共用方式為


將資料欄位對應至 Microsoft Sentinel 中的實體

實體對應是排程分析規則設定不可或缺的一部分。 其會使用基本資訊來擴充規則的輸出 (警示和事件),作為任何調查處理程式的建置組塊,並補救後續動作。

以下所述的程序是分析規則建立精靈的一部分。 這裡會單獨處理,以解決在現有分析規則中新增或變更實體對應的案例。

重要

  • 如需新版與舊版實體對應之間回溯相容性和差異的重要資訊,請參閱本文件結尾的「新版本的注意事項」。
  • Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

如何對應實體

  1. 進入入口網站中的 [分析] 頁面,您可以透過此頁面存取 Microsoft Sentinel:

    從 Microsoft Sentinel 導覽功能表的 [設定] 區段中,選取 [分析]

  2. 選取排程查詢規則,然後從詳細資料窗格中選取 [編輯]。 或按一下畫面頂端的 [建立 > 排程的查詢規則] 來建立新的規則。

  3. 選取 [設定規則邏輯] 索引標籤。如果新的規則,請在 [規則查詢] 視窗中輸入查詢。

  4. 在 [警示增強功能] 區段中,展開 [實體對應]

    展開實體對應

  5. 在現在展開的 [實體對應] 區段中,選取 [新增實體]

    此螢幕擷取畫面顯示如何新增項目。

  6. 從 [實體] 下拉式清單選取實體。

    選擇實體類型

  7. 選取實體的 [識別碼]。 識別碼是實體的屬性,可充分識別實體。 從 [識別碼] 下拉式清單中選擇一個識別碼,然後從 [值] 下拉式清單中選擇對應至識別碼的資料欄位。 在某些情況下,[值] 清單會由定義為規則查詢主體的資料表中的資料欄位填入。

    您可以為指定的實體對應定義最多三個識別碼。 有些識別碼是必要的;有些則是選擇性的。 您必須至少選擇一個必要的識別碼。 如果沒有,警告訊息會指示您需要哪些識別碼。 為了獲得最佳結果 (為了盡可能達到唯一識別) 您應盡可能使用強式識別碼,而使用多個強識別碼可讓資料來源之間的相互關聯性更高。 請參閱可用的實體和識別碼完整清單。

    將欄位對應至實體

  8. 選取 [新增實體] 來對應更多實體。 您可以在單一分析規則中定義最多 10 個實體對應。 您也可以對應多個相同類型的實體。 例如,您可以對應兩個IP實體,一個來自「來源 IP 位址」欄位,另一個來自「目的地 IP 位址」欄位。 如此一來,您就可以追蹤這兩者。

    如果改變心意,或如果犯錯誤,您可以移除實體對應,方法是按一下實體下拉式清單旁邊的垃圾桶圖示。

  9. 您完成對應項目時,請按一下 [檢閱並建立] 索引標籤。一旦規則驗證成功,請按一下 [儲存]

注意

  • 一共最多 500 個實體可以在單一警示中識別,在規則中定義的全部實體對應中平均分割

    • 例如,如果規則中定義兩個實體對應,則每個對應最多可以識別 250 個實體;如果定義五個對應,則每個對應最多可以識別 100 個實體等等。
    • 單一實體類型的多個對應 (例如,來源 IP 和目的地 IP) 會個別計算。
    • 如果警示包含超出此限制的項目,這些多餘的項目將無法辨識並擷取為實體。
  • 警示的整個實體大小限制區域 (實體欄位) 為 64 KB

    • 大於 64 KB 的實體欄位將遭到截斷。 識別實體時,系統會逐一新增至警示,直到欄位大小達到 64 KB 為止,並從警示中捨棄未識別的任何實體。

新版本的注意事項

  • 由於新版本現已正式推出 (GA),因此不再提供使用舊版的功能旗標因應措施。

  • 如果您先前已使用舊版來定義此分析規則的實體對應,則會自動轉換成新版本。

下一步

在本文件中,您已了解如何將資料欄位對應至 Microsoft Sentinel 分析規則中的實體。 若要深入了解 Microsoft Sentinel,請參閱下列文章: