Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
- A personalização da atividade está em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
- Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender. Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retireing Microsoft Sentinel's portal do Azure for greater security (Está na altura de mover: extinguir portal do Azure de Microsoft Sentinel para maior segurança).
Introdução
Para além das atividades registadas e apresentadas na linha cronológica ao Microsoft Sentinel inicial, pode criar quaisquer outras atividades que pretenda controlar e apresentá-las também na linha cronológica. Pode criar atividades personalizadas com base em consultas de dados de entidades a partir de quaisquer origens de dados ligadas. Os exemplos seguintes mostram como pode utilizar esta capacidade:
Adicione novas atividades à linha cronológica da entidade ao modificar os modelos de atividade existentes.
Adicione novas atividades a partir de registos personalizados. Por exemplo, a partir de um registo físico de controlo de acesso, pode adicionar as atividades de entrada e saída de um utilizador para uma área restrita específica (por exemplo, uma sala de servidores) à linha cronológica do utilizador.
Introdução
- Os utilizadores de Microsoft Sentinel na portal do Azure, selecione o separador portal do Azure abaixo.
- Os utilizadores do portal Microsoft Defender, selecione o separador Portal do Defender.
No menu de navegação Microsoft Sentinel, selecione Comportamento da entidade.
Na página Comportamento da entidade , selecione Personalizar página de entidade (Pré-visualização) na parte superior do ecrã.
Na página Personalizar Sentinel atividades, verá uma lista de quaisquer atividades que tenha criado no separador As minhas atividades. No separador Modelos de atividade, verá a coleção de atividades disponibilizadas por investigadores de segurança da Microsoft. Estas são as atividades que já estão a ser controladas e apresentadas nas linhas cronológicas nas páginas da entidade.
Desde que não tenha criado atividades definidas pelo utilizador, as suas páginas de entidade apresentarão todas as atividades listadas no separador Modelos de atividade .
Depois de criar ou personalizar uma atividade, as suas páginas de entidade apresentarão apenas essas atividades, que aparecem no separador As minhas atividades .
Se quiser continuar a ver as atividades de configuração inicial nas páginas da entidade, tem de criar uma atividade para cada modelo que pretende que seja controlado e apresentado. Siga as instruções em "Criar uma atividade a partir de um modelo" abaixo.
Criar uma atividade a partir de um modelo
Selecione o separador Modelos de atividade para ver as várias atividades disponíveis por predefinição. Pode filtrar a lista por tipo de entidade, bem como por origem de dados. Se selecionar uma atividade da lista, serão apresentadas as seguintes informações no painel de detalhes:
Uma descrição da atividade
A origem de dados que fornece os eventos que compõem a atividade
Os identificadores utilizados para identificar a entidade nos dados não processados
A consulta que resulta na deteção desta atividade
Selecione Criar atividade na parte inferior do painel de detalhes para iniciar o assistente de criação de atividade.
O Assistente de atividade – criar nova atividade a partir do modelo será aberto, com os respetivos campos já preenchidos a partir do modelo. Pode efetuar alterações conforme quiser nos separadores Geral e Configuração da atividade ou deixar tudo como está para continuar a visualizar a atividade inicial.
Quando estiver satisfeito, selecione o separador Rever e criar . Quando vir a mensagem Validação transmitida , clique no botão Criar na parte inferior.
Criar uma atividade do zero
Na parte superior da página de atividades, clique em Adicionar atividade para iniciar o assistente de criação de atividade.
O Assistente de atividade – Criar nova atividade será aberto, com os respetivos campos em branco.
Separador Geral
Introduza um nome para a sua atividade (por exemplo: "utilizador adicionado ao grupo").
Introduza uma descrição da atividade (exemplo: "alteração da associação a grupos de utilizadores com base no ID de evento do Windows 4728").
Selecione o tipo de entidade (utilizador ou anfitrião) que esta consulta irá controlar.
Pode filtrar por parâmetros adicionais para ajudar a refinar a consulta e otimizar o respetivo desempenho. Por exemplo, pode filtrar por utilizadores do Active Directory ao selecionar o parâmetro IsDomainJoined e definir o valor como Verdadeiro.
Pode selecionar o estado inicial da atividade como Ativado ou Desativado.
Selecione Seguinte: Configuração da atividade para avançar para o separador seguinte.
Separador Configuração da atividade
Escrever a consulta de atividade
Aqui, irá escrever ou colar a consulta KQL que será utilizada para detetar a atividade da entidade escolhida e determinar como será representada na linha cronológica.
Importante
Recomendamos que a consulta utilize um analisador do Modelo de Informação de Segurança Avançada (ASIM) e não uma tabela incorporada. Isto garante que a consulta suportará qualquer origem de dados relevante atual ou futura em vez de uma única origem de dados.
Para correlacionar eventos e detetar a atividade personalizada, o KQL requer uma entrada de vários parâmetros, consoante o tipo de entidade. Os parâmetros são os vários identificadores da entidade em questão.
Selecionar um identificador forte é melhor para ter um mapeamento um-para-um entre os resultados da consulta e a entidade. Selecionar um identificador fraco pode produzir resultados imprecisos. Saiba mais sobre entidades e identificadores fortes vs. fracos.
A tabela seguinte fornece informações sobre os identificadores das entidades.
Identificadores fortes para entidades de conta e de anfitrião
É necessário, pelo menos, um identificador numa consulta.
| Entidade | Identificador | Descrição |
|---|---|---|
| Conta | Account_Sid | O SID no local da conta no Active Directory |
| Account_AadUserId | O ID de objeto Microsoft Entra do utilizador no Microsoft Entra ID | |
| Account_Name + Account_NTDomain | Semelhante a SamAccountName (exemplo: Contoso\Joe) | |
| Account_Name + Account_UPNSuffix | Semelhante a UserPrincipalName (exemplo: Joe@Contoso.com) | |
| Host | Host_HostName + Host_NTDomain | semelhante ao nome de domínio completamente qualificado (FQDN) |
| Host_HostName + Host_DnsDomain | semelhante ao nome de domínio completamente qualificado (FQDN) | |
| Host_NetBiosName + Host_NTDomain | semelhante ao nome de domínio completamente qualificado (FQDN) | |
| Host_NetBiosName + Host_DnsDomain | semelhante ao nome de domínio completamente qualificado (FQDN) | |
| Host_AzureID | o ID de objeto Microsoft Entra do anfitrião no Microsoft Entra ID (se Microsoft Entra domínio associado) | |
| Host_OMSAgentID | o ID do Agente OMS do agente instalado num anfitrião específico (exclusivo por anfitrião) |
Com base na entidade selecionada, verá os identificadores disponíveis. Clicar nos identificadores relevantes irá colar o identificador na consulta, na localização do cursor.
Nota
A consulta pode conter até 10 campos, pelo que tem de projetar os campos pretendidos.
Os campos projetados têm de incluir o campo TimeGenerated para colocar a atividade detetada na linha cronológica da entidade.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
Apresentar a atividade na linha cronológica
Por uma questão de conveniência, poderá querer determinar como a atividade é apresentada na linha cronológica ao adicionar parâmetros dinâmicos à saída da atividade.
Microsoft Sentinel fornece parâmetros incorporados para utilizar e também pode utilizar outros com base nos campos que projetou na consulta.
Utilize o seguinte formato para os parâmetros: {{ParameterName}}
Depois de a consulta de atividade passar na validação e apresentar a ligação Ver resultados da consulta abaixo da janela de consulta, poderá expandir a secção Valores disponíveis para ver os parâmetros disponíveis para utilizar ao criar um título de atividade dinâmica.
Selecione o ícone Copiar junto a um parâmetro específico para copiar esse parâmetro para a área de transferência para que possa colá-lo no campo Título da atividade acima.
Adicione qualquer um dos seguintes parâmetros à consulta:
Qualquer campo que tenha projetado na consulta.
Identificadores de entidades de quaisquer entidades mencionadas na consulta.
StartTimeUTC, para adicionar a hora de início da atividade, na hora UTC.EndTimeUTC, para adicionar a hora de fim da atividade, na hora UTC.Count, para resumir várias saídas de consulta KQL numa única saída.O
countparâmetro adiciona o seguinte comando à consulta em segundo plano, mesmo que não seja apresentado na totalidade no editor:Summarize count() by <each parameter you’ve projected in the activity>Em seguida, quando utiliza o filtro Tamanho do Registo nas páginas de entidade, o seguinte comando também é adicionado à consulta que é executada em segundo plano:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Por exemplo:
Quando estiver satisfeito com o título da consulta e da atividade, selecione Seguinte: Rever.
Veja mais informações sobre os seguintes itens utilizados nos exemplos anteriores, na documentação do Kusto:
Para obter mais informações sobre o KQL, veja Descrição geral do Linguagem de Pesquisa Kusto (KQL).
Outros recursos:
Rever e criar separador
Verifique todas as informações de configuração da sua atividade personalizada.
Quando for apresentada a mensagem Validação transmitida , clique em Criar para criar a atividade. Pode editá-lo ou alterá-lo mais tarde no separador As Minhas Atividades .
Gerir as suas atividades
Faça a gestão das suas atividades personalizadas a partir do separador As Minhas Atividades . Clique nas reticências (...) no final da linha de uma atividade para:
- Edite a atividade.
- Duplique a atividade para criar uma nova, ligeiramente diferente.
- Elimine a atividade.
- Desative a atividade (sem a eliminar).
Ver atividades numa página de entidade
Sempre que introduzir uma página de entidade, todas as consultas de atividade ativadas para essa entidade serão executadas, fornecendo-lhe informações atualizadas na linha cronológica da entidade. Verá as atividades na linha cronológica, juntamente com alertas e marcadores.
Pode utilizar o filtro de conteúdo da Linha Cronológica para apresentar apenas atividades (ou qualquer combinação de atividades, alertas e marcadores).
Também pode utilizar o filtro Atividades para apresentar ou ocultar atividades específicas.
Passos seguintes
Neste documento, aprendeu a criar atividades personalizadas para as linhas cronológicas da sua página de entidade. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:
- Obtenha a imagem completa nas páginas de entidade.
- Saiba mais sobre a Análise de Comportamento do Utilizador e da Entidade (UEBA).
- Veja a lista completa de entidades e identificadores.