Personalizar atividades nas linhas do tempo da página da entidade

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Importante

• A personalização da atividade está em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
• O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Introdução

Além das atividades rastreadas e apresentadas na linha do tempo pelo Microsoft Sentinel prontas para uso, você pode criar quaisquer outras atividades que deseja acompanhar e apresentá-las na linha do tempo também. Você pode criar atividades personalizadas com base em consultas de dados de entidade de qualquer fonte de dados conectada. Os exemplos a seguir mostram como você pode usar esse recurso:

• Adicione novas atividades à linha do tempo da entidade modificando modelos de atividade prontos para uso existentes.

• Adicione novas atividades a partir de logs personalizados. Por exemplo, a partir de um log de controle de acesso físico, você pode adicionar as atividades de entrada e saída de um usuário para uma área restrita específica, por exemplo, uma sala de servidor, à linha do tempo do usuário.

Introdução

• Usuários do Microsoft Sentinel no portal do Azure, selecione a guia Portal do Azure abaixo.
• Os usuários da plataforma unificada de operações de segurança no portal do Microsoft Defender, selecione a guia Portal do Defender .

Portal do Azure

1. No menu de navegação do Microsoft Sentinel, selecione Comportamento da entidade.

2. Na página Comportamento da entidade, selecione Personalizar página da entidade (Visualização) na parte superior da tela.

   

Portal do Defender

1. No portal do Microsoft Defender, localize qualquer página de entidade.

   1. Selecione Ativos > , dispositivos ou identidades.
   2. Selecione um dispositivo ou um usuário na lista. Se você selecionou um usuário, selecione Exibir página de usuário no pop-up a seguir.

2. Na página da entidade, selecione a guia Eventos do Sentinel.

3. Na guia Eventos do Sentinel, selecione Personalizar atividades do Sentinel.

Na página Personalizar atividades do Sentinel, você verá uma lista de todas as atividades criadas na guia Minhas atividades.Na guia Modelos de atividade, você verá a coleção de atividades oferecidas prontas para uso pelos pesquisadores de segurança da Microsoft. Essas são as atividades que já estão sendo rastreadas e exibidas nas linhas do tempo nas páginas da sua entidade.

• Contanto que você não tenha criado nenhuma atividade definida pelo usuário, suas páginas de entidade exibirão todas as atividades listadas na guia Modelos de atividade.

• Depois de criar ou personalizar uma atividade, as páginas da entidade exibirão apenas as atividades, que aparecem na guia Minhas atividades .

• Se quiser continuar vendo as atividades prontas para uso em suas páginas de entidade, crie uma atividade para cada modelo que deseja que seja rastreado e exibido. Siga as instruções em "Criar uma atividade a partir de um modelo" abaixo.

Criar uma atividade a partir de um modelo

1. Selecione a guia Modelos de atividade para ver as várias atividades disponíveis por padrão. Você pode filtrar a lista por tipo de entidade, bem como por fonte de dados. Selecionar uma atividade na lista exibirá as seguintes informações no painel de detalhes:

   • Descrição da atividade

   • A fonte de dados que fornece os eventos que compõem a atividade

   • Os identificadores usados para identificar a entidade nos dados brutos

   • A consulta que resulta na deteção dessa atividade

2. Selecione Criar atividade na parte inferior do painel de detalhes para iniciar o assistente de criação de atividades.

   Portal do Azure

   

   Portal do Defender

   

   Ao selecionar Criar atividade no portal do Defender, você será redirecionado para o assistente de atividade do Microsoft Sentinel no portal do Azure em uma nova guia.

3. O Assistente de atividade - Criar nova atividade a partir do modelo será aberto, com seus campos já preenchidos a partir do modelo. Você pode fazer alterações como quiser nas guias Configuração Geral e Atividade ou deixar tudo como está para continuar visualizando a atividade pronta para uso.

4. Quando estiver satisfeito, selecione a guia Revisar e criar . Quando vir a mensagem Validação aprovada , clique no botão Criar na parte inferior.

Criar uma atividade a partir do zero

Na parte superior da página de atividades, clique em Adicionar atividade para iniciar o assistente de criação de atividades.

O Assistente de atividade - Criar nova atividade será aberto, com seus campos em branco.

Separador Geral

1. Introduza um nome para a sua atividade (exemplo: "utilizador adicionado ao grupo").

2. Insira uma descrição da atividade (exemplo: "alteração de associação ao grupo de usuários com base na ID de evento 4728 do Windows").

3. Selecione o tipo de entidade (usuário ou host) que essa consulta rastreará.

4. Você pode filtrar por parâmetros adicionais para ajudar a refinar a consulta e otimizar seu desempenho. Por exemplo, você pode filtrar usuários do Ative Directory escolhendo o parâmetro IsDomainJoined e definindo o valor como True.

5. Você pode selecionar o status inicial da atividade como Habilitado ou Desativado.

6. Selecione Next : Activity configuration (Avançar: Configuração da atividade ) para prosseguir para a próxima guia.

   

Guia Configuração da atividade

Escrevendo a consulta de atividade

Aqui você escreverá ou colará a consulta KQL que será usada para detetar a atividade para a entidade escolhida e determinar como ela será representada na linha do tempo.

Importante

Recomendamos que sua consulta use um analisador ASIM (Advanced Security Information Model) e não uma tabela interna. Isso garante que a consulta dará suporte a qualquer fonte de dados relevante atual ou futura, em vez de uma única fonte de dados.

Para correlacionar eventos e detetar a atividade personalizada, o KQL requer uma entrada de vários parâmetros, dependendo do tipo de entidade. Os parâmetros são os vários identificadores da entidade em questão.

Selecionar um identificador forte é melhor para ter um mapeamento um-para-um entre os resultados da consulta e a entidade. A seleção de um identificador fraco pode produzir resultados imprecisos. Saiba mais sobre entidades e identificadores fortes vs. fracos.

A tabela a seguir fornece informações sobre os identificadores das entidades.

Identificadores fortes para entidades de conta e host

Pelo menos um identificador é necessário em uma consulta.

Entidade	Identificador	Description
Conta	Account_Sid	O SID local da conta no Ative Directory
	Account_AadUserId	A ID do objeto Microsoft Entra do usuário na ID do Microsoft Entra
	Account_Name + Account_NTDomain	Semelhante a SamAccountName (exemplo: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Semelhante a UserPrincipalName (exemplo: Joe@Contoso.com)
Anfitrião	Host_HostName + Host_NTDomain	semelhante ao nome de domínio totalmente qualificado (FQDN)
	Host_HostName + Host_DnsDomain	semelhante ao nome de domínio totalmente qualificado (FQDN)
	Host_NetBiosName + Host_NTDomain	semelhante ao nome de domínio totalmente qualificado (FQDN)
	Host_NetBiosName + Host_DnsDomain	semelhante ao nome de domínio totalmente qualificado (FQDN)
	Host_AzureID	a ID do objeto Microsoft Entra do host na ID do Microsoft Entra (se o domínio Microsoft Entra ingressou)
	Host_OMSAgentID	o ID do agente OMS do agente instalado em um host específico (exclusivo por host)

Com base na entidade selecionada, você verá os identificadores disponíveis. Clicar nos identificadores relevantes colará o identificador na consulta, na localização do cursor.

Nota

• A consulta pode conter até 10 campos, portanto, você deve projetar os campos desejados.

• Os campos projetados devem incluir o campo TimeGenerated para colocar a atividade detetada na linha do tempo da entidade.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Apresentação da atividade na linha do tempo

Por uma questão de conveniência, você pode querer determinar como a atividade é apresentada na linha do tempo adicionando parâmetros dinâmicos à saída da atividade.

O Microsoft Sentinel fornece parâmetros internos para você usar, e você também pode usar outros com base nos campos projetados na consulta.

Use o seguinte formato para seus parâmetros: {{ParameterName}}

Depois que a consulta de atividade passar na validação e exibir o link Exibir resultados da consulta abaixo da janela de consulta, você poderá expandir a seção Valores disponíveis para exibir os parâmetros disponíveis para uso ao criar um título de atividade dinâmica.

Selecione o ícone Copiar ao lado de um parâmetro específico para copiar esse parâmetro para a área de transferência, para que você possa colá-lo no campo Título da atividade acima.

Adicione qualquer um dos seguintes parâmetros à sua consulta:

• Qualquer campo projetado na consulta.

• Identificadores de entidade de quaisquer entidades mencionadas na consulta.

• StartTimeUTC, para adicionar a hora de início da atividade, na hora UTC.

• EndTimeUTC, para adicionar a hora de término da atividade, em hora UTC.

• Count, para resumir várias saídas de consulta KQL em uma única saída.

  O count parâmetro adiciona o seguinte comando à sua consulta em segundo plano, mesmo que não seja exibido totalmente no editor:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Em seguida, quando você usa o filtro Tamanho do bucket nas páginas de entidade, o seguinte comando também é adicionado à consulta executada em segundo plano:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Por exemplo:

Quando estiver satisfeito com a consulta e o título da atividade, selecione Avançar: Revisão.

Rever e criar separador

1. Verifique todas as informações de configuração da sua atividade personalizada.

2. Quando a mensagem Validação passada for exibida, clique em Criar para criar a atividade. Você pode editá-lo ou alterá-lo posteriormente na guia Minhas atividades .

Gerencie suas atividades

Faça a gestão das suas atividades personalizadas a partir do separador As Minhas Atividades . Clique nas reticências (...) no final da linha de uma atividade para:

• Edite a atividade.
• Duplique a atividade para criar uma nova, ligeiramente diferente.
• Exclua a atividade.
• Desative a atividade (sem excluí-la).

Exibir atividades em uma página de entidade

Sempre que você entrar em uma página de entidade, todas as consultas de atividade habilitadas para essa entidade serão executadas, fornecendo informações atualizadas ao minuto na linha do tempo da entidade. Você verá as atividades na linha do tempo, juntamente com alertas e favoritos.

Você pode usar o filtro de conteúdo da Linha do tempo para apresentar apenas atividades (ou qualquer combinação de atividades, alertas e favoritos).

Você também pode usar o filtro Atividades para apresentar ou ocultar atividades específicas.

Próximos passos

Neste documento, você aprendeu como criar atividades personalizadas para as linhas do tempo da página da entidade. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Obtenha a imagem completa nas páginas da entidade.
• Saiba mais sobre a Análise de Comportamento de Usuários e Entidades (UEBA).
• Consulte a lista completa de entidades e identificadores.