Personalizzare le attività nelle sequenze temporali delle pagine delle entità

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Importante

• La personalizzazione delle attività è disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
• Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Introduzione

Oltre alle attività rilevate e presentate nella sequenza temporale di Microsoft Sentinel predefinita, è possibile creare qualsiasi altra attività da tenere traccia e visualizzarle anche nella sequenza temporale. È possibile creare attività personalizzate in base alle query dei dati delle entità da qualsiasi origine dati connessa. Gli esempi seguenti illustrano come usare questa funzionalità:

• Aggiungere nuove attività alla sequenza temporale dell'entità modificando i modelli di attività predefiniti esistenti.

• Aggiungere nuove attività dai log personalizzati. Ad esempio, da un log di controllo di accesso fisico, è possibile aggiungere le attività di ingresso e uscita di un utente per una determinata area con restrizioni, ad esempio una sala server, alla sequenza temporale dell'utente.

Introduzione

• Gli utenti di Microsoft Sentinel nella portale di Azure selezionare la scheda portale di Azure di seguito.
• Gli utenti della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender selezionare la scheda Portale di Defender.

Azure portal

1. Dal menu di spostamento di Microsoft Sentinel selezionare Comportamento entità.

2. Nella pagina Comportamento entità selezionare Personalizza pagina entità (anteprima) nella parte superiore della schermata.

   

Portale di Defender

1. Nel portale di Microsoft Defender trovare qualsiasi pagina di entità.

   1. Selezionare Asset > Dispositivi o Identità.
   2. Selezionare un dispositivo o un utente dall'elenco. Se è stato selezionato un utente, selezionare Visualizza pagina utente nel popup seguente.

2. Nella pagina dell'entità selezionare la scheda Eventi di Sentinel.

3. Nella scheda Eventi di Sentinel selezionare Personalizza attività di Sentinel.

Nella pagina Personalizza attività di Sentinel verrà visualizzato un elenco delle attività create nella scheda Attività personali. Nella scheda Modelli di attività verrà visualizzata la raccolta di attività offerte dai ricercatori microsoft per la sicurezza. Si tratta delle attività già rilevate e visualizzate nelle sequenze temporali nelle pagine dell'entità.

• Se non sono state create attività definite dall'utente, le pagine delle entità visualizzeranno tutte le attività elencate nella scheda Modelli di attività.

• Dopo aver creato o personalizzato un'attività, le pagine delle entità visualizzeranno solo le attività visualizzate nella scheda Attività personali .

• Se si desidera continuare a visualizzare le attività predefinite nelle pagine delle entità, è necessario creare un'attività per ogni modello da tenere traccia e visualizzare. Seguire le istruzioni riportate di seguito in "Creare un'attività da un modello".

Creare un'attività da un modello

1. Selezionare la scheda Modelli di attività per visualizzare le varie attività disponibili per impostazione predefinita. È possibile filtrare l'elenco in base al tipo di entità e all'origine dati. Se si seleziona un'attività dall'elenco, nel riquadro dei dettagli verranno visualizzate le informazioni seguenti:

   • Descrizione dell'attività

   • Origine dati che fornisce gli eventi che costituiscono l'attività

   • Identificatori usati per identificare l'entità nei dati non elaborati

   • Query che genera il rilevamento di questa attività

2. Selezionare Crea attività nella parte inferiore del riquadro dei dettagli per avviare la creazione guidata attività.

   Azure portal

   

   Portale di Defender

   

   Quando si seleziona Crea attività nel portale di Defender, si viene reindirizzati alla procedura guidata attività di Microsoft Sentinel nella portale di Azure in una nuova scheda.

3. Verrà aperta la Creazione guidata attività: crea una nuova attività dal modello , con i relativi campi già popolati dal modello. È possibile apportare modifiche come si desidera nelle schede Configurazione generale e Attività oppure lasciare tutto invariato per continuare a visualizzare l'attività predefinita.

4. Quando si è soddisfatti, selezionare la scheda Rivedi e crea . Quando viene visualizzato il messaggio Convalida superata , fare clic sul pulsante Crea nella parte inferiore.

Creare un'attività da zero

Nella parte superiore della pagina attività fare clic su Aggiungi attività per avviare la creazione guidata attività.

Verrà aperta l'Attività guidata - Crea nuova attività , con i relativi campi vuoti.

Scheda Generale

1. Immettere un nome per l'attività, ad esempio "utente aggiunto al gruppo".

2. Immettere una descrizione dell'attività (ad esempio: "Modifica dell'appartenenza al gruppo utente in base all'ID evento di Windows 4728").

3. Selezionare il tipo di entità (utente o host) che verrà rilevata da questa query.

4. È possibile filtrare in base a parametri aggiuntivi per perfezionare la query e ottimizzarne le prestazioni. Ad esempio, è possibile filtrare per gli utenti di Active Directory scegliendo il parametro IsDomainJoined e impostando il valore su True.

5. È possibile selezionare lo stato iniziale dell'attività su Abilitato o Disabilitato.

6. Selezionare Avanti: configurazione dell'attività per passare alla scheda successiva.

   

Scheda Configurazione attività

Scrittura della query dell'attività

Qui si scriverà o incollare la query KQL che verrà usata per rilevare l'attività per l'entità scelta e determinare come verrà rappresentata nella sequenza temporale.

Importante

È consigliabile che la query usi un parser ASIM (Advanced Security Information Model) e non una tabella predefinita. In questo modo, la query supporterà qualsiasi origine dati pertinente corrente o futura anziché una singola origine dati.

Per correlare gli eventi e rilevare l'attività personalizzata, KQL richiede un input di diversi parametri, a seconda del tipo di entità. I parametri sono i vari identificatori dell'entità in questione.

La selezione di un identificatore sicuro è preferibile per ottenere un mapping uno-a-uno tra i risultati della query e l'entità. La selezione di un identificatore debole può produrre risultati imprecisi. Altre informazioni sulle entità e sugli identificatori sicuri e deboli.

Nella tabella seguente vengono fornite informazioni sugli identificatori delle entità.

Identificatori sicuri per le entità account e host

In una query è necessario almeno un identificatore.

Entità	Identificatore	Descrizione
Conto	Account_Sid	SID locale dell'account in Active Directory
	Account_AadUserId	ID oggetto Microsoft Entra dell'utente in Microsoft Entra ID
	Account_Name + Account_NTDomain	Simile a SamAccountName (esempio: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Simile a UserPrincipalName (esempio: Joe@Contoso.com)
Host	Host_HostName + Host_NTDomain	simile al nome di dominio completo (FQDN)
	Host_HostName + Host_DnsDomain	simile al nome di dominio completo (FQDN)
	Host_NetBiosName + Host_NTDomain	simile al nome di dominio completo (FQDN)
	Host_NetBiosName + Host_DnsDomain	simile al nome di dominio completo (FQDN)
	Host_AzureID	ID oggetto Microsoft Entra dell'host in Microsoft Entra ID (se aggiunto al dominio Microsoft Entra)
	Host_OMSAgentID	ID agente OMS dell'agente installato in un host specifico (univoco per host)

In base all'entità selezionata, verranno visualizzati gli identificatori disponibili. Facendo clic sugli identificatori pertinenti, l'identificatore verrà incollato nella query, nella posizione del cursore.

Nota

• La query può contenere fino a 10 campi, pertanto è necessario proiettare i campi desiderati.

• I campi proiettati devono includere il campo TimeGenerated per posizionare l'attività rilevata nella sequenza temporale dell'entità.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Presentazione dell'attività nella sequenza temporale

Per praticità, è consigliabile determinare il modo in cui l'attività viene presentata nella sequenza temporale aggiungendo parametri dinamici all'output dell'attività.

Microsoft Sentinel fornisce parametri predefiniti da usare ed è anche possibile usare altri in base ai campi proiettati nella query.

Usare il formato seguente per i parametri: {{ParameterName}}

Dopo che la query attività supera la convalida e visualizza il collegamento Visualizza risultati query sotto la finestra di query, sarà possibile espandere la sezione Valori disponibili per visualizzare i parametri disponibili per l'uso durante la creazione di un titolo di attività dinamica.

Selezionare l'icona Copia accanto a un parametro specifico per copiare il parametro negli Appunti in modo che sia possibile incollarlo nel campo Titolo attività precedente.

Aggiungere uno dei parametri seguenti alla query:

• Qualsiasi campo proiettato nella query.

• Identificatori di entità di qualsiasi entità menzionata nella query.

• StartTimeUTC, per aggiungere l'ora di inizio dell'attività, in ora UTC.

• EndTimeUTC, per aggiungere l'ora di fine dell'attività, in ora UTC.

• Count, per riepilogare diversi output di query KQL in un singolo output.

  Il count parametro aggiunge il comando seguente alla query in background, anche se non viene visualizzato completamente nell'editor:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Quindi, quando si usa il filtro Dimensioni bucket nelle pagine di entità, viene aggiunto anche il comando seguente alla query eseguita in background:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Ad esempio:

Quando si è soddisfatti della query e del titolo dell'attività, selezionare Avanti : Revisione.

Scheda Rivedi e crea

1. Verificare tutte le informazioni di configurazione dell'attività personalizzata.

2. Quando viene visualizzato il messaggio Convalida superata , fare clic su Crea per creare l'attività. È possibile modificarlo o modificarlo più avanti nella scheda Attività personali.

Gestire le attività

Gestire le attività personalizzate dalla scheda Attività personali. Fare clic sui puntini di sospensione (...) alla fine della riga di un'attività per:

• Modificare l'attività.
• Duplicare l'attività per crearne una nuova, leggermente diversa.
• Eliminare l'attività.
• Disabilitare l'attività (senza eliminarla).

Visualizzare le attività in una pagina di entità

Ogni volta che si immette una pagina di entità, verranno eseguite tutte le query di attività abilitate per tale entità, fornendo informazioni fino al minuto nella sequenza temporale dell'entità. Le attività verranno visualizzate nella sequenza temporale, insieme agli avvisi e ai segnalibri.

È possibile usare il filtro contenuto Sequenza temporale per presentare solo le attività (o qualsiasi combinazione di attività, avvisi e segnalibri).

È anche possibile usare il filtro Attività per presentare o nascondere attività specifiche.

Passaggi successivi

In questo documento si è appreso come creare attività personalizzate per le sequenze temporali delle pagine dell'entità. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Ottenere l'immagine completa nelle pagine delle entità.
• Informazioni su User and Entity Behavior Analytics (UEBA).
• Vedere l'elenco completo di entità e identificatori.