Personalizar atividades em cronogramas de página de entidade
Importante
- A personalização da atividade está em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
- O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal Microsoft Defender.
Introdução
Além das atividades rastreadas e apresentadas na linha do tempo pelo Microsoft Sentinel prontas para uso, você pode criar quaisquer outras atividades que deseja manter e também exibi-las na linha do tempo. Você pode criar atividades personalizadas com base em consultas de dados de entidade de qualquer fonte de dados conectada. Os exemplos a seguir mostram como usar esse recurso:
Adicione novas atividades à linha do tempo da entidade modificando os modelos de atividade existentes prontos para uso.
Adicione novas atividades de logs personalizados. Por exemplo, a partir de um registro de controle de acesso físico, você pode adicionar as atividades de entrada e saída de um usuário para uma área restrita específica—digamos, uma sala de servidores—à linha do tempo do usuário.
Introdução
- Usuários do Microsoft Sentinel no portal do Azure, selecione a guia do portal do Azure abaixo.
- Os usuários da plataforma unificada de operações de segurança no portal Microsoft Defender selecionam a guia Portal Defender.
No menu de navegação do Microsoft Sentinel, selecione Comportamento da entidade.
Na página Comportamento da entidade, selecione Personalizar página da entidade (Versão prévia) na parte superior da tela.
Na página Personalizar atividades do Sentinel, você verá uma lista de todas as atividades que você criou na guia Minhas atividades. Na guia Modelos de atividade, você verá a coleção de atividades oferecidas prontas para uso pelos pesquisadores de segurança da Microsoft. Essas são as atividades que já estão sendo acompanhadas e exibidas nas linhas do tempo em suas páginas de entidade.
Contanto que você não tenha criado nenhuma atividade definida pelo usuário, as páginas da sua entidade exibirão todas as atividades listadas na guia Modelos de atividade.
Depois de criar ou personalizar uma atividade, as páginas da sua entidade exibirão apenas as atividades que aparecem na guia Minhas atividades.
Se você quiser continuar vendo as atividades prontas para uso nas páginas de entidade, você deverá criar uma atividade para cada modelo que deseja que seja acompanhado e exibido. Siga as instruções em "Criar uma atividade de um modelo" abaixo.
Criar uma atividade a partir de um modelo
Selecione a guia Modelos de atividades para ver as diversas atividades disponíveis por padrão. Você pode filtrar a lista por tipo de entidade, bem como pela fonte de dados. Selecionar uma atividade na lista exibirá as seguintes informações no painel de detalhes:
A descrição da atividade
A fonte de dados que fornece os eventos que compõem a atividade
Os identificadores usados para identificar a entidade nos dados brutos
A consulta que resulta na detecção desta atividade
Selecione Criar atividade na parte inferior do painel de detalhes para iniciar o assistente de criação de atividade.
O Assistente de atividade – Criar uma atividade com base no modelo será aberto, com seus campos já preenchidos do modelo. Você pode fazer alterações da forma que quiser nas guias Geral e Configuração de atividade ou deixar tudo como está para continuar exibindo a atividade pronta para uso.
Quando estiver satisfeito, selecione a guia Revisar e criar. Quando você vir a mensagem Validação aprovada, clique no botão Criar na parte inferior.
Criar uma atividade do zero
Na parte superior da página de atividades, clique em Adicionar atividade para iniciar o assistente de criação de atividade.
O Assistente de atividade – Criar nova atividade será aberto, com seus campos em branco.
Guia Geral
Insira um nome para sua atividade (exemplo: "usuário adicionado ao grupo").
Insira uma descrição da atividade (exemplo: "alteração de associação de grupo de usuários com base na ID de evento do Windows 4728").
Selecione o tipo de entidade (usuário ou host) que essa consulta acompanhará.
Você pode filtrar por parâmetros adicionais para ajudar a refinar a consulta e otimizar seu desempenho. Por exemplo, você pode filtrar usuários do Active Directory escolhendo o parâmetro IsDomainJoined e definindo o valor como True.
Você pode selecionar o status inicial da atividade como Habilitado ou Desabilitado.
Selecione Avançar: configuração da atividade para prosseguir para a próxima guia.
Guia de configuração da atividade
Escrever a consulta de atividade
Aqui, você escreverá ou colará a consulta KQL que será usada para detectar a atividade para a entidade escolhida e determinará como ela será representada na linha do tempo.
Importante
Recomendamos que sua consulta use um analisador ASIM (Modelo de Informações de Segurança Avançado) e não uma tabela criada. Isso garante que a consulta dará suporte a qualquer fonte de dados relevante atual ou futura em vez de uma única fonte de dados.
Para correlacionar eventos e detectar a atividade personalizada, o KQL requer uma entrada de vários parâmetros, dependendo do tipo de entidade. Os parâmetros são os vários identificadores da entidade em questão.
Selecionar um identificador forte é melhor para ter um mapeamento de um para um entre os resultados da consulta e a entidade. Selecionar um identificador fraco pode gerar resultados imprecisos. Saiba mais sobre entidades e identificadores fortes versus fracos.
A tabela seguinte fornece informações sobre os identificadores de entidades.
Identificadores fortes para entidades de conta e host
É necessário pelo menos um identificador em uma consulta.
Entidade | Identificador | Descrição |
---|---|---|
Conta | Account_Sid | O SID local da conta no Active Directory |
Account_AadUserId | A ID do objeto do usuário no Microsoft Entra ID. | |
Account_Name + Account_NTDomain | Semelhante a SamAccountName (exemplo: Contoso\Joe) | |
Account_Name + Account_UPNSuffix | Semelhante ao UserPrincipalName (exemplo: Joe@Contoso.com) | |
Host | Host_HostName + Host_NTDomain | semelhante ao nome de domínio totalmente qualificado (FQDN) |
Host_HostName + Host_DnsDomain | semelhante ao nome de domínio totalmente qualificado (FQDN) | |
Host_NetBiosName + Host_NTDomain | semelhante ao nome de domínio totalmente qualificado (FQDN) | |
Host_NetBiosName + Host_DnsDomain | semelhante ao nome de domínio totalmente qualificado (FQDN) | |
Host_AzureID | a ID do objeto Microsoft Entra do host no Microsoft Entra ID (se o domínio do Microsoft Entra ingressado) | |
Host_OMSAgentID | a ID do agente do OMS do agente instalado em um host específico (exclusivo por host) |
Com base na entidade selecionada, você verá os identificadores disponíveis. Clicar nos identificadores relevantes colará o identificador na consulta, no local do cursor.
Observação
A consulta pode conter até 10 campos, portanto, você deve projetar os campos desejados.
Os campos do projeto devem incluir o campo TimeGenerated para colocar a atividade detectada na linha do tempo da entidade.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
Apresentar a atividade na linha do tempo
Por questões de conveniência, convém determinar como a atividade é apresentada na linha do tempo adicionando parâmetros dinâmicos à saída de atividade.
O Microsoft Sentinel fornece parâmetros internos para uso, e você também pode usar outros com base nos campos que você projetou na consulta.
Use o seguinte formato para seus parâmetros: {{ParameterName}}
Depois que a consulta de atividade passar na validação e exibir o link Exibir resultados da consulta abaixo da janela de consulta, você poderá expandir a seção Valores disponíveis para exibir os parâmetros disponíveis para uso ao criar um título de atividade dinâmica.
Selecione o ícone de Cópia ao lado de um parâmetro específico para copiar esse parâmetro para a área de transferência para que você possa colá-lo no campo Título da atividade acima.
Adicione qualquer um dos seguintes parâmetros à sua consulta:
Qualquer campo que você projetou na consulta.
Identificadores de entidade de todas as entidades mencionadas na consulta.
StartTimeUTC
, para adicionar a hora de início da atividade no horário UTC.EndTimeUTC
, para adicionar a hora de término da atividade no horário UTC.Count
, para resumir várias saídas de consulta KQL em uma única saída.O parâmetro
count
adiciona o seguinte comando à consulta em segundo plano, mesmo que não seja exibido totalmente no editor:Summarize count() by <each parameter you’ve projected in the activity>
Em seguida, quando você usa o filtro Tamanho do Bucket nas páginas de entidade, o seguinte comando também é adicionado à consulta que é executada em segundo plano:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Por exemplo:
Quando estiver satisfeito com o título da consulta e da atividade, selecione Avançar: Revisar.
Guia Revisar e criar
Verifique todas as informações de configuração de sua atividade personalizada.
Quando a mensagem de Validação aprovada for exibida, clique em Criar para criar a atividade. Você pode editá-la ou alterá-la posteriormente na guia Minhas atividades.
Gerenciar suas atividades
Gerencie suas atividades personalizadas na guia Minhas atividades. Clique nas reticências (...) no final da linha de uma atividade para:
- Editar a atividade.
- Duplicar a atividade para criar uma nova, ligeiramente diferente.
- Excluir a atividade.
- Desabilitar a atividade (sem excluí-la).
Exibir atividades em uma página de entidade
Sempre que você inserir uma página de entidade, todas as consultas de atividade habilitadas para essa entidade serão executadas, fornecendo a você informações atualizadas na linha do tempo da entidade. Você verá as atividades na linha do tempo, juntamente com alertas e indicadores.
Você pode usar o filtro de conteúdo da linha do tempo para apresentar apenas as atividades (ou qualquer combinação de atividades, alertas e indicadores).
Você também pode usar o filtro atividades para apresentar ou ocultar atividades específicas.
Próximas etapas
Neste documento, você aprendeu a criar atividades personalizadas para as linhas do tempo da página da entidade. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:
- Obtenha a imagem completa em páginas de entidade.
- Saiba mais sobre a UEBA (análise do comportamento de usuários e de entidades).
- Confira a lista completa deentidades e identificadores.