Personalizzare le attività nelle sequenze temporali delle pagine delle entità

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Importante

• La personalizzazione delle attività si trova in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
• Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Introduzione

Oltre alle attività rilevate e presentate nella sequenza temporale di Microsoft Sentinel predefinita, è possibile creare qualsiasi altra attività di cui tenere traccia e da visualizzare anche nella sequenza temporale. È possibile creare attività personalizzate in base alle query dei dati delle entità da qualsiasi origine dati connessa. Gli esempi seguenti illustrano come usare questa funzionalità:

• Aggiungere nuove attività alla sequenza temporale dell'entità modificando i modelli di attività predefiniti esistenti.

• Aggiungere nuove attività dai log personalizzati. Ad esempio, da un log di controllo di accesso fisico, è possibile aggiungere le attività di ingresso e uscita di un utente per una determinata area con restrizioni, ad esempio una sala server, alla sequenza temporale dell'utente.

Introduzione

• Gli utenti di Microsoft Sentinel nel portale di Azure, selezionare la scheda portale di Azure di seguito.
• Gli utenti della piattaforma operativa di sicurezza unificata nel portale di Microsoft Defender selezionare la scheda del portale di Defender.

Azure portal

1. Nel menu di spostamento di Microsoft Sentinel selezionare Comportamento entità.

2. Nella pagina Comportamento dell'entità selezionare Pagina Personalizza entità (anteprima) nella parte superiore della schermata.

   

Portale di Defender

1. Nel portale di Microsoft Defender trovare qualsiasi pagina di entità.

   1. Selezionare Asset > Dispositivi o Identità.
   2. Selezionare un dispositivo o un utente dall'elenco. Se è stato selezionato un utente, selezionare Visualizza pagina utente nel popup seguente.

2. Nella pagina dell'entità selezionare la scheda eventi di Sentinel.

3. Nella scheda eventi di Sentinel selezionare Personalizzare le attività di Sentinel.

Nella pagina Personalizzare le attività di Sentinel verrà visualizzato un elenco delle attività create nella scheda Attività personali. Nella scheda Modelli di attività verrà visualizzata la raccolta di attività predefinite offerte dai ricercatori Microsoft Security. Si tratta delle attività già rilevate e visualizzate nelle sequenze temporali nelle pagine dell'entità.

• Se non sono state create attività definite dall'utente, le pagine delle entità mostreranno tutte le attività elencate nella scheda Modelli di attività.

• Dopo aver creato o personalizzato un'attività, le pagine delle entità mostreranno solo tali attività, visualizzate nella scheda Attività personali.

• Se si desidera continuare a visualizzare le attività predefinite nelle pagine delle entità, è necessario creare un'attività per ogni modello da tracciare e visualizzare. Seguire le istruzioni riportate di seguito in "Creare un'attività da un modello".

Creare un'attività da un modello

1. Selezionare la scheda Modelli di attività per visualizzare le varie attività disponibili per impostazione predefinita. È possibile filtrare l'elenco in base al tipo di entità e all'origine dati. Se si seleziona un'attività dall'elenco, nel riquadro dei dettagli verranno visualizzate le informazioni seguenti:

   • Descrizione dell'attività

   • Origine dati che fornisce gli eventi che costituiscono l'attività

   • Identificatori usati per identificare l'entità nei dati non elaborati

   • Query che genera il rilevamento di questa attività

2. Selezionare Crea attività nella parte inferiore del riquadro dei dettagli per avviare la procedura guidata dell'attività.

   Azure portal

   

   Portale di Defender

   

   Quando si seleziona Crea attività nel portale di Defender, si viene reindirizzati alla procedura guidata delle attività di Microsoft Sentinel nel portale di Azure in una nuova scheda.

3. La Procedura guidata dell’attività: crea una nuova attività dal modello verrà aperta, con i relativi campi già popolati dal modello. È possibile apportare modifiche come si desidera nelle schede Generale e Configurazione attività oppure lasciare tutto invariato per continuare a visualizzare l'attività predefinita.

4. Quando si è soddisfatti, selezionare la scheda Rivedi e crea. Quando viene visualizzato il messaggio Convalida superata, fare clic sul pulsante Crea nella parte inferiore.

Creare un'attività da zero

Nella parte superiore della pagina attività fare clic su Aggiungi attività per avviare la procedura guidata di creazione dell’attività.

Verrà aperta la Procedura guidata dell’attività: crea nuova attività con i relativi campi vuoti.

Scheda Generale

1. Immettere un nome per l'attività (ad esempio "utente aggiunto al gruppo").

2. Immettere una descrizione dell'attività (ad esempio: "Modifica dell'appartenenza al gruppo utente in base all'evento di Windows ID 4728").

3. Selezionare il tipo di entità (utente o host) che verrà rilevata da questa query.

4. È possibile filtrare in base a parametri aggiuntivi per affinare la query e ottimizzarne le prestazioni. Ad esempio, è possibile filtrare per gli utenti di Active Directory scegliendo il parametro IsDomainJoined e impostando il valore su Vero.

5. È possibile selezionare lo stato iniziale dell'attività per Abilitato o Disabilitato.

6. Selezionare Avanti: configurazione dell'attività per passare alla scheda successiva.

   

Scheda Configurazione attività

Scrittura della query dell'attività

Qui si scriverà o incollerà la query KQL che verrà usata per rilevare l'attività per l'entità scelta e determinare come verrà rappresentata nella sequenza temporale.

Importante

È consigliabile che la query usi un parser Advanced Security Information Model (ASIM) e non una tabella predefinita. In questo modo, la query supporterà qualsiasi origine dati pertinente corrente o futura anziché una singola origine dati.

Per correlare gli eventi e rilevare l'attività personalizzata, KQL richiede un input di diversi parametri, a seconda del tipo di entità. I parametri sono i vari identificatori dell'entità in questione.

La selezione di un identificatore sicuro è preferibile per ottenere un mapping uno-a-uno tra i risultati della query e l'entità. La selezione di un identificatore debole può produrre risultati imprecisi. Altre informazioni sulle entità e sugli identificatori sicuri e deboli.

La tabella seguente fornisce informazioni sugli identificatori delle entità.

Identificatori sicuri per l'account e le entità host

In una query è necessario almeno un identificatore.

Entità	Identifier	Descrizione
Conto	Account_Sid	SID locale dell'account in Active Directory
	Account_AadUserId	ID oggetto di Microsoft Entra dell'utente in Microsoft Entra ID
	Account_Name + Account_NTDomain	Simile a SamAccountName (esempio: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Simile a UserPrincipalName (esempio: Joe@Contoso.com)
Host	Host_HostName + Host_NTDomain	simile a un nome di dominio completo (FQDN)
	Host_HostName + Host_DnsDomain	simile a un nome di dominio completo (FQDN)
	Host_NetBiosName + Host_NTDomain	simile a un nome di dominio completo (FQDN)
	Host_NetBiosName + Host_DnsDomain	simile a un nome di dominio completo (FQDN)
	Host_AzureID	ID oggetto Microsoft Entra dell'host in Microsoft Entra ID (se aggiunto al dominio Microsoft Entra)
	Host_OMSAgentID	ID agente OMS dell'agente installato in un host specifico (univoco per host)

In base all'entità selezionata, verranno visualizzati gli identificatori disponibili. Facendo clic sugli identificatori pertinenti, l'identificatore verrà incollato nella query, nella posizione del cursore.

Nota

• La query può contenere fino a 10 campi, pertanto è necessario proiettare i campi desiderati.

• I campi proiettati devono includere il campo TimeGenerated per posizionare l'attività rilevata nella sequenza temporale dell'entità.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Presentazione dell'attività nella sequenza temporale

Per praticità, è consigliabile determinare il modo in cui l'attività viene presentata nella sequenza temporale aggiungendo parametri dinamici all'output dell'attività.

Microsoft Sentinel fornisce parametri predefiniti da usare ed è anche possibile usarne altri in base ai campi proiettati nella query.

Usare il formato seguente per i parametri: {{ParameterName}}

Dopo che la query di attività supera la convalida e mostra il collegamento Visualizzare i risultati della query sotto la finestra della query, sarà possibile espandere la sezione Valori disponibili per visualizzare i parametri disponibili per l'uso durante la creazione di un titolo di attività dinamica.

Selezionare l'icona Copia accanto a un parametro specifico per copiare il parametro negli Appunti in modo da poterlo incollare nel campo Titolo attività sopra.

Aggiungere uno dei parametri seguenti alla query:

• Qualsiasi campo proiettato nella query.

• Identificatori di entità di qualsiasi entità menzionata nella query.

• StartTimeUTC, per aggiungere l'ora di inizio dell'attività, in ora UTC.

• EndTimeUTC, per aggiungere l'ora di fine dell'attività, in ora UTC.

• Count, per riepilogare diversi output di query KQL in un singolo output.

  Il parametro count aggiunge il comando seguente alla query in background, anche se non viene visualizzato completamente nell'editor:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Quindi, quando si usa il filtro Dimensioni bucket nelle pagine di entità, viene aggiunto anche il comando seguente alla query eseguita in background:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Ad esempio:

Quando si è soddisfatti della query e del titolo dell'attività, selezionare Avanti: Esaminare.

Scheda Rivedi e crea

1. Verificare tutte le informazioni di configurazione dell'attività personalizzata.

2. Quando viene visualizzato il messaggio di Convalida superata, fare clic su Crea per creare l'attività. È possibile modificarlo o cambiarlo più avanti nella scheda Attività personali.

Gestire le attività

Gestire le attività personalizzate dalla scheda Attività personali. Fare clic sui puntini di sospensione (...) alla fine della riga dell’attività per:

• Modificare l'attività.
• Duplicare l'attività per crearne una nuova, leggermente diversa.
• Eliminare l'attività.
• Disabilitare l'attività (senza eliminarla).

Visualizzare le attività in una pagina di entità

Ogni volta che si immette una pagina di entità, verranno eseguite tutte le query di attività abilitate per tale entità, fornendo informazioni tempestive nella sequenza temporale dell'entità. Le attività verranno visualizzate nella sequenza temporale, insieme agli avvisi e ai contrassegni.

È possibile usare il filtro Contenuto della sequenza temporale per presentare solo le attività (o qualsiasi combinazione di attività, avvisi e contrassegni).

È anche possibile usare il filtro Attività per presentare o nascondere attività specifiche.

Passaggi successivi

In questo documento si è appreso come creare attività personalizzate per le sequenze temporali delle pagine dell'entità. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Ottenere l'immagine completa nelle pagine delle entità.
• Informazioni sull’analisi del comportamento degli utenti e delle entità (UEBA).
• Vedere l'elenco completo di entità e identificatori.