Associare i campi di dati alle entità in Microsoft Sentinel

Il mapping delle entità è parte integrante della configurazione delle regole di analisi pianificata. Arricchisce l'output generato dalle regole (avvisi e incidenti) con informazioni essenziali che costituiscono gli elementi fondamentali di qualsiasi processo investigativo e delle successive azioni correttive.

La procedura seguente fa parte della creazione guidata delle regole di analisi. Viene trattato in modo indipendente per risolvere lo scenario di aggiunta o modifica dei mapping di entità in una regola di analisi esistente.

Importante

Come eseguire il mapping delle entità

Per eseguire il mapping delle entità in una regola di analisi, seguire questa procedura:

  1. Immettere la pagina Analisi nel portale tramite cui si accede Microsoft Sentinel:

    Nella sezione Configurazione del menu di spostamento Microsoft Sentinel selezionare Analisi.

  2. Selezionare una regola di query pianificata e selezionare Modifica nel riquadro dei dettagli. In alternativa, creare una nuova regola facendo clic su Crea > regola di query pianificata nella parte superiore della schermata.

  3. Selezionare la scheda Imposta la logica della regola. Se si tratta di una nuova regola, digitare una query nella finestra Query della regola.

  4. Nella sezione Miglioramento degli avvisi, espandere Mappatura delle entità.

    Espandere il mapping delle entità

  5. Nella sezione Mappatura delle entità, ora espansa, selezionare Aggiungi nuova entità.

    Screenshot che mostra come aggiungere una nuova entità.

  6. Selezionare un tipo di entità dall'elenco a discesa Entità .

    Scegliere un tipo di entità

  7. Selezionare un identificatore per l'entità. Gli identificatori sono attributi di un'entità in grado di identificarla in modo sufficiente. Scegliere uno dall'elenco a discesa Identificatore e quindi scegliere un campo dati dall'elenco a discesa Valore che corrisponderà all'identificatore. Con alcune eccezioni, l'elenco Valore viene compilato con i campi dati della tabella definita come oggetto della query della regola.

    È possibile definire fino a tre identificatori per un mapping di entità specificato. Alcuni identificatori sono obbligatori, altri sono facoltativi. È necessario scegliere almeno un identificatore obbligatorio. In caso contrario, un messaggio di avviso indicherà quali identificatori sono necessari. Per ottenere risultati ottimali, per la massima identificazione univoca, è consigliabile usare identificatori sicuri quando possibile e l'uso di più identificatori sicuri consentirà una maggiore correlazione tra le origini dati. Vedere l'elenco completo delle entità e degli identificatori disponibili.

    Eseguire il mapping dei campi alle entità

  8. Selezionare Aggiungi nuova entità per eseguire il mapping di altre entità. È possibile definire fino a dieci mapping di entità in una singola regola di analisi. Puoi anche mappare più elementi dello stesso tipo. Ad esempio, è possibile eseguire il mapping di due entità IP , una da un campo di indirizzo IP di origine e una da un campo di indirizzo IP di destinazione . In questo modo è possibile monitorarli entrambi.

    Se cambi idea o hai commesso un errore, puoi rimuovere una mappatura di entità facendo clic sull'icona del cestino accanto al menu a discesa dell'entità.

  9. Al termine del mapping delle entità, fare clic sulla scheda Rivedi e crea . Dopo aver completato la convalida della regola, fare clic su Salva.

Nota

  • Un massimo di 500 entità può essere identificato collettivamente in un singolo avviso, diviso equamente tra tutti i mapping di entità definiti nella regola.

    • Ad esempio, se nella regola sono definiti due mapping di entità, ogni mapping può identificare fino a 250 entità; se sono definiti cinque mapping, ognuno può identificare fino a 100 entità e così via.
    • Più mapping di un singolo tipo di entità (ad esempio, IP di origine e IP di destinazione) vengono conteggiati separatamente.
    • Se un avviso contiene elementi che superano questo limite, gli elementi in eccesso non verranno riconosciuti ed estratti come entità.
  • Il limite di dimensioni per l'intera area delle entità di un avviso (campo Entità ) è di 64 KB.

    • I campi delle entità con dimensioni superiori a 64 KB verranno troncati. Man mano che le entità vengono identificate, vengono aggiunte all'avviso una alla una fino a quando le dimensioni del campo non raggiungono i 64 KB e tutte le entità ancora non identificate vengono eliminate dall'avviso.

Note sulla nuova versione

L'esperienza di mapping delle entità è stata aggiornata da una versione precedente. Tenere presenti i dettagli di compatibilità con le versioni precedenti seguenti:

  • Poiché la nuova versione è ora generalmente disponibile (GA), il workaround tramite feature flag per usare la vecchia versione non è più disponibile.

  • Se i mapping di entità definiti in precedenza per questa regola di analisi usano la versione precedente, verranno convertiti automaticamente nella nuova versione.

Passaggi successivi

In questo documento si è appreso come eseguire il mapping dei campi dati alle entità nelle regole di analisi Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: