當您在事件調查中發現使用者帳戶、主機名稱、IP 位址或 Azure 資源時,您可能會決定要深入加以瞭解。 例如,您可能想要知道其活動歷程記錄、是否出現在其他警示或事件中、是否執行了任何非預期或異常的動作等等。 簡言之,您需要可協助您判斷這些實體代表何種威脅的資訊,並藉此引導調查的方向。
本文描述 Azure 入口網站中 Microsoft Sentinel 的實體頁面。 關於 Defender 入口網站實體頁面的資訊,請參閱:
重要事項
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
實體頁面
在這些情況下,您可以選取實體(它會顯示為可點選的連結),並移至 實體頁面,這是一個數據工作表,其中包含該實體的實用資訊。 您也可以直接在 Microsoft Sentinel 實體行為頁面上搜尋實體,以前往實體頁面。 您將在實體頁面上找到的資訊類型包括關於實體的基本事實、與此實體相關的值得注意事件時間軸,以及實體行為的相關深入解析。
更具體來說,實體頁面包含三個部分:
左側的面板包含實體的識別資訊,收集自多種資料來源,例如 Microsoft Entra ID、Azure 監視器、Azure 活動、Azure Resource Manager、適用於雲端的 Microsoft Defender、CEF/Syslog 和 Microsoft Defender XDR (及其全部元件)。
中央面板會顯示與實體相關的值得注意事件的 圖形化和文字時程表 ,例如警示、書籤、 異常和活動。 活動為來自 Log Analytics 值得注意的事件的彙總。 偵測這些活動的查詢是由Microsoft安全性研究小組所開發,您現在可以 新增自己的自定義查詢來偵測您選擇的活動 。
右側面板會顯示實體的行為洞察。 這些深入解析由 Microsoft 安全性研究小組持續開發。 它們以各種數據源為基礎,併為實體及其觀察到的活動提供內容,協助您快速識別 異常行為 和安全性威脅。
如果您要使用新的調查體驗調查事件,您將能夠在事件詳細資料頁面內看到實體頁面的面板化版本。 您有 指定事件中所有實體的清單,並選取實體會開啟側邊面板,其中包含三張「卡片」—資訊、 時程表和 深入解析,其中顯示上述所有相同資訊,且在特定時間範圍內,與事件中警示對應的時間範圍內。
如果您在 Defender入口網站中使用 Microsoft Sentinel, 時間軸 和 深入解析 面板會出現在Defender實體頁面的 Sentinel 事件 索引卷標中。
時間表
時間表是實體頁面對 Microsoft Sentinel 中的行為分析貢獻的主要部分。 其會呈現有關實體相關事件的故事,協助您了解實體在特定時間範圍內的活動。
您可以從數個預設選項中選擇 時間範圍 (例如 過去 24 小時),或將它設定為任何自定義定義的時間範圍。 此外,您可以設定篩選器,將時間表中的資訊限制為特定類型的事件或警示。
時間軸中包含下列項目類型。
警示:實體定義為對應實體的任何警示。 請注意,如果您的組織已 使用分析規則建立自定義警示,您應該確定規則的實體對應已正確完成。
書籤:包含頁面上顯示之特定實體的任何書籤。
異常:UEBA 偵測,其根據針對各種資料輸入及其自身過去的活動、其同儕過去的活動,以及整個組織中的每個實體所建立的動態基準。
活動:與實體相關的值得注意事件的匯總。 系統會自動收集各種不同的活動,且您現在可以藉由新增自己選擇的活動來自訂此區段。
實體深入解析
實體深入解析是 Microsoft 安全性研究人員所定義的查詢,可協助您的分析師更有效率且更有效地進行調查。 深入解析會呈現為實體頁面的一部分,並以表格式資料和圖表形式提供有關主機和使用者的重要安全性資訊。 在這裡提供資訊表示您不需要改道至 Log Analytics。 見解包含登入、群組新增、異常事件等相關資料,並包含用於偵測異常行為的進階 ML 演算法。
見解以下列資料來源為基礎:
- Syslog(Linux)
- 安全事件(Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure 監視器代理程式)
- CommonSecurityLog (Microsoft Sentinel)
一般而言,實體頁面上顯示的每個實體深入解析都會提供連結,將帶您前往顯示深入解析基礎查詢的頁面,並且提供結果,讓您可以更深入檢查結果。
- 在 Azure 入口網站的 Microsoft Sentinel 中,連結會帶您前往 [記錄] 頁面。
- 在 Microsoft Defender 入口網站中,連結會帶您前往 [ 進階搜捕 ] 頁面。
如何使用實體頁面
實體頁面的設計目的是用於多種使用情境,可從事故管理、調查圖表、書籤,或直接從 Microsoft Sentinel 主功能表中的 實體行為 下的實體搜尋頁面存取。
實體頁面資訊會儲存在 BehaviorAnalytics 資料表中,詳細描述於 Microsoft Sentinel UEBA 參考。
支援的實體類型
Microsoft Sentinel 目前提供下列實體頁面:
使用者帳戶
主辦人
IP 位址 (預覽)
附註
IP 位址實體頁面(目前為預覽版)包含Microsoft威脅情報服務所提供的地理位置數據。 此服務合併 Microsoft 解決方案與協力廠商及合作夥伴的地理位置資料。 然後,資料即可在安全性事件的內容中進行分析與調查。 如需詳細資訊,另請參閱透過 REST API 擴充Microsoft Sentinel 中具有地理位置數據的實體(公開預覽)。
Azure 資源 (預覽)
IoT 裝置 (預覽版)— 目前只在 Azure 入口網站中的 Microsoft Sentinel 中。
後續步驟
在此文件中,您已了解如何在 Microsoft Sentinel 中使用實體頁面取得實體的相關資訊。 如需關於實體及其用法的詳細資訊,請參閱下列文章:
- 深入瞭解 Microsoft Sentinel 中的實體。
- 在實體分頁時間軸上自訂活動。
- 使用 Sentinel 中的使用者和實體行為分析 (UEBA) 識別 Microsoft進階威脅
- 在 Microsoft Sentinel 中啟用實體行為分析。
- 搜捕安全性威脅。