Přizpůsobení aktivit na časových osách stránek entit

Úvod

Kromě aktivit sledovaných a prezentovaných na časové ose od Microsoft Sentinelu můžete vytvořit i další aktivity, které chcete sledovat, a nechat je prezentovat i na časové ose. Přizpůsobené aktivity můžete vytvářet na základě dotazů na data entity z jakýchkoli připojených zdrojů dat. Následující příklady ukazují, jak můžete tuto funkci používat:

  • Přidání nových aktivit na časovou osu entity úpravou existujících předefinovaných šablon aktivit

  • Přidejte nové aktivity z vlastních protokolů , například z fyzického protokolu řízení přístupu, můžete přidat aktivity vstupu a ukončení uživatele pro konkrétní budovu na časovou osu uživatele.

Začínáme

  1. V navigační nabídce Služby Microsoft Sentinel vyberte chování entit.

  2. V okně Chování entit vyberte v horní části obrazovky stránku Přizpůsobit entitu.

    Entity behavior page

  3. Na kartě Moje aktivity uvidíte stránku se seznamem všech aktivit, které jste vytvořili. Na kartě Šablony aktivit uvidíte kolekci aktivit nabízených výzkumníky z oblasti zabezpečení Microsoftu. Jedná se o aktivity, které se už sledují a zobrazují na časových osách na stránkách vaší entity.

    Poznámka:

    • Pokud jste nevytvořili žádné uživatelem definované aktivity, stránky entit zobrazí všechny aktivity uvedené na kartě Šablony aktivit.

    • Po definování jedné vlastní aktivity se na stránkách entit zobrazí jenom aktivity, které se zobrazí na kartě Moje aktivity .

    • Pokud chcete pokračovat v zobrazování předem zadaných aktivit na stránkách entit, musíte vytvořit aktivitu pro každou šablonu, kterou chcete sledovat a zobrazovat. Postupujte podle pokynů v části Vytvoření aktivity ze šablony níže.

Vytvoření aktivity ze šablony

  1. Kliknutím na kartu Šablony aktivit zobrazíte různé aktivity, které jsou ve výchozím nastavení k dispozici. Seznam můžete filtrovat podle typu entity i podle zdroje dat. Výběrem aktivity ze seznamu se v podokně náhledu zobrazí následující podrobnosti:

    • Popis aktivity

    • Zdroj dat, který poskytuje události, které tvoří aktivitu

    • Identifikátory používané k identifikaci entity v nezpracovaných datech

    • Dotaz, který vede k detekci této aktivity

  2. Kliknutím na tlačítko Vytvořit aktivitu v dolní části podokna náhledu spusťte průvodce vytvořením aktivity.

    View activity details

  3. Otevře se Průvodce aktivitou – Vytvoření nové aktivity ze šablony s poli, která jsou z šablony již vyplněna. Změny můžete provádět podle potřeby na kartách Konfigurace obecné a aktivity nebo ponechat všechno tak, jak je, abyste mohli pokračovat v prohlížení předem zadané aktivity.

  4. Až budete spokojeni, vyberte kartu Revize a vytvořit . Když se zobrazí zpráva o úspěšném ověření, klikněte v dolní části na tlačítko Vytvořit .

Vytvoření úplně nové aktivity

V horní části stránky aktivit kliknutím na Přidat aktivitu spusťte průvodce vytvořením aktivity.

Průvodce aktivitou – Vytvoření nové aktivity se otevře s prázdnými poli.

Karta Obecné

  1. Zadejte název vaší aktivity (například uživatel přidaný do skupiny).

  2. Zadejte popis aktivity (příklad: Změna členství ve skupině uživatelů na základě ID události Windows 4728).

  3. Vyberte typ entity (uživatele nebo hostitele), který bude tento dotaz sledovat.

  4. Můžete filtrovat podle dalších parametrů, které vám pomůžou dotaz upřesnit a optimalizovat jeho výkon. Můžete například filtrovat uživatele služby Active Directory tak, že zvolíte parametr IsDomainJoined a nastavíte hodnotu na True.

  5. Můžete vybrat počáteční stav aktivity na Povoleno nebo Zakázáno.

  6. Vyberte Další: Konfigurace aktivity a pokračujte na další kartu.

    Screenshot - Create a new activity

Karta Konfigurace aktivity

Zápis dotazu na aktivitu

Tady napíšete nebo vložíte dotaz KQL, který se použije k detekci aktivity pro vybranou entitu, a určíte, jak bude reprezentován na časové ose.

Důležité

Doporučujeme, aby váš dotaz používal analyzátor ADVANCED Security Information Model (ASIM) a ne integrovanou tabulku. Tím zajistíte, že dotaz bude podporovat jakýkoli aktuální nebo budoucí relevantní zdroj dat místo jednoho zdroje dat.

Aby bylo možné korelovat události a detekovat vlastní aktivitu, vyžaduje KQL vstup několika parametrů v závislosti na typu entity. Parametry jsou různé identifikátory dané entity.

Výběr silného identifikátoru je lepší, pokud chcete mít mapování 1:1 mezi výsledky dotazu a entitou. Výběr slabého identifikátoru může přinést nepřesné výsledky. Přečtěte si další informace o entitách a silných a slabých identifikátorech.

Následující tabulka obsahuje informace o identifikátorech entit.

Silné identifikátory pro entity účtů a hostitelů

V dotazu se vyžaduje aspoň jeden identifikátor.

Entita Identifikátor Popis
Obchodní vztah Account_Sid Místní identifikátor SID účtu ve službě Active Directory
Account_AadUserId ID objektu Microsoft Entra uživatele v Microsoft Entra ID
Account_Name + Account_NTDomain Podobá se SamAccountName (příklad: Contoso\Joe)
Account_Name + Account_UPNSuffix Podobá se UserPrincipalName (příklad: Joe@Contoso.com)
Hostitel Host_HostName + Host_NTDomain podobný plně kvalifikovanému názvu domény (FQDN)
Host_HostName + Host_DnsDomain podobný plně kvalifikovanému názvu domény (FQDN)
Host_NetBiosName + Host_NTDomain podobný plně kvalifikovanému názvu domény (FQDN)
Host_NetBiosName + Host_DnsDomain podobný plně kvalifikovanému názvu domény (FQDN)
Host_AzureID ID objektu Microsoft Entra hostitele v Microsoft Entra ID (pokud je připojena k doméně Microsoft Entra)
Host_OMSAgentID ID agenta OMS nainstalovaného na konkrétním hostiteli (jedinečné na hostitele)

Na základě vybrané entity uvidíte dostupné identifikátory. Kliknutím na příslušné identifikátory vložíte identifikátor do dotazu v umístění kurzoru.

Poznámka:

  • Dotaz může obsahovat až 10 polí, takže musíte promítnout požadovaná pole.

  • Projected fields must include the TimeGenerated field, in to place the detected activity in the entity's timeline.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Screenshot - Enter a query to detect the activity

Prezentace aktivity na časové ose

Z důvodu pohodlí můžete chtít určit, jak se aktivita prezentuje na časové ose přidáním dynamických parametrů do výstupu aktivity.

Microsoft Sentinel poskytuje integrované parametry, které můžete použít, a můžete také použít jiné na základě polí, která jste v dotazu promítli.

Pro parametry použijte následující formát: {{ParameterName}}

Jakmile dotaz aktivity projde ověřením a pod oknem dotazu zobrazí odkaz Zobrazit výsledky dotazu, budete moct rozbalit oddíl Dostupné hodnoty a zobrazit parametry, které můžete použít při vytváření názvu dynamické aktivity.

Výběrem ikony Kopírovat vedle konkrétního parametru zkopírujte tento parametr do schránky, abyste ho mohli vložit do pole Název aktivity výše.

Přidejte do dotazu některý z následujících parametrů:

  • Libovolné pole, které jste v dotazu promítli.

  • Identifikátory entit všech entit uvedených v dotazu.

  • StartTimeUTC, pro přidání počátečního času aktivity v čase UTC.

  • EndTimeUTC, a to add the end time of the activity, in UTC time.

  • Count– pro shrnutí několika výstupů dotazu KQL do jednoho výstupu.

    Parametr count přidá do dotazu na pozadí následující příkaz, i když se v editoru nezobrazí úplně:

    Summarize count() by <each parameter you’ve projected in the activity>
    

    Když pak použijete filtr Velikost kbelíku na stránkách entit, přidá se do dotazu, který běží na pozadí, také následující příkaz:

    Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
    

Příklad:

Screenshot - See the available values for your activity title

Až budete s názvem dotazu a aktivity spokojení, vyberte Další: Revize.

Karta Revize a vytvoření

  1. Ověřte všechny informace o konfiguraci vlastní aktivity.

  2. Jakmile se zobrazí zpráva o úspěšném ověření, kliknutím na Vytvořit vytvořte aktivitu. Můžete ho upravit nebo změnit později na kartě Moje aktivity .

Správa aktivit

Spravujte vlastní aktivity na kartě Moje aktivity. Klikněte na tři tečky (...) na konci řádku aktivity, abyste mohli:

  • Upravte aktivitu.
  • Duplikujte aktivitu a vytvořte novou, mírně odlišnou.
  • Odstraňte aktivitu.
  • Zakažte aktivitu (bez odstranění).

Zobrazení aktivit na stránce entity

Pokaždé, když zadáte stránku entity, spustí se všechny dotazy na aktivity s povolenou aktivitou pro danou entitu a poskytnou vám v časové ose entity informace o minutách. Aktivity uvidíte na časové ose společně s upozorněními a záložkami.

Pomocí filtru obsahu časové osy můžete prezentovat jenom aktivity (nebo libovolnou kombinaci aktivit, upozornění a záložek).

Filtr Aktivity můžete také použít k prezentaci nebo skrytí konkrétních aktivit.

Další kroky

V tomto dokumentu jste zjistili, jak vytvořit vlastní aktivity pro časové osy stránek entit. Další informace o službě Microsoft Sentinel najdete v následujících článcích: