Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
- La personalizzazione dell'attività è disponibile in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.
- Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono caricati e reindirizzati automaticamente al portale di Defender. Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: Ritiro della portale di Azure di Microsoft Sentinel per una maggiore sicurezza.
Introduzione
Oltre alle attività rilevate e presentate nella sequenza temporale da Microsoft Sentinel predefinite, è possibile creare qualsiasi altra attività di cui tenere traccia e presentarle anche nella sequenza temporale. È possibile creare attività personalizzate in base a query di dati di entità provenienti da qualsiasi origine dati connessa. Gli esempi seguenti illustrano come usare questa funzionalità:
Aggiungere nuove attività alla sequenza temporale dell'entità modificando i modelli di attività predefiniti esistenti.
Aggiungere nuove attività dai log personalizzati. Ad esempio, da un log di controllo di accesso fisico, è possibile aggiungere le attività di ingresso e uscita di un utente per una particolare area con restrizioni, ad esempio una sala server, alla sequenza temporale dell'utente.
Introduzione
- Gli utenti di Microsoft Sentinel nel portale di Azure selezionare la scheda portale di Azure seguente.
- Gli utenti del portale di Microsoft Defender selezionare la scheda Portale di Defender.
Dal menu di spostamento Microsoft Sentinel selezionare Comportamento entità.
Nella pagina Comportamento entità selezionare Personalizza pagina entità (anteprima) nella parte superiore della schermata.
Nella pagina Personalizza attività Sentinel verrà visualizzato un elenco delle attività create nella scheda Attività personali. Nella scheda Modelli di attività verrà visualizzata la raccolta di attività offerte dai ricercatori di sicurezza Microsoft. Queste sono le attività già rilevate e visualizzate nelle sequenze temporali nelle pagine delle entità.
Finché non sono state create attività definite dall'utente, nelle pagine dell'entità verranno visualizzate tutte le attività elencate nella scheda Modelli di attività .
Dopo aver creato o personalizzato un'attività, nelle pagine dell'entità verranno visualizzate solo le attività visualizzate nella scheda Attività personali .
Se si desidera continuare a visualizzare le attività predefinite nelle pagine dell'entità, è necessario creare un'attività per ogni modello che si vuole tenere traccia e visualizzare. Seguire le istruzioni riportate di seguito in "Creare un'attività da un modello".
Creare un'attività da un modello
Selezionare la scheda Modelli di attività per visualizzare le varie attività disponibili per impostazione predefinita. È possibile filtrare l'elenco in base al tipo di entità e all'origine dati. Se si seleziona un'attività dall'elenco, nel riquadro dei dettagli verranno visualizzate le informazioni seguenti:
Descrizione dell'attività
Origine dati che fornisce gli eventi che costituiscono l'attività
Identificatori usati per identificare l'entità nei dati non elaborati
Query che determina il rilevamento di questa attività
Selezionare Crea attività nella parte inferiore del riquadro dei dettagli per avviare la creazione guidata attività.
Verrà aperta la procedura guidata Attività: verrà creata una nuova attività dal modello , con i relativi campi già popolati dal modello. È possibile apportare modifiche come si preferisce nelle schede Configurazione generale e attività oppure lasciare tutto quello che è per continuare a visualizzare l'attività predefinita.
Quando si è soddisfatti, selezionare la scheda Rivedi e crea . Quando viene visualizzato il messaggio Convalida superata , fare clic sul pulsante Crea nella parte inferiore.
Creare un'attività da zero
Nella parte superiore della pagina attività fare clic su Aggiungi attività per avviare la creazione guidata attività.
Verrà aperta la procedura guidata Attività: verrà creata una nuova attività , con i relativi campi vuoti.
Scheda Generale
Immettere un nome per l'attività (ad esempio: "utente aggiunto al gruppo").
Immettere una descrizione dell'attività (ad esempio: "modifica dell'appartenenza al gruppo utenti in base all'ID evento di Windows 4728").
Selezionare il tipo di entità (utente o host) di cui verrà tenuta traccia questa query.
È possibile filtrare in base a parametri aggiuntivi per ottimizzare la query e ottimizzarne le prestazioni. Ad esempio, è possibile filtrare per gli utenti di Active Directory scegliendo il parametro IsDomainJoined e impostando il valore su True.
È possibile selezionare lo stato iniziale dell'attività in Abilitato o Disabilitato.
Selezionare Avanti: Configurazione attività per passare alla scheda successiva.
Scheda Configurazione attività
Scrittura della query sull'attività
In questo caso si scriverà o si incollare la query KQL che verrà usata per rilevare l'attività per l'entità scelta e determinare come verrà rappresentata nella sequenza temporale.
Importante
È consigliabile che la query usi un parser ASIM (Advanced Security Information Model) e non una tabella predefinita. In questo modo, la query supporterà qualsiasi origine dati pertinente corrente o futura anziché una singola origine dati.
Per correlare gli eventi e rilevare l'attività personalizzata, il KQL richiede un input di diversi parametri, a seconda del tipo di entità. I parametri sono i vari identificatori dell'entità in questione.
La selezione di un identificatore sicuro è preferibile per avere un mapping uno-a-uno tra i risultati della query e l'entità. La selezione di un identificatore debole può produrre risultati non accurati. Altre informazioni sulle entità e sugli identificatori forti e deboli.
Nella tabella seguente vengono fornite informazioni sugli identificatori delle entità.
Identificatori sicuri per le entità account e host
In una query è necessario almeno un identificatore.
| Entità | Identificatore | Descrizione |
|---|---|---|
| Account | Account_Sid | SID locale dell'account in Active Directory |
| Account_AadUserId | ID oggetto Microsoft Entra dell'utente in Microsoft Entra ID | |
| Account_Name + Account_NTDomain | Simile a SamAccountName (esempio: Contoso\Joe) | |
| Account_Name + Account_UPNSuffix | Simile a UserPrincipalName (esempio: Joe@Contoso.com) | |
| Host | Host_HostName + Host_NTDomain | simile al nome di dominio completo (FQDN) |
| Host_HostName + Host_DnsDomain | simile al nome di dominio completo (FQDN) | |
| Host_NetBiosName + Host_NTDomain | simile al nome di dominio completo (FQDN) | |
| Host_NetBiosName + Host_DnsDomain | simile al nome di dominio completo (FQDN) | |
| Host_AzureID | ID oggetto Microsoft Entra dell'host in Microsoft Entra ID (se Microsoft Entra aggiunto a un dominio) | |
| Host_OMSAgentID | L'ID agente OMS dell'agente installato in un host specifico (univoco per host) |
In base all'entità selezionata, verranno visualizzati gli identificatori disponibili. Facendo clic sugli identificatori rilevanti, l'identificatore verrà incollato nella query, nella posizione del cursore.
Nota
La query può contenere fino a 10 campi, pertanto è necessario proiettare i campi desiderati.
I campi proiettati devono includere il campo TimeGenerated per inserire l'attività rilevata nella sequenza temporale dell'entità.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
Presentazione dell'attività nella sequenza temporale
Per motivi di praticità, è possibile determinare come viene presentata l'attività nella sequenza temporale aggiungendo parametri dinamici all'output dell'attività.
Microsoft Sentinel fornisce parametri predefiniti da usare ed è anche possibile usarli in base ai campi proiettati nella query.
Usare il formato seguente per i parametri: {{ParameterName}}
Dopo che la query attività ha superato la convalida e visualizzato il collegamento Visualizza risultati query sotto la finestra della query, sarà possibile espandere la sezione Valori disponibili per visualizzare i parametri disponibili per la creazione di un titolo di attività dinamica.
Selezionare l'icona Copia accanto a un parametro specifico per copiare il parametro negli Appunti in modo che sia possibile incollarlo nel campo Titolo attività precedente.
Aggiungere uno dei parametri seguenti alla query:
Qualsiasi campo proiettato nella query.
Identificatori di entità di qualsiasi entità indicata nella query.
StartTimeUTC, per aggiungere l'ora di inizio dell'attività, in ora UTC.EndTimeUTC, per aggiungere l'ora di fine dell'attività, in ora UTC.Count, per riepilogare diversi output di query KQL in un singolo output.Il
countparametro aggiunge il comando seguente alla query in background, anche se non viene visualizzato completamente nell'editor:Summarize count() by <each parameter you’ve projected in the activity>Quindi, quando si usa il filtro Dimensioni bucket nelle pagine dell'entità, viene aggiunto anche il comando seguente alla query eseguita in background:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Ad esempio:
Quando si è soddisfatti del titolo della query e dell'attività, selezionare Avanti: Rivedi.
Per altre informazioni sugli elementi seguenti usati negli esempi precedenti, vedere la documentazione di Kusto:
- operatore where
- operatore di progetto
- operatore summarize
- funzione bin()
- Funzione di aggregazione count()
Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).
Altre risorse:
Scheda Rivedi e crea
Verificare tutte le informazioni di configurazione dell'attività personalizzata.
Quando viene visualizzato il messaggio Convalida passata , fare clic su Crea per creare l'attività. È possibile modificarlo o modificarlo in un secondo momento nella scheda Attività personali .
Gestire le attività
Gestire le attività personalizzate dalla scheda Attività personali . Fare clic sui puntini di sospensione (...) alla fine della riga di un'attività per:
- Modificare l'attività.
- Duplicare l'attività per crearne una nuova, leggermente diversa.
- Eliminare l'attività.
- Disabilitare l'attività (senza eliminarla).
Visualizzare le attività in una pagina di entità
Ogni volta che si immette una pagina di entità, verranno eseguite tutte le query di attività abilitate per tale entità, fornendo informazioni aggiornate nella sequenza temporale dell'entità. Verranno visualizzate le attività nella sequenza temporale, insieme ad avvisi e segnalibri.
È possibile usare il filtro contenuto sequenza temporale per presentare solo le attività (o qualsiasi combinazione di attività, avvisi e segnalibri).
È anche possibile usare il filtro Attività per presentare o nascondere attività specifiche.
Passaggi successivi
In questo documento si è appreso come creare attività personalizzate per le sequenze temporali della pagina di entità. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Ottenere l'immagine completa nelle pagine delle entità.
- Informazioni su User and Entity Behavior Analytics (UEBA).
- Vedere l'elenco completo di entità e identificatori.