Dostosowywanie działań na osiach czasu strony jednostki

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ważne

• Dostosowywanie działania jest w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
• Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wprowadzenie

Oprócz działań śledzonych i prezentowanych na osi czasu gotowej do użycia przez usługę Microsoft Sentinel możesz utworzyć wszelkie inne działania, które chcesz śledzić i przedstawić je również na osi czasu. Możesz tworzyć niestandardowe działania na podstawie zapytań dotyczących danych jednostki z dowolnych połączonych źródeł danych. W poniższych przykładach pokazano, jak można użyć tej funkcji:

• Dodaj nowe działania do osi czasu jednostki, modyfikując istniejące gotowe szablony działań.

• Dodaj nowe działania z dzienników niestandardowych. Na przykład z fizycznego dziennika kontroli dostępu można dodać działania wejścia i wyjścia użytkownika dla określonego obszaru z ograniczeniami — np. do osi czasu użytkownika.

Wprowadzenie

• Użytkownicy usługi Microsoft Sentinel w witrynie Azure Portal wybierają kartę Azure Portal poniżej.
• Użytkownicy ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender wybierz kartę Portal usługi Defender.

Witryna Azure Portal

1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Zachowanie jednostki.

2. Na stronie Zachowanie jednostki wybierz pozycję Dostosuj stronę jednostki (wersja zapoznawcza) w górnej części ekranu.

   

Portal usługi Defender

1. W portalu usługi Microsoft Defender znajdź dowolną stronę jednostki.

   1. Wybierz pozycję Urządzenia zasobów > lub tożsamości.
   2. Wybierz urządzenie lub użytkownika z listy. Jeśli wybrano użytkownika, wybierz pozycję Wyświetl stronę użytkownika w następującym oknie podręcznym.

2. Na stronie jednostki wybierz kartę Zdarzenia usługi Sentinel.

3. Na karcie Zdarzenia usługi Sentinel wybierz pozycję Dostosuj działania usługi Sentinel.

Na stronie Dostosowywanie działań usługi Sentinel zostanie wyświetlona lista wszystkich działań utworzonych na karcie Moje działania. Na karcie Szablony działań zobaczysz kolekcję działań oferowanych przez badaczy ds. zabezpieczeń firmy Microsoft. Są to działania, które są już śledzone i wyświetlane na osiach czasu na stronach jednostki.

• Jeśli nie utworzono żadnych działań zdefiniowanych przez użytkownika, strony jednostki będą wyświetlać wszystkie działania wymienione na karcie Szablony działań.

• Po utworzeniu lub dostosowaniu działania strony jednostki będą wyświetlać tylko te działania, które są wyświetlane na karcie Moje działania .

• Jeśli chcesz nadal widzieć gotowe działania na stronach jednostki, musisz utworzyć działanie dla każdego szablonu, który chcesz śledzić i wyświetlać. Postępuj zgodnie z instrukcjami w sekcji "Tworzenie działania na podstawie szablonu" poniżej.

Tworzenie działania na podstawie szablonu

1. Wybierz kartę Szablony działań, aby wyświetlić różne działania dostępne domyślnie. Listę można filtrować według typu jednostki, a także według źródła danych. Wybranie działania z listy spowoduje wyświetlenie następujących informacji w okienku szczegółów:

   • Opis działania

   • Źródło danych, które udostępnia zdarzenia tworzące działanie

   • Identyfikatory używane do identyfikowania jednostki w danych pierwotnych

   • Zapytanie, które powoduje wykrycie tego działania

2. Wybierz pozycję Utwórz działanie w dolnej części okienka szczegółów, aby uruchomić kreatora tworzenia działań.

   Witryna Azure Portal

   

   Portal usługi Defender

   

   Po wybraniu pozycji Utwórz działanie w portalu usługi Defender nastąpi przekierowanie do kreatora działań usługi Microsoft Sentinel w witrynie Azure Portal na nowej karcie.

3. Kreator działania — tworzenie nowego działania na podstawie szablonu zostanie otwarte, a jego pola zostały już wypełnione na podstawie szablonu. Możesz wprowadzać zmiany w taki sposób, jak na kartach Konfiguracja ogólne i działania, lub pozostawić wszystko, co ma na celu kontynuowanie wyświetlania działania gotowego do użycia.

4. Gdy wszystko będzie zadowalające, wybierz kartę Przeglądanie i tworzenie . Po wyświetleniu komunikatu Weryfikacja zakończyła się powodzeniem, kliknij przycisk Utwórz u dołu.

Tworzenie działania od podstaw

W górnej części strony działań kliknij pozycję Dodaj działanie , aby uruchomić kreatora tworzenia działań.

Kreator działania — tworzenie nowego działania zostanie otwarte z pustymi polami.

Karta Ogólne

1. Wprowadź nazwę działania (na przykład: "użytkownik dodany do grupy").

2. Wprowadź opis działania (na przykład: "zmiana członkostwa w grupie użytkowników na podstawie identyfikatora zdarzenia systemu Windows 4728").

3. Wybierz typ jednostki (użytkownika lub hosta), które będzie śledzić to zapytanie.

4. Możesz filtrować według dodatkowych parametrów, aby pomóc uściślić zapytanie i zoptymalizować jego wydajność. Na przykład można filtrować użytkowników usługi Active Directory, wybierając parametr IsDomainJoinEd i ustawiając wartość true.

5. Możesz wybrać początkowy stan działania na wartość Włączone lub Wyłączone.

6. Wybierz pozycję Dalej: Konfiguracja działania, aby przejść do następnej karty.

   

Karta Konfiguracja działania

Pisanie zapytania działania

W tym miejscu napiszesz lub wklejesz zapytanie KQL, które będzie używane do wykrywania działania dla wybranej jednostki i określisz, jak będzie ona reprezentowana na osi czasu.

Ważne

Zalecamy użycie analizatora advanced Security Information Model (ASIM), a nie wbudowanej tabeli. Dzięki temu zapytanie będzie obsługiwać dowolne bieżące lub przyszłe źródło danych, a nie jedno źródło danych.

Aby skorelować zdarzenia i wykryć działanie niestandardowe, język KQL wymaga danych wejściowych kilku parametrów w zależności od typu jednostki. Parametry są różnymi identyfikatorami danej jednostki.

Wybranie silnego identyfikatora jest lepsze w celu utworzenia mapowania jeden do jednego między wynikami zapytania a jednostką. Wybranie słabego identyfikatora może spowodować niedokładne wyniki. Dowiedz się więcej o jednostkach i silnych i słabych identyfikatorach.

Poniższa tabela zawiera informacje o identyfikatorach jednostek.

Silne identyfikatory dla jednostek kont i hostów

Co najmniej jeden identyfikator jest wymagany w zapytaniu.

Encja	Identyfikator	opis
Klient	Account_Sid	Lokalny identyfikator SID konta w usłudze Active Directory
	Account_AadUserId	Identyfikator obiektu Entra firmy Microsoft użytkownika w identyfikatorze Entra firmy Microsoft
	Account_Name i Account_NTDomain	Podobnie jak SamAccountName (przykład: Contoso\Joe)
	Account_Name i Account_UPNSuffix	Podobnie jak UserPrincipalName (przykład: Joe@Contoso.com)
Host	Host_HostName i Host_NTDomain	podobnie jak w pełni kwalifikowana nazwa domeny (FQDN)
	Host_HostName i Host_DnsDomain	podobnie jak w pełni kwalifikowana nazwa domeny (FQDN)
	Host_NetBiosName i Host_NTDomain	podobnie jak w pełni kwalifikowana nazwa domeny (FQDN)
	Host_NetBiosName i Host_DnsDomain	podobnie jak w pełni kwalifikowana nazwa domeny (FQDN)
	Host_AzureID	identyfikator obiektu Entra firmy Microsoft hosta w identyfikatorze Entra firmy Microsoft (jeśli przyłączono do domeny Microsoft Entra)
	Host_OMSAgentID	identyfikator agenta pakietu OMS zainstalowanego na określonym hoście (unikatowy dla każdego hosta)

Na podstawie wybranej jednostki zobaczysz dostępne identyfikatory. Kliknięcie odpowiednich identyfikatorów spowoduje wklejenie identyfikatora do zapytania w lokalizacji kursora.

Uwaga

• Kwerenda może zawierać maksymalnie 10 pól, dlatego należy projektować żądane pola.

• Przewidywane pola muszą zawierać pole TimeGenerated , aby umieścić wykryte działanie na osi czasu jednostki.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Prezentowanie działania na osi czasu

Ze względu na wygodę możesz określić sposób prezentowania działania na osi czasu przez dodanie parametrów dynamicznych do danych wyjściowych działania.

Usługa Microsoft Sentinel udostępnia wbudowane parametry, których można używać, a także używać innych na podstawie pól przewidywanych w zapytaniu.

Użyj następującego formatu dla parametrów: {{ParameterName}}

Po zakończeniu walidacji zapytania działania i wyświetl link Wyświetl wyniki zapytania poniżej okna zapytania będzie można rozwinąć sekcję Dostępne wartości , aby wyświetlić parametry dostępne do użycia podczas tworzenia tytułu działania dynamicznego.

Wybierz ikonę Kopiuj obok określonego parametru, aby skopiować ten parametr do schowka, aby można było wkleić go do pola Tytuł działania powyżej.

Dodaj dowolny z następujących parametrów do zapytania:

• Dowolne pole przewidywane w zapytaniu.

• Identyfikatory jednostek wszystkich jednostek wymienionych w zapytaniu.

• StartTimeUTC, aby dodać godzinę rozpoczęcia działania w czasie UTC.

• EndTimeUTC, aby dodać godzinę zakończenia działania w czasie UTC.

• Count, aby podsumować kilka danych wyjściowych zapytań KQL w jednym danych wyjściowych.

  Parametr count dodaje następujące polecenie do zapytania w tle, mimo że nie jest on w pełni wyświetlany w edytorze:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Następnie, gdy używasz filtru Rozmiar zasobnika na stronach jednostki, następujące polecenie jest również dodawane do zapytania uruchamianego w tle:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Na przykład:

Jeśli zapytanie i tytuł działania są zadowalające, wybierz pozycję Dalej: Przegląd.

Karta Przeglądanie i tworzenie

1. Sprawdź wszystkie informacje o konfiguracji działania niestandardowego.

2. Po wyświetleniu komunikatu Weryfikacja przekazana kliknij przycisk Utwórz , aby utworzyć działanie. Możesz go edytować lub zmienić później na karcie Moje działania .

Zarządzanie działaniami

Zarządzaj działaniami niestandardowymi na karcie Moje działania . Kliknij wielokropek (...) na końcu wiersza działania, aby:

• Edytuj działanie.
• Zduplikuj działanie, aby utworzyć nowe, nieco inne.
• Usuń działanie.
• Wyłącz działanie (bez jego usuwania).

Wyświetlanie działań na stronie jednostki

Za każdym razem, gdy wprowadzisz stronę jednostki, wszystkie włączone zapytania dotyczące działania dla tej jednostki będą uruchamiane, zapewniając informacje o up-to-the-minute na osi czasu jednostki. Działania zostaną wyświetlone na osi czasu wraz z alertami i zakładkami.

Filtr zawartości Oś czasu umożliwia prezentowanie tylko działań (lub dowolnej kombinacji działań, alertów i zakładek).

Możesz również użyć filtru Działania , aby przedstawić lub ukryć określone działania.

Następne kroki

W tym dokumencie przedstawiono sposób tworzenia niestandardowych działań dla osi czasu strony jednostki. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Pobierz pełny obraz na stronach jednostek.
• Dowiedz się więcej o analizie zachowań użytkowników i jednostek (UEBA).
• Zobacz pełną listę jednostek i identyfikatorów.