Tevékenységek testreszabása az entitásoldal idővonalán

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Fontos

• A tevékenység testreszabása előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
• A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Bevezetés

A Microsoft Sentinel által az ütemtervben nyomon követett és bemutatott tevékenységek mellett bármilyen más tevékenységet is létrehozhat, amelyet nyomon szeretne követni, és az ütemterven is bemutathatja őket. A csatlakoztatott adatforrásokból származó entitásadatok lekérdezései alapján testre szabott tevékenységeket hozhat létre. Az alábbi példák bemutatják, hogyan használhatja ezt a képességet:

• Adjon hozzá új tevékenységeket az entitás ütemtervéhez a meglévő beépített tevékenységsablonok módosításával.

• Új tevékenységek hozzáadása egyéni naplókból. Egy fizikai hozzáférés-vezérlési naplóból például hozzáadhatja a felhasználó belépési és kilépési tevékenységeit egy adott korlátozott területhez – például egy kiszolgálóteremhez – a felhasználó idővonalához.

Első lépések

• A Microsoft Sentinel felhasználói az Azure Portalon válassza az alábbi Azure Portal lapot.
• Az egyesített biztonsági üzemeltetési platform felhasználói a Microsoft Defender portálon válassza a Defender portál lapját.

Azure Portalra

1. A Microsoft Sentinel navigációs menüjében válassza az Entitás viselkedése lehetőséget.

2. Az Entitás viselkedése lapon válassza az Entitás testreszabása lap (előzetes verzió) lehetőséget a képernyő tetején.

   

Defender portál

1. A Microsoft Defender portálon keresse meg az entitások lapját.

   1. Válassza az Eszközök > vagy identitások lehetőséget.
   2. Válasszon ki egy eszközt vagy egy felhasználót a listából. Ha kiválasztott egy felhasználót, válassza a Felhasználói oldal megtekintése lehetőséget az alábbi előugró ablakban.

2. Az entitásoldalon válassza a Sentinel-események lapot.

3. A Sentinel-események lapon válassza a Sentinel-tevékenységek testreszabása lehetőséget.

A Sentinel-tevékenységek testreszabása lapon megjelenik a Saját tevékenységek lapon létrehozott tevékenységek listája. A Tevékenységsablonok lapon láthatja a Microsoft biztonsági kutatói által kínált tevékenységek gyűjteményét. Ezek azok a tevékenységek, amelyeket már nyomon követnek és megjelennek az entitásoldalak idővonalain.

• Ha nem hozott létre felhasználó által definiált tevékenységeket, az entitásoldalak megjelenítik a Tevékenységsablonok lapon felsorolt összes tevékenységet.

• Egy tevékenység létrehozása vagy testreszabása után az entitásoldalak csak azokat a tevékenységeket jelenítik meg, amelyek a Saját tevékenységek lapon jelennek meg.

• Ha továbbra is látni szeretné az entitásoldalakon a nem beépített tevékenységeket, minden követendő és megjelenítendő sablonhoz létre kell hoznia egy tevékenységet. Kövesse az alábbi "Tevékenység létrehozása sablonból" című szakasz utasításait.

Tevékenység létrehozása sablonból

1. A Tevékenységsablonok lapon alapértelmezés szerint megtekintheti a különböző tevékenységeket. A listát entitástípus és adatforrás szerint is szűrheti. Ha kiválaszt egy tevékenységet a listából, a következő információk jelennek meg a részletek panelen:

   • A tevékenység leírása

   • A tevékenységet alkotó eseményeket biztosító adatforrás

   • A nyers adatokban lévő entitás azonosításához használt azonosítók

   • A tevékenység észlelését eredményező lekérdezés

2. A tevékenységlétrehozó varázsló elindításához válassza a Tevékenység létrehozása a részletek panel alján lehetőséget.

   Azure Portalra

   

   Defender portál

   

   Amikor a Defender portálon a Tevékenység létrehozása lehetőséget választja, a rendszer átirányítja a Microsoft Sentinel tevékenység varázslójára az Azure Portalon egy új lapon.

3. Megnyílik a Tevékenység varázsló – Új tevékenység létrehozása sablonból , amelynek mezői már ki van töltve a sablonból. Az Általános és tevékenységkonfiguráció lapon tetszés szerint végezhet módosításokat, vagy mindent hagyhat, hogy továbbra is megtekintse a beépített tevékenységet.

4. Ha elégedett, válassza a Véleményezés és létrehozás lapot. Amikor megjelenik az Ellenőrzés átadott üzenet, kattintson a Létrehozás gombra az alján.

Tevékenység létrehozása az alapoktól

A tevékenységek lap tetején kattintson a Tevékenység hozzáadása elemre a tevékenységlétrehozás varázsló elindításához.

Megnyílik a Tevékenység varázsló – Új tevékenység létrehozása, amelynek mezői üresek.

Általános lap

1. Adja meg a tevékenység nevét (például:"felhasználó hozzáadva a csoporthoz").

2. Adja meg a tevékenység leírását (például: "a felhasználói csoport tagságának módosítása a Windows 4728-os eseményazonosítója alapján").

3. Válassza ki, hogy a lekérdezés milyen típusú entitást (felhasználót vagy gazdagépet) követ nyomon.

4. A lekérdezés pontosításához és teljesítményének optimalizálásához további paraméterek alapján is szűrhet. Szűrhet például az Active Directory-felhasználókra az IsDomainJoined paraméter kiválasztásával és az érték Igaz értékre állításával.

5. A tevékenység kezdeti állapotát engedélyezve vagy letiltva adhatja meg.

6. Válassza a Tovább elemet : Tevékenységkonfiguráció a következő lapra lépéshez.

   

Tevékenységkonfiguráció lap

A tevékenység lekérdezésének írása

Itt írja vagy illessze be a KQL-lekérdezést, amely a kiválasztott entitás tevékenységének észlelésére szolgál, és meghatározza, hogyan jelenik meg az ütemtervben.

Fontos

Javasoljuk, hogy a lekérdezés az Advanced Security Information Model (ASIM) elemzőt használja, és ne egy beépített táblát. Ez biztosítja, hogy a lekérdezés egyetlen adatforrás helyett minden aktuális vagy jövőbeli releváns adatforrást támogatjon.

Az események korrelációja és az egyéni tevékenység észlelése érdekében a KQL több paraméter bemenetét igényli az entitás típusától függően. A paraméterek a kérdéses entitás különböző azonosítói.

Az erős azonosító kiválasztása jobb, ha egy-az-egyhez megfeleltetést szeretne létrehozni a lekérdezés eredményei és az entitás között. A gyenge azonosító kiválasztása pontatlan eredményeket eredményezhet. További információ az entitásokról és az erős és a gyenge azonosítókról.

Az alábbi táblázat információkat tartalmaz az entitások azonosítóiról.

Erős azonosítók fiók- és gazdagépentitásokhoz

Egy lekérdezéshez legalább egy azonosító szükséges.

Entitás	Azonosító	Leírás
Számla	Account_Sid	A fiók helyszíni SID-azonosítója az Active Directoryban
	Account_AadUserId	A felhasználó Microsoft Entra-objektumazonosítója a Microsoft Entra-azonosítóban
	Account_Name + Account_NTDomain	Hasonló a SamAccountName-hoz (például: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Hasonló a UserPrincipalName névhez (például: Joe@Contoso.com)
Gazdagép	Host_HostName + Host_NTDomain	hasonló a teljes tartománynévhez (FQDN)
	Host_HostName + Host_DnsDomain	hasonló a teljes tartománynévhez (FQDN)
	Host_NetBiosName + Host_NTDomain	hasonló a teljes tartománynévhez (FQDN)
	Host_NetBiosName + Host_DnsDomain	hasonló a teljes tartománynévhez (FQDN)
	Host_AzureID	a gazdagép Microsoft Entra-objektumazonosítója a Microsoft Entra-azonosítóban (ha a Microsoft Entra tartomány csatlakozik)
	Host_OMSAgentID	egy adott gazdagépre telepített ügynök OMS-ügynökazonosítója (gazdagépenként egyedi)

A kiválasztott entitás alapján megjelennek az elérhető azonosítók. A megfelelő azonosítókra kattintva illessze be az azonosítót a lekérdezésbe a kurzor helyén.

Feljegyzés

• A lekérdezés legfeljebb 10 mezőt tartalmazhat, ezért ki kell vetítenie a kívánt mezőket.

• A tervezett mezőknek tartalmazniuk kell a TimeGenerated mezőt, hogy az észlelt tevékenységet az entitás ütemtervében lehessen elhelyezni.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

A tevékenység bemutatása az ütemtervben

A kényelem kedvéért érdemes lehet meghatározni, hogyan jelenik meg a tevékenység az ütemtervben, ha dinamikus paramétereket ad hozzá a tevékenység kimenetéhez.

A Microsoft Sentinel beépített paramétereket biztosít a használathoz, és másokat is használhat a lekérdezésben előre jelzett mezők alapján.

A paraméterekhez használja a következő formátumot: {{ParameterName}}

Miután a tevékenység-lekérdezés megfelelt az ellenőrzésnek, és a lekérdezés ablaka alatt megjeleníti a Lekérdezés eredményeinek megtekintése hivatkozást, kibonthatja az Elérhető értékek szakaszt, hogy megtekintse a dinamikus tevékenységcím létrehozásakor használható paramétereket.

Egy adott paraméter melletti Másolás ikonra kattintva másolja a paramétert a vágólapra, hogy be tudja illeszteni a fenti Tevékenység cím mezőjébe.

Adja hozzá a következő paraméterek bármelyikét a lekérdezéshez:

• A lekérdezésben előre jelzett bármely mező.

• A lekérdezésben említett entitások entitásazonosítói.

• StartTimeUTC, a tevékenység kezdési időpontjának hozzáadásához UTC-időpontban.

• EndTimeUTC, a tevékenység befejezési időpontjának hozzáadásához UTC-időpontban.

• Counttöbb KQL-lekérdezés kimenetének egyetlen kimenetben való összegzéséhez.

  A count paraméter a következő parancsot adja hozzá a lekérdezéshez a háttérben, még akkor is, ha az nem jelenik meg teljesen a szerkesztőben:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Ezután, amikor a Gyűjtőméret szűrőt használja az entitásoldalakon, a rendszer a következő parancsot is hozzáadja a háttérben futó lekérdezéshez:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Példa:

Ha elégedett a lekérdezés és a tevékenység címével, válassza a Tovább: Véleményezés lehetőséget.

Véleményezés és létrehozás lap

1. Ellenőrizze az egyéni tevékenység összes konfigurációs információját.

2. Amikor megjelenik az Ellenőrzés átadott üzenet, kattintson a Létrehozás gombra a tevékenység létrehozásához. Később a Saját tevékenységek lapon szerkesztheti vagy módosíthatja.

Tevékenységek kezelése

Az egyéni tevékenységek kezelése a Saját tevékenységek lapon. Kattintson a tevékenység sorának végén található három pontra (...) a következőhöz:

• Szerkessze a tevékenységet.
• Duplikálja a tevékenységet egy új, kissé eltérő létrehozásához.
• Törölje a tevékenységet.
• Tiltsa le a tevékenységet (törlés nélkül).

Tevékenységek megtekintése egy entitáslapon

Amikor beír egy entitásoldalt, az adott entitás összes engedélyezett tevékenység-lekérdezése lefut, és az entitás idővonalán naprakész információkat biztosít. A tevékenységeket a riasztások és könyvjelzők mellett az idővonalon is láthatja.

Az Ütemterv tartalomszűrővel csak tevékenységeket (vagy tevékenységek, riasztások és könyvjelzők bármilyen kombinációját) jeleníthet meg.

A Tevékenységek szűrővel is megjeleníthet vagy elrejthet bizonyos tevékenységeket.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan hozhat létre egyéni tevékenységeket az entitáslap idővonalaihoz. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• A teljes kép lekérése entitásoldalakon.
• További információ a felhasználó- és entitásviselkedés-elemzésről (UEBA).
• Tekintse meg az entitások és azonosítók teljes listáját.