Personalizar atividades nas linhas do tempo da página da entidade
Importante
- A personalização da atividade está em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
- O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Introdução
Além das atividades rastreadas e apresentadas na linha do tempo pelo Microsoft Sentinel prontas para uso, você pode criar quaisquer outras atividades que deseja acompanhar e apresentá-las na linha do tempo também. Você pode criar atividades personalizadas com base em consultas de dados de entidade de qualquer fonte de dados conectada. Os exemplos a seguir mostram como você pode usar esse recurso:
Adicione novas atividades à linha do tempo da entidade modificando modelos de atividade prontos para uso existentes.
Adicione novas atividades a partir de logs personalizados. Por exemplo, a partir de um log de controle de acesso físico, você pode adicionar as atividades de entrada e saída de um usuário para uma área restrita específica, por exemplo, uma sala de servidor, à linha do tempo do usuário.
Introdução
- Usuários do Microsoft Sentinel no portal do Azure, selecione a guia Portal do Azure abaixo.
- Os usuários da plataforma unificada de operações de segurança no portal do Microsoft Defender, selecione a guia Portal do Defender .
No menu de navegação do Microsoft Sentinel, selecione Comportamento da entidade.
Na página Comportamento da entidade, selecione Personalizar página da entidade (Visualização) na parte superior da tela.
Na página Personalizar atividades do Sentinel, você verá uma lista de todas as atividades criadas na guia Minhas atividades. Na guia Modelos de atividade, você verá a coleção de atividades oferecidas prontas para uso pelos pesquisadores de segurança da Microsoft. Essas são as atividades que já estão sendo rastreadas e exibidas nas linhas do tempo nas páginas da sua entidade.
Contanto que você não tenha criado nenhuma atividade definida pelo usuário, suas páginas de entidade exibirão todas as atividades listadas na guia Modelos de atividade.
Depois de criar ou personalizar uma atividade, as páginas da entidade exibirão apenas as atividades, que aparecem na guia Minhas atividades .
Se quiser continuar vendo as atividades prontas para uso em suas páginas de entidade, crie uma atividade para cada modelo que deseja que seja rastreado e exibido. Siga as instruções em "Criar uma atividade a partir de um modelo" abaixo.
Criar uma atividade a partir de um modelo
Selecione a guia Modelos de atividade para ver as várias atividades disponíveis por padrão. Você pode filtrar a lista por tipo de entidade, bem como por fonte de dados. Selecionar uma atividade na lista exibirá as seguintes informações no painel de detalhes:
Descrição da atividade
A fonte de dados que fornece os eventos que compõem a atividade
Os identificadores usados para identificar a entidade nos dados brutos
A consulta que resulta na deteção dessa atividade
Selecione Criar atividade na parte inferior do painel de detalhes para iniciar o assistente de criação de atividades.
O Assistente de atividade - Criar nova atividade a partir do modelo será aberto, com seus campos já preenchidos a partir do modelo. Você pode fazer alterações como quiser nas guias Configuração Geral e Atividade ou deixar tudo como está para continuar visualizando a atividade pronta para uso.
Quando estiver satisfeito, selecione a guia Revisar e criar . Quando vir a mensagem Validação aprovada , clique no botão Criar na parte inferior.
Criar uma atividade a partir do zero
Na parte superior da página de atividades, clique em Adicionar atividade para iniciar o assistente de criação de atividades.
O Assistente de atividade - Criar nova atividade será aberto, com seus campos em branco.
Separador Geral
Introduza um nome para a sua atividade (exemplo: "utilizador adicionado ao grupo").
Insira uma descrição da atividade (exemplo: "alteração de associação ao grupo de usuários com base na ID de evento 4728 do Windows").
Selecione o tipo de entidade (usuário ou host) que essa consulta rastreará.
Você pode filtrar por parâmetros adicionais para ajudar a refinar a consulta e otimizar seu desempenho. Por exemplo, você pode filtrar usuários do Ative Directory escolhendo o parâmetro IsDomainJoined e definindo o valor como True.
Você pode selecionar o status inicial da atividade como Habilitado ou Desativado.
Selecione Next : Activity configuration (Avançar: Configuração da atividade ) para prosseguir para a próxima guia.
Guia Configuração da atividade
Escrevendo a consulta de atividade
Aqui você escreverá ou colará a consulta KQL que será usada para detetar a atividade para a entidade escolhida e determinar como ela será representada na linha do tempo.
Importante
Recomendamos que sua consulta use um analisador ASIM (Advanced Security Information Model) e não uma tabela interna. Isso garante que a consulta dará suporte a qualquer fonte de dados relevante atual ou futura, em vez de uma única fonte de dados.
Para correlacionar eventos e detetar a atividade personalizada, o KQL requer uma entrada de vários parâmetros, dependendo do tipo de entidade. Os parâmetros são os vários identificadores da entidade em questão.
Selecionar um identificador forte é melhor para ter um mapeamento um-para-um entre os resultados da consulta e a entidade. A seleção de um identificador fraco pode produzir resultados imprecisos. Saiba mais sobre entidades e identificadores fortes vs. fracos.
A tabela a seguir fornece informações sobre os identificadores das entidades.
Identificadores fortes para entidades de conta e host
Pelo menos um identificador é necessário em uma consulta.
Entidade | Identificador | Description |
---|---|---|
Conta | Account_Sid | O SID local da conta no Ative Directory |
Account_AadUserId | A ID do objeto Microsoft Entra do usuário na ID do Microsoft Entra | |
Account_Name + Account_NTDomain | Semelhante a SamAccountName (exemplo: Contoso\Joe) | |
Account_Name + Account_UPNSuffix | Semelhante a UserPrincipalName (exemplo: Joe@Contoso.com) | |
Anfitrião | Host_HostName + Host_NTDomain | semelhante ao nome de domínio totalmente qualificado (FQDN) |
Host_HostName + Host_DnsDomain | semelhante ao nome de domínio totalmente qualificado (FQDN) | |
Host_NetBiosName + Host_NTDomain | semelhante ao nome de domínio totalmente qualificado (FQDN) | |
Host_NetBiosName + Host_DnsDomain | semelhante ao nome de domínio totalmente qualificado (FQDN) | |
Host_AzureID | a ID do objeto Microsoft Entra do host na ID do Microsoft Entra (se o domínio Microsoft Entra ingressou) | |
Host_OMSAgentID | o ID do agente OMS do agente instalado em um host específico (exclusivo por host) |
Com base na entidade selecionada, você verá os identificadores disponíveis. Clicar nos identificadores relevantes colará o identificador na consulta, na localização do cursor.
Nota
A consulta pode conter até 10 campos, portanto, você deve projetar os campos desejados.
Os campos projetados devem incluir o campo TimeGenerated para colocar a atividade detetada na linha do tempo da entidade.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
Apresentação da atividade na linha do tempo
Por uma questão de conveniência, você pode querer determinar como a atividade é apresentada na linha do tempo adicionando parâmetros dinâmicos à saída da atividade.
O Microsoft Sentinel fornece parâmetros internos para você usar, e você também pode usar outros com base nos campos projetados na consulta.
Use o seguinte formato para seus parâmetros: {{ParameterName}}
Depois que a consulta de atividade passar na validação e exibir o link Exibir resultados da consulta abaixo da janela de consulta, você poderá expandir a seção Valores disponíveis para exibir os parâmetros disponíveis para uso ao criar um título de atividade dinâmica.
Selecione o ícone Copiar ao lado de um parâmetro específico para copiar esse parâmetro para a área de transferência, para que você possa colá-lo no campo Título da atividade acima.
Adicione qualquer um dos seguintes parâmetros à sua consulta:
Qualquer campo projetado na consulta.
Identificadores de entidade de quaisquer entidades mencionadas na consulta.
StartTimeUTC
, para adicionar a hora de início da atividade, na hora UTC.EndTimeUTC
, para adicionar a hora de término da atividade, em hora UTC.Count
, para resumir várias saídas de consulta KQL em uma única saída.O
count
parâmetro adiciona o seguinte comando à sua consulta em segundo plano, mesmo que não seja exibido totalmente no editor:Summarize count() by <each parameter you’ve projected in the activity>
Em seguida, quando você usa o filtro Tamanho do bucket nas páginas de entidade, o seguinte comando também é adicionado à consulta executada em segundo plano:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Por exemplo:
Quando estiver satisfeito com a consulta e o título da atividade, selecione Avançar: Revisão.
Rever e criar separador
Verifique todas as informações de configuração da sua atividade personalizada.
Quando a mensagem Validação passada for exibida, clique em Criar para criar a atividade. Você pode editá-lo ou alterá-lo posteriormente na guia Minhas atividades .
Gerencie suas atividades
Faça a gestão das suas atividades personalizadas a partir do separador As Minhas Atividades . Clique nas reticências (...) no final da linha de uma atividade para:
- Edite a atividade.
- Duplique a atividade para criar uma nova, ligeiramente diferente.
- Exclua a atividade.
- Desative a atividade (sem excluí-la).
Exibir atividades em uma página de entidade
Sempre que você entrar em uma página de entidade, todas as consultas de atividade habilitadas para essa entidade serão executadas, fornecendo informações atualizadas ao minuto na linha do tempo da entidade. Você verá as atividades na linha do tempo, juntamente com alertas e favoritos.
Você pode usar o filtro de conteúdo da Linha do tempo para apresentar apenas atividades (ou qualquer combinação de atividades, alertas e favoritos).
Você também pode usar o filtro Atividades para apresentar ou ocultar atividades específicas.
Próximos passos
Neste documento, você aprendeu como criar atividades personalizadas para as linhas do tempo da página da entidade. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Obtenha a imagem completa nas páginas da entidade.
- Saiba mais sobre a Análise de Comportamento de Usuários e Entidades (UEBA).
- Consulte a lista completa de entidades e identificadores.