Personalizar atividades em cronogramas de página de entidades

Nota

Azure Sentinel chama-se Microsoft Sentinel e vamos atualizar estas páginas nas próximas semanas. Saiba mais sobre as recentes melhorias de segurança da Microsoft.

Importante

Introdução

Além das atividades rastreadas e apresentadas na linha temporal pelo Microsoft Sentinel fora da caixa, pode criar quaisquer outras atividades que queira acompanhar e apresentá-las também na linha do tempo. Pode criar atividades personalizadas com base em consultas de dados de entidades a partir de quaisquer fontes de dados conectadas. Os seguintes exemplos mostram como pode utilizar esta capacidade:

  • Adicione novas atividades à linha de tempo da entidade modificando os modelos de atividade existentes fora da caixa.

  • Adicione novas atividades a partir de registos personalizados - por exemplo, a partir de um registo de controlo de acesso físico, pode adicionar as atividades de entrada e saída de um utilizador para um determinado edifício à linha temporal do utilizador.

Introdução

  1. A partir do menu de navegação Microsoft Sentinel, selecione o comportamento da Entidade.

  2. Na lâmina de comportamento da Entidade , selecione Personalizar a página da entidade na parte superior do ecrã.

    Entity behavior page

  3. Você verá uma página com uma lista de quaisquer atividades que você criou no separador My activities . No separador De modelos de Atividade , você verá a coleção de atividades oferecidas fora da caixa por investigadores de segurança da Microsoft. Estas são as atividades que já estão a ser rastreadas e exibidas nas linhas de tempo nas páginas da sua entidade.

    Nota

    • Desde que não tenha criado quaisquer atividades definidas pelo utilizador, as páginas da sua entidade apresentarão todas as atividades listadas no separador Modelos de Atividade .

    • Assim que definir uma única atividade personalizada, as páginas da sua entidade apresentarão apenas as atividades que aparecem no separador Atividades.

    • Se quiser continuar a ver as atividades fora da caixa nas páginas da sua entidade, tem de criar uma atividade para cada modelo que pretende ser rastreado e exibido. Siga as instruções em "Criar uma atividade a partir de um modelo" abaixo.

Criar uma atividade a partir de um modelo

  1. Clique no separador Modelos de Atividade para ver as várias atividades disponíveis por padrão. Pode filtrar a lista por tipo de entidade, bem como por fonte de dados. A seleção de uma atividade da lista apresentará os seguintes detalhes no painel de pré-visualização:

    • Uma descrição da atividade

    • A fonte de dados que fornece os eventos que compõem a atividade

    • Os identificadores utilizados para identificar a entidade nos dados brutos

    • A consulta que resulta na deteção desta atividade

  2. Clique no botão de atividade Criar na parte inferior do painel de pré-visualização para iniciar o assistente de criação de atividade.

    View activity details

  3. O assistente de atividade - Crie uma nova atividade a partir do modelo será aberta, com os seus campos já povoados do modelo. Pode fazer alterações como quiser nos separadores deconfiguração geral e de atividade , ou deixar tudo como é para continuar a visualizar a atividade fora da caixa.

  4. Quando estiver satisfeito, selecione o separador 'Rever', e criar o separador. Quando vir a mensagem de validação passada , clique no botão Criar na parte inferior.

Criar uma atividade a partir do zero

A partir do topo da página de atividades, clique em Adicionar atividade para iniciar o assistente de criação de atividade.

O assistente de atividade - Criar nova atividade abrir-se-á, com os seus campos em branco.

Separador Geral

  1. Introduza um nome para a sua atividade (exemplo: "utilizador adicionado ao grupo").

  2. Introduza uma descrição da atividade (exemplo: "alteração da adesão ao grupo de utilizadores com base no ID 4728 do Windows evento").

  3. Selecione o tipo de entidade (utilizador ou anfitrião) que esta consulta irá rastrear.

  4. Pode filtrar por parâmetros adicionais para ajudar a refinar a consulta e otimizar o seu desempenho. Por exemplo, pode filtrar para utilizadores do Ative Directory, escolhendo o parâmetro IsDomainJoined e definindo o valor para True.

  5. Pode selecionar o estado inicial da atividade para Ativado ou Desativado.

  6. Selecione Seguinte : Configuração de atividade para passar para o separador seguinte.

    Screenshot - Create a new activity

Separador de configuração de atividade

Escrever a consulta de atividade

Aqui irá escrever ou colar a consulta KQL que será usada para detetar a atividade para a entidade escolhida, e determinar como será representada na linha do tempo.

Importante

Recomendamos que a sua consulta utilize um analisador avançado de informação de segurança (ASIM) e não uma tabela incorporada. Isto garante que a consulta irá suportar qualquer fonte de dados relevante atual ou futura em vez de uma única fonte de dados.

Para correlacionar eventos e detetar a atividade personalizada, o KQL requer uma entrada de vários parâmetros, dependendo do tipo de entidade. Os parâmetros são os vários identificadores da entidade em questão.

Selecionar um identificador forte é melhor para ter um-para-um mapear entre os resultados da consulta e a entidade. Selecionar um identificador fraco pode produzir resultados imprecisos. Saiba mais sobre entidades e identificadores fortes vs. fracos.

A tabela seguinte fornece informações sobre os identificadores das entidades.

Identificadores fortes para entidades de conta e acolhimento

Pelo menos um identificador é necessário numa consulta.

Entidade Identificador Description
Conta Account_Sid O SID no local da conta em Ative Directory
Account_AadUserId O ID do objeto AZure do utilizador em Azure Ative Directory
Account_Name + Account_NTDomain Semelhante ao SamAccountName (exemplo: Contoso\Joe)
Account_Name + Account_UPNSuffix Semelhante ao Nome Do UtilizadorPrincipal (exemplo: Joe@Contoso.com)
Anfitrião Host_HostName + Host_NTDomain semelhante ao nome de domínio totalmente qualificado (FQDN)
Host_HostName + Host_DnsDomain semelhante ao nome de domínio totalmente qualificado (FQDN)
Host_NetBiosName + Host_NTDomain semelhante ao nome de domínio totalmente qualificado (FQDN)
Host_NetBiosName + Host_DnsDomain semelhante ao nome de domínio totalmente qualificado (FQDN)
Host_AzureID o ID do objeto AZure do hospedeiro em Azure Ative Directory (se AAD domínio se juntasse)
Host_OMSAgentID O ID do agente OMS do agente instalado num hospedeiro específico (único por hospedeiro)

Com base na entidade selecionada, verá os identificadores disponíveis. Clicar nos identificadores relevantes colará o identificador na consulta, no local do cursor.

Nota

  • A consulta pode conter até 10 campos, por isso deve projetar os campos que deseja.

  • Os campos projetados devem incluir o campo TimeGenerated , de modo a colocar a atividade detetada na linha temporal da entidade.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Screenshot - Enter a query to detect the activity

Apresentando a atividade na linha do tempo

Por uma questão de conveniência, poderá querer determinar como a atividade é apresentada na linha do tempo adicionando parâmetros dinâmicos à saída da atividade.

O Microsoft Sentinel fornece parâmetros incorporados para utilizar, e também pode utilizar outros com base nos campos que projetou na consulta.

Utilize o seguinte formato para os seus parâmetros: {{ParameterName}}

Após a consulta de atividade passar a validação e exibir a ligação de resultados da consulta abaixo da janela de consulta, poderá expandir a secção de valores disponíveis para visualizar os parâmetros disponíveis para utilizar ao criar um título de atividade dinâmica.

Selecione o ícone Copiar ao lado de um parâmetro específico para copiar esse parâmetro para a sua área de transferência para que possa colá-lo no campo do título de Atividade acima.

Adicione qualquer um dos seguintes parâmetros à sua consulta:

  • Qualquer campo que tenha projetado na consulta.

  • Entidade identificadora de quaisquer entidades mencionadas na consulta.

  • StartTimeUTC, para adicionar o tempo de início da atividade, em tempo UTC.

  • EndTimeUTC, para adicionar o tempo final da atividade, em tempo UTC.

  • Count, para resumir várias KQL consulta de saídas numa única saída.

    O count parâmetro adiciona o seguinte comando à sua consulta em segundo plano, mesmo que não seja exibido totalmente no editor:

    Summarize count() by <each parameter you’ve projected in the activity>
    

    Em seguida, quando utilizar o filtro Tamanho do Balde nas páginas da entidade, o seguinte comando também é adicionado à consulta que é executada em segundo plano:

    Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
    

Por exemplo:

Screenshot - See the available values for your activity title

Quando estiver satisfeito com o seu título de consulta e atividade, selecione Seguinte : Revisão.

Rever e criar separador

  1. Verifique todas as informações de configuração da sua atividade personalizada.

  2. Quando a mensagem de validação passada aparecer, clique em Criar para criar a atividade. Pode editá-lo ou alterá-lo mais tarde no separador 'As Minhas Atividades '.

Gerir as suas atividades

Gerencie as suas atividades personalizadas a partir do separador My Activities . Clique na elipse (...) no final da linha de uma atividade para:

  • Editar a atividade.
  • Duplicar a atividade para criar uma nova, ligeiramente diferente.
  • Apague a atividade.
  • Desative a atividade (sem a eliminar).

Ver atividades numa página de entidade

Sempre que entrar numa página de entidade, todas as consultas de atividade ativadas para essa entidade serão executadas, fornecendo-lhe informações atualizados na linha temporal da entidade. Você verá as atividades na linha do tempo, ao lado de alertas e marcadores.

Pode utilizar o filtro de conteúdo da Linha do Tempo para apresentar apenas atividades (ou qualquer combinação de atividades, alertas e marcadores).

Também pode utilizar o filtro Atividades para apresentar ou ocultar atividades específicas.

Passos seguintes

Neste documento, aprendeu a criar atividades personalizadas para as linhas de tempo da página da sua entidade. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: