Entités dans Microsoft Sentinel
Lorsque des alertes sont envoyées à Microsoft Sentinel ou générées par celui-ci, elles contiennent des éléments de données que Sentinel peut reconnaître et classer en catégories en tant qu’entités. Lorsque Microsoft Sentinel identifie le type d’entité que représente un élément de données particulier et il sait quelles sont les bonnes questions à poser à son sujet. Il peut ensuite comparer les informations relatives à cet élément sur l’ensemble des sources de données, et facilement le suivre et s’y référer tout au long de l’expérience Sentinel (analyse, investigation, correction, chasse, etc.). Voici quelques exemples courants d’entités : comptes utilisateurs, hôtes, boîtes aux lettres, adresses IP, fichiers, applications cloud, processus et URL.
Important
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Dans le portail Microsoft Defender, les entités se répartissent généralement en deux catégories principales :
Catégorie d’entité | Caractérisation | Exemples principaux |
---|---|---|
Actifs | ||
Autres entités (preuve) |
Identificateurs d’entité
Microsoft Sentinel prend en charge un large éventail de types d’entités. Chaque type a ses propres attributs uniques, qui sont représentés en tant que champs dans le schéma d’entité, et sont appelés identificateurs. Consultez la liste complète des entités prises en charge ci-dessous, ainsi que l’ensemble complet de schémas d’entité et d’identificateurs dans le référentiel des types d’entités Microsoft Sentinel.
Identificateurs forts et faibles
Chaque type d'entité est associé à des champs, ou à des ensembles de champs, qui permettent d'identifier des instances particulières de cette entité. Ces champs ou ensembles de champs peuvent être qualifiés d'identificateurs forts s'ils permettent d'identifier une entité de manière unique sans aucune ambiguïté, ou d'identificateurs faibles s'ils permettent d'identifier une entité dans certaines circonstances, sans toutefois garantir une identification unique dans tous les cas. Dans de nombreux cas, cependant, différents identificateurs faibles peuvent être combinés pour produire un identificateur fort.
Par exemple, les comptes d'utilisateur peuvent être identifiés en tant qu'entités Compte de plusieurs façons : à l'aide d'un seul identificateur fort, comme l'identificateur numérique d'un compte Microsoft Entra (le champ GUID), ou de sa valeur UPN (nom d'utilisateur principal), ou encore en utilisant une combinaison d'identificateurs faibles tels que ses champs Name et NTDomain. Des sources de données différentes peuvent identifier le même utilisateur de manières différentes. Chaque fois que Microsoft Sentinel rencontre deux entités qu’il reconnaît comme étant la même entité sur la base de leurs identificateurs, il fusionne les deux entités en une seule afin qu’elles puissent être traitées correctement et de manière cohérente.
Cela dit, si l'un de vos fournisseurs de ressources crée une alerte stipulant qu'une entité n'est pas suffisamment identifiée (par exemple, en utilisant un seul identificateur faible comme un nom d'utilisateur sans le contexte de nom de domaine), l'entité utilisateur ne peut pas être fusionnée avec d'autres instances du même compte d'utilisateur. Ces autres instances sont alors identifiées comme une entité distincte, et ces deux entités restent séparées au lieu d'être unifiées.
Afin de minimiser le risque que cela se produise, vous devez vérifier que tous vos fournisseurs d'alertes identifient correctement les entités dans les alertes qu'ils produisent. En outre, la synchronisation d’entités de compte d’utilisateur avec Microsoft Entra ID peut créer un répertoire d’unification, qui sera en mesure de fusionner les entités de compte d’utilisateur.
Entités prises en charge
Les types d’entités suivants sont actuellement identifiés dans Microsoft Sentinel :
- Compte
- Hôte
- Adresse IP
- URL
- Ressource Azure
- Application cloud
- Résolution DNS
- File
- Hachage du fichier
- Programme malveillant
- Processus
- Clé du Registre
- Valeur de Registre
- Groupe de sécurité
- Boîte aux lettres
- Cluster de messagerie
- Message électronique
- E-mail d'envoi
Vous pouvez consulter les identificateurs de ces entités ainsi que d'autres informations pertinentes dans Informations de référence sur les entités.
Mappage d’entités
Comment Microsoft Sentinel reconnaît-il une donnée comme identificateur d’une entité dans une alerte ?
Observons le traitement des données dans Microsoft Sentinel. Les données sont ingérées à partir de différentes sources par le biais de connecteurs, que ce soit de service à service, sur la base d'un agent, ou sur la base d’une API. Les données sont stockées dans des tables de votre espace de travail Log Analytics. Ces tables sont régulièrement interrogées par les règles d’analyse planifiées ou en quasi-temps réel que vous avez définies et activées, ou bien à la demande dans le cadre de requêtes de chasse visant à repérer les menaces. Une composante essentielle de la définition de ces règles d’analyse et ces requêtes de repérage est le mappage entre les champs de données dans les tables et les types d’entités reconnus par Microsoft Sentinel. Selon les mappages que vous définissez, Microsoft Sentinel prend des champs dans les résultats renvoyés par votre requête, les reconnaît grâce aux identificateurs que vous avez spécifiés pour chaque type d’entité et leur applique le type d’entité identifié par ces identificateurs.
Quel est l'intérêt de tout cela ?
Lorsque Microsoft Sentinel est en mesure d’identifier des entités dans des alertes provenant de différents types de sources de données, et surtout s’il peut le faire à l’aide d’identificateurs forts communs à chaque source de données ou à un autre schéma, il peut facilement mettre en corrélation toutes ces alertes et sources de données. Ces corrélations permettent de constituer une précieuse banque d'informations et d'insights sur les entités, ce qui vous confère une base solide et des éléments contextuels pour examiner les menaces de sécurité et y répondre.
Apprenez à mapper des champs de données avec des entités.
Découvrez les identificateurs qui permettent une identification forte d'une entité.
Pages d’entité
Vous trouverez désormais des informations sur les pages d’entité dans Pages d’entités dans Microsoft Sentinel.
Étapes suivantes
Ce document vous a permis de vous familiariser avec l’utilisation des entités dans Microsoft Sentinel. Pour obtenir des conseils pratiques sur l’implémentation et pour utiliser les insights que vous avez acquises, consultez les articles suivants :
- Activer l’analyse comportementale des entités dans Microsoft Sentinel.
- Chasse des menaces de sécurité.