Personnaliser les activités sur les chronologies de la page d’entité

Importante

• La personnalisation de l’activité est en préversion. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.
• Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender. Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Mise hors service Microsoft Sentinel’Portail Azure pour une sécurité accrue.

Introduction

En plus des activités suivies et présentées dans le chronologie par Microsoft Sentinel prêtes à l’emploi, vous pouvez créer toutes les autres activités que vous souhaitez suivre et les présenter sur le chronologie. Vous pouvez créer des activités personnalisées basées sur des requêtes de données d’entité à partir de n’importe quelle source de données connectée. Les exemples suivants montrent comment utiliser cette fonctionnalité :

• Ajoutez de nouvelles activités à l’entité chronologie en modifiant les modèles d’activité prêtes à l’emploi existants.

• Ajoutez de nouvelles activités à partir de journaux personnalisés. Par exemple, à partir d’un journal de contrôle d’accès physique, vous pouvez ajouter les activités d’entrée et de sortie d’un utilisateur pour une zone restreinte particulière( par exemple, une salle de serveurs) à la chronologie de l’utilisateur.

Prise en main

• Utilisateurs de Microsoft Sentinel dans le Portail Azure, sélectionnez l’onglet Portail Azure ci-dessous.
• Pour les utilisateurs du portail Microsoft Defender, sélectionnez l’onglet Portail Defender.

Portail Azure

1. Dans le menu de navigation Microsoft Sentinel, sélectionnez Comportement de l’entité.

2. Dans la page Comportement de l’entité, sélectionnez Personnaliser la page d’entité (préversion) en haut de l’écran.

   

Portail Defender

1. Dans le portail Microsoft Defender, recherchez n’importe quelle page d’entité.

   1. Sélectionnez Appareils de ressources > ou Identités.
   2. Sélectionnez un appareil ou un utilisateur dans la liste. Si vous avez sélectionné un utilisateur, sélectionnez Afficher la page utilisateur dans la fenêtre contextuelle suivante.

2. Dans la page d’entité, sélectionnez l’onglet Sentinel événements.

3. Sous l’onglet Sentinel événements, sélectionnez Personnaliser les activités Sentinel.

Dans la page Personnaliser Sentinel activités, vous verrez une liste des activités que vous avez créées dans l’onglet Mes activités. Dans l’onglet Modèles d’activité, vous verrez la collection d’activités proposées prêtes à l’emploi par les chercheurs en sécurité Microsoft. Il s’agit des activités déjà suivies et affichées dans les chronologies de vos pages d’entité.

• Tant que vous n’avez créé aucune activité définie par l’utilisateur, vos pages d’entité affichent toutes les activités répertoriées sous l’onglet Modèles d’activité .

• Une fois que vous avez créé ou personnalisé une activité, vos pages d’entité affichent uniquement ces activités, qui apparaissent sous l’onglet Mes activités .

• Si vous souhaitez continuer à voir les activités prêtes à l’emploi dans vos pages d’entité, vous devez créer une activité pour chaque modèle que vous souhaitez suivre et afficher. Suivez les instructions sous « Créer une activité à partir d’un modèle » ci-dessous.

Créer une activité à partir d’un modèle

1. Sélectionnez l’onglet Modèles d’activité pour afficher les différentes activités disponibles par défaut. Vous pouvez filtrer la liste par type d’entité et par source de données. La sélection d’une activité dans la liste affiche les informations suivantes dans le volet d’informations :

   • Description de l’activité

   • Source de données qui fournit les événements qui composent l’activité

   • Identificateurs utilisés pour identifier l’entité dans les données brutes

   • Requête qui entraîne la détection de cette activité

2. Sélectionnez Créer une activité en bas du volet d’informations pour démarrer l’Assistant Création d’activité.

   Portail Azure

   

   Portail Defender

   

   Lorsque vous sélectionnez Créer une activité dans le portail Defender, vous êtes redirigé vers l’Assistant Activité Microsoft Sentinel dans le Portail Azure dans un nouvel onglet.

3. L’Assistant Activité - Créer une activité à partir du modèle s’ouvre, avec ses champs déjà remplis à partir du modèle. Vous pouvez apporter des modifications comme vous le souhaitez dans les onglets Général et Configuration de l’activité , ou laisser tout en l’état pour continuer à afficher l’activité prête à l’emploi.

4. Lorsque vous êtes satisfait, sélectionnez l’onglet Vérifier et créer . Lorsque le message Validation réussie s’affiche, cliquez sur le bouton Créer en bas.

Créer une activité à partir de zéro

En haut de la page des activités, cliquez sur Ajouter une activité pour démarrer l’Assistant Création d’activité.

L’Assistant Activité - Créer une activité s’ouvre, avec ses champs vides.

Onglet Général

1. Entrez un nom pour votre activité (exemple : « utilisateur ajouté au groupe »).

2. Entrez une description de l’activité (exemple : « Modification de l’appartenance au groupe d’utilisateurs en fonction de l’ID d’événement Windows 4728 »).

3. Sélectionnez le type d’entité (utilisateur ou hôte) que cette requête effectuera le suivi.

4. Vous pouvez filtrer par paramètres supplémentaires pour affiner la requête et optimiser ses performances. Par exemple, vous pouvez filtrer les utilisateurs Active Directory en choisissant le paramètre IsDomainJoined et en définissant la valeur sur True.

5. Vous pouvez sélectionner la status initiale de l’activité sur Activé ou Désactivé.

6. Sélectionnez Suivant : Configuration de l’activité pour passer à l’onglet suivant.

   

Onglet Configuration de l’activité

Écriture de la requête d’activité

Ici, vous allez écrire ou coller la requête KQL qui sera utilisée pour détecter l’activité de l’entité choisie et déterminer comment elle sera représentée dans le chronologie.

Importante

Nous vous recommandons d’utiliser un analyseur ASIM (Advanced Security Information Model) et non une table intégrée. Cela garantit que la requête prend en charge n’importe quelle source de données pertinente actuelle ou future plutôt qu’une seule source de données.

Pour mettre en corrélation les événements et détecter l’activité personnalisée, le KQL nécessite une entrée de plusieurs paramètres, en fonction du type d’entité. Les paramètres sont les différents identificateurs de l’entité en question.

Il est préférable de sélectionner un identificateur fort pour avoir un mappage un-à-un entre les résultats de la requête et l’entité. La sélection d’un identificateur faible peut produire des résultats inexacts. En savoir plus sur les entités et les identificateurs forts et faibles.

Le tableau suivant fournit des informations sur les identificateurs des entités.

Identificateurs forts pour les entités de compte et d’hôte

Au moins un identificateur est requis dans une requête.

Entity	Identifier	Description
Account	Account_Sid	SID local du compte dans Active Directory
	Account_AadUserId	ID d’objet Microsoft Entra de l’utilisateur dans Microsoft Entra ID
	Account_Name + Account_NTDomain	Similaire à SamAccountName (exemple : Contoso\Joe)
	Account_Name + Account_UPNSuffix	Similaire à UserPrincipalName (exemple : Joe@Contoso.com)
Host	Host_HostName + Host_NTDomain	similaire au nom de domaine complet (FQDN)
	Host_HostName + Host_DnsDomain	similaire au nom de domaine complet (FQDN)
	Host_NetBiosName + Host_NTDomain	similaire au nom de domaine complet (FQDN)
	Host_NetBiosName + Host_DnsDomain	similaire au nom de domaine complet (FQDN)
	Host_AzureID	ID d’objet Microsoft Entra de l’hôte dans Microsoft Entra ID (si Microsoft Entra domaine joint)
	Host_OMSAgentID	ID de l’agent OMS de l’agent installé sur un hôte spécifique (unique par hôte)

En fonction de l’entité sélectionnée, vous verrez les identificateurs disponibles. Cliquez sur les identificateurs appropriés pour coller l’identificateur dans la requête, à l’emplacement du curseur.

Remarque

• La requête peut contenir jusqu’à 10 champs. Vous devez donc projeter les champs souhaités.

• Les champs projetés doivent inclure le champ TimeGenerated afin de placer l’activité détectée dans le chronologie de l’entité.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Présentation de l’activité dans le chronologie

Par souci de commodité, vous pouvez déterminer comment l’activité est présentée dans le chronologie en ajoutant des paramètres dynamiques à la sortie de l’activité.

Microsoft Sentinel fournit des paramètres intégrés que vous pouvez utiliser, et vous pouvez également en utiliser d’autres en fonction des champs que vous avez projetés dans la requête.

Utilisez le format suivant pour vos paramètres : {{ParameterName}}

Une fois la requête d’activité validée et le lien Afficher les résultats de la requête sous la fenêtre de requête, vous pouvez développer la section Valeurs disponibles pour afficher les paramètres que vous pouvez utiliser lors de la création d’un titre d’activité dynamique.

Sélectionnez l’icône Copier en regard d’un paramètre spécifique pour copier ce paramètre dans votre Presse-papiers afin de pouvoir le coller dans le champ Titre de l’activité ci-dessus.

Ajoutez l’un des paramètres suivants à votre requête :

• Tout champ que vous avez projeté dans la requête.

• Identificateurs d’entité de toutes les entités mentionnées dans la requête.

• StartTimeUTC, pour ajouter l’heure de début de l’activité, en heure UTC.

• EndTimeUTC, pour ajouter l’heure de fin de l’activité, en heure UTC.

• Count, pour résumer plusieurs sorties de requête KQL en une seule sortie.

  Le count paramètre ajoute la commande suivante à votre requête en arrière-plan, même si elle n’est pas entièrement affichée dans l’éditeur :

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Ensuite, lorsque vous utilisez le filtre Taille du compartiment dans les pages d’entité, la commande suivante est également ajoutée à la requête exécutée en arrière-plan :

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Par exemple :

Lorsque vous êtes satisfait de votre requête et du titre de votre activité, sélectionnez Suivant : Révision.

Pour plus d’informations sur les éléments suivants utilisés dans les exemples précédents, consultez la documentation Kusto :

• where, opérateur
• opérateur de projet
• Summarize, opérateur
• bin() function
• fonction d’agrégation count()

Pour plus d’informations sur KQL, consultez vue d’ensemble de Langage de requête Kusto (KQL).

Autres ressources :

• Informations de référence rapides sur KQL
• ressources d’apprentissage Langage de requête Kusto

Onglet Vérifier et créer

1. Vérifiez toutes les informations de configuration de votre activité personnalisée.

2. Lorsque le message Validation réussie s’affiche, cliquez sur Créer pour créer l’activité. Vous pouvez le modifier ou le modifier ultérieurement sous l’onglet Mes activités .

Gérer vos activités

Gérez vos activités personnalisées à partir de l’onglet Mes activités . Cliquez sur les points de suspension (...) à la fin de la ligne d’une activité pour :

• Modifiez l’activité.
• Dupliquez l’activité pour en créer une, légèrement différente.
• Supprimez l’activité.
• Désactivez l’activité (sans la supprimer).

Afficher les activités dans une page d’entité

Chaque fois que vous entrez une page d’entité, toutes les requêtes d’activité activées pour cette entité s’exécutent, ce qui vous fournit des informations de dernière minute dans l’entité chronologie. Vous verrez les activités dans le chronologie, ainsi que les alertes et les signets.

Vous pouvez utiliser le filtre de contenu Chronologie pour présenter uniquement des activités (ou toute combinaison d’activités, d’alertes et de signets).

Vous pouvez également utiliser le filtre Activités pour présenter ou masquer des activités spécifiques.

Étapes suivantes

Dans ce document, vous avez appris à créer des activités personnalisées pour les chronologies de votre page d’entité. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• Obtenez l’image complète sur les pages d’entité.
• En savoir plus sur l’analyse du comportement des utilisateurs et des entités (UEBA).
• Consultez la liste complète des entités et des identificateurs.