidade.

As páginas de entidade consistem em três partes:

  • O painel esquerdo contém as informações de identificação da entidade, coletadas de fontes de dados como Microsoft Entra ID, Azure Monitor, Microsoft Defender para Nuvem e Microsoft Defender XDR.

  • O painel central mostra uma linha do tempo gráfica e textual de eventos notáveis relacionados à entidade, como alertas, indicadores e atividades. As atividades são agregações de eventos notáveis do Log Analytics. As consultas que detectam essas atividades são desenvolvidas pelas equipes de pesquisa de segurança da Microsoft.

  • O painel do lado direito apresenta informações comportamentais sobre a entidade. Essas informações ajudam a identificar rapidamente as anomalias e ameaças à segurança. As informações são desenvolvidas pelas equipes de pesquisa de segurança da Microsoft e baseadas em modelos de detecção de anomalias.

A linha do tempo

Captura de tela de uma linha do tempo do comportamento da entidade.

A linha do tempo é uma parte importante da contribuição da página de entidade para a análise de comportamento no Microsoft Sentinel. Apresenta uma história sobre os eventos relacionados a entidades, ajudando você a entender a atividade da entidade em um período específico.

Você pode escolher o intervalo de tempo entre várias opções predefinidas (como nas últimas 24 horas) ou defini-lo como qualquer período personalizado. Além disso, você pode definir filtros que limitam as informações na linha do tempo a tipos específicos de eventos ou alertas.

Os seguintes tipos de itens estão incluídos na linha do tempo:

Alertas – todos os alertas em que a entidade é definida como uma entidade mapeada. Se a organização criou alertas personalizados usando as regras de análise, você deve verificar se o mapeamento de entidade das regras foi feito corretamente.

Favoritos – todos os favoritos que incluem a entidade específica mostrada na página.

Atividades – agregação de eventos notáveis relacionados à entidade.

Insights de entidade

Os insights de entidade são consultas definidas pelos pesquisadores de segurança da Microsoft para ajudar os analistas a investigar de forma mais eficiente e eficaz. Os insights são apresentados como parte da página de entidade e fornecem informações de segurança importantes sobre hosts e usuários, na forma de dados de tabela e gráficos. Ter as informações aqui significa que você não precisa desviar para o Log Analytics. Os insights incluem dados relacionados a entradas, adições de grupo, eventos anômalos e muito mais, e incluem algoritmos avançados de ML para detectar o comportamento anormal. Os insights são baseados nos seguintes tipos de dados:

  • Syslog

  • SecurityEvent

  • Logs de Auditoria

  • Logs de entrada

  • Atividade do Office

  • BehaviorAnalytics (UEBA)