Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O mapeamento de entidade é parte integrante da configuração de regras de análise agendadas. Ele enriquece a saída de filtro (alertas e incidentes) a respeito das informações essenciais que servem como blocos de construção de quaisquer processos investigativos e ações corretivas a seguir.
O procedimento detalhado abaixo faz parte do assistente de criação de regras da análise. É tratado aqui de forma independente para endereçar o cenário de adição ou alteração de mapeamentos da entidade numa regra de análise existente.
Importante
- Consulte "Anotações sobre a nova versão" no final deste documento para obter informações importantes sobre compatibilidade com versões anteriores e diferenças entre as versões novas e antigas do mapeamento de entidade.
- A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos usuários também são integrados e redirecionados automaticamente do portal do Azure para o portal do Defender. Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.
Como mapear as entidades
Insira a página Análise no portal por meio do qual você acessa o Microsoft Sentinel:
Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Análise.
Selecione uma regra de consulta agendada e selecione Editar no painel de detalhes. Ou crie uma nova regra clicando em Criar > regra de consulta agendada na parte superior da tela.
Selecione a guia Configurar lógica de regra. Se for uma nova regra, digite uma consulta na janela de consulta de regra.
Na seção Aprimoramento de alerta, expanda Mapeamento de entidade.
Na seção de mapeamento de entidade agora expandida, selecione Adicionar nova entidade.
Selecione um tipo de entidade na lista suspensa Entidade.
Selecione um identificador para a entidade. Os identificadores são atributos de uma entidade que podem identificá-los suficientemente. Escolha um na lista suspensa Identificador e escolha um campo de dados na lista suspensa Valor que corresponderá ao identificador. Com algumas exceções, a lista Valor é preenchida pelos campos de dados na tabela definida como o assunto da consulta de regra.
Você pode definir até três identificadores para um determinado mapeamento de entidade. Alguns identificadores são necessários; outros são opcionais. Você deve escolher pelo menos um identificador necessário. Se você não fizer isso, uma mensagem de aviso ordenará quais os identificadores são necessários. Para obter melhores resultados, para a identificação exclusiva máxima, você deve usar identificadores fortes sempre que possível e o uso de vários identificadores fortes permitirá maior correlação entre fontes de dados. Consulte a lista completa de entidades e identificadores disponíveis.
Selecione Adicionar nova entidade para mapear mais entidades. Você pode definir até dez mapeamentos de entidade em uma única regra de análise. Você pode também mapear mais que um do mesmo tipo. Por exemplo, você pode mapear duas entidades IP , uma de um campo de endereço IP de origem e outra de um campo de endereço IP de destino . Desta maneira, você pode acompanhá-los.
Se você mudar de ideia ou se cometer um erro, poderá remover um mapeamento da entidade clicando no ícone lixeira ao lado da lista suspensa da entidade.
Quando terminar de mapear entidades, clique na guia Examinar e criar . Depois que a validação da regra for bem-sucedida, clique em Salvar.
Observação
Até 500 entidades coletivamente podem ser identificadas em um único alerta, divididas igualmente em todos os mapeamentos de entidade definidos na regra.
- Por exemplo, se dois mapeamentos de entidade forem definidos na regra, cada mapeamento poderá identificar até 250 entidades; se cinco mapeamentos forem definidos, cada um poderá identificar até 100 entidades e assim por diante.
- Vários mapeamentos de um único tipo de entidade (por exemplo, IP de origem e IP de destino) contam separadamente.
- Se um alerta contiver itens acima desse limite, esses itens em excesso não serão reconhecidos e extraídos como entidades.
O limite de tamanho para toda a área de entidades de um alerta (o campo Entidades ) é de 64 KB.
- Os campos de entidades que crescerem mais de 64 KB serão truncados. À medida que as entidades são identificadas, elas são adicionadas ao alerta uma a uma até que o tamanho do campo atinja 64 KB e quaisquer entidades ainda não identificadas sejam removidas do alerta.
Notas sobre a nova versão
Como a nova versão já tem GA (disponibilidade geral), a solução alternativa do sinalizador de recursos para usar a versão antiga não está mais disponível.
Se você já tiver definido mapeamentos de entidade para essa regra de análise usando a versão antiga, eles serão convertidos automaticamente na nova versão.
Próximas etapas
Neste documento, você aprendeu como mapear campos de dados para as entidades nas regras de análise do Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos:
- Explore as outras maneiras de enriquecer seus alertas:
- Obtenha um panorama completo sobre as regras de análise de consultas agendadas.
- Saiba mais sobre entidades no Microsoft Sentinel.