Настройка действий на временной шкале на странице сущности

Важно!

Введение

Помимо действий, которые уже отслеживаются и отображаются на временной шкале в базовой конфигурации Microsoft Sentinel, вы можете создавать любые другие действия, которые желаете отслеживать и отображать на той же временной шкале. Вы можете создавать настраиваемые действия на основе запросов по данным сущностей, размещенным в любом подключенном источнике данных. В следующих примерах показано, как можно использовать эту возможность.

  • Добавление новых действий на временную шкалу сущностей путем изменения шаблонов стандартных действий.

  • Добавление новых действий из пользовательских журналов. Например, из физического журнала управления доступом вы можете добавить на временную шкалу пользователя действия входа и выхода пользователя в определенном здании.

Приступая к работе

  1. В меню навигации Microsoft Sentinel выберите Поведение сущностей.

  2. В колонке Entity behavior (Поведение сущностей) выберите Customize entity page (Настроить страницу сущности).

    Entity behavior page

  3. Вы увидите страницу со списком действий, которые вы создали на вкладке Мои действия. На вкладке Шаблоны действий отображается набор стандартных действий, которые предлагают специалисты Майкрософт по обеспечению безопасности. Это те действия, которые уже отслеживаются и отображаются на временных шкалах на страницах сущностей.

    Примечание.

    • Пока не созданы какие-либо определяемые пользователем действия, на страницах сущностей будут отображаться все действия, перечисленные на вкладке Шаблоны действий.

    • После определения одного пользовательского действия на ваших страницах сущностей будут отображаться только те действия, которые представлены на вкладке Мои действия.

    • Если вы хотите, чтобы на страницах сущностей по-прежнему отображались стандартные действия, необходимо создать действие для каждого шаблона, который требуется отслеживать и отображать. Следуйте инструкциям в приведенном ниже разделе "Создание действия из шаблона".

Создание действия из шаблона

  1. Щелкните вкладку Activity templates (Шаблоны действий), чтобы просмотреть доступные по умолчанию действия. Этот список можно фильтровать по типу сущности и по источнику данных. Выбор действия из списка в области просмотра отображает следующие сведения:

    • описание действия;

    • источник данных, который предоставляет события этого действия;

    • идентификаторы, которые используются для идентификации сущности в необработанных данных;

    • запрос, который приводит к обнаружению этого действия.

  2. Нажмите кнопку Create activity (Создать действие) в нижней части области предварительного просмотра, чтобы запустить мастер создания действия.

    View activity details

  3. Откроется страница Activity wizard - Create new activity from template (Мастер действий — Создать новое действие из шаблона), в котором поля уже заполнены значениями из шаблона. Вы можете внести необходимые изменения на вкладках Общие и Конфигурация действия или оставить все как есть, чтобы продолжить отображать стандартное действие.

  4. Когда все будет готово, перейдите на вкладку Review and create (Проверка и создание). Когда появится сообщение Validation passed (Проверка прошла успешно), нажмите кнопку Create в нижней части страницы.

Создание действия с нуля

В верхней части страницы действий щелкните Add activity (Добавить действие), чтобы запустить мастер создания действия.

Откроется страница Activity wizard - Create new activity (Мастер действий — Создать новое действие) с пустыми полями.

Вкладка "Общие сведения"

  1. Введите имя действия (например, "пользователь добавлен в группу").

  2. Введите описание действия (например: "изменение членства в группе пользователей по событию Windows с идентификатором 4728").

  3. Выберите тип сущности (пользователь или узел), который будет отслеживать этот запрос.

  4. Вы можете применить фильтры по дополнительным параметрам, чтобы дополнительно уточнить запрос и оптимизировать его производительность. Например, можно отфильтровать пользователей из Active Directory, выбрав параметр IsDomainJoined и установив для него значение True.

  5. Вы можете выбрать для действия начальное состояние Enabled (Включено) или Disabled (Отключено).

  6. Выберите Далее. Конфигурация действия, чтобы перейти на следующую вкладку.

    Screenshot - Create a new activity

Вкладка конфигурации действия

Создание запроса действия

По этим инструкциям вы создадите или скопируете запрос KQL, который будет использоваться для обнаружения действия для выбранной сущности, и определите его представление на временной шкале.

Важно!

Мы рекомендуем использовать в запросе средство синтаксического анализа модели расширенной информации о безопасности (ASIM), а не встроенную таблицу. Так запрос будет точно поддерживать текущий или будущий подходящий источник данных, а не единственный источник данных.

Чтобы правильно сопоставлять события и обнаруживать пользовательское действие, KQL потребуется еще несколько параметров в зависимости от типа сущности. Эти параметры представляют собой разные идентификаторы рассматриваемой сущности.

Лучше выбрать строгий идентификатор, чтобы настроить сопоставления "один к одному" между результатами запроса и сущностью. Выбор слабого идентификатора может приводить к неточным результатам. Дополнительные сведения о сущностях, а также строгих и слабых идентификаторах.

В следующей таблице собрана информация об идентификаторах сущностей.

Строгие идентификаторы для сущностей учетной записи и узла

Каждый запрос должен возвращать не менее одного идентификатора.

Объект Идентификатор Description
Учетная запись Account_Sid Локальный идентификатор безопасности учетной записи в Active Directory
Account_AadUserId Идентификатор объекта Microsoft Entra пользователя в идентификаторе Microsoft Entra
Account_Name + Account_NTDomain Аналогично SamAccountName (пример: Contoso\Joe)
Account_Name + Account_UPNSuffix Аналогично UserPrincipalName (например: Joe@Contoso.com)
Узел Host_HostName + Host_NTDomain Аналогично полному доменному имени (FQDN)
Host_HostName + Host_DnsDomain Аналогично полному доменному имени (FQDN)
Host_NetBiosName + Host_NTDomain Аналогично полному доменному имени (FQDN)
Host_NetBiosName + Host_DnsDomain Аналогично полному доменному имени (FQDN)
Host_AzureID Идентификатор объекта Microsoft Entra узла в идентификаторе Microsoft Entra (если присоединен домен Microsoft Entra)
Host_OMSAgentID Идентификатор агента OMS для агента, установленного на определенном узле (уникальный идентификатор для каждого узла).

В зависимости от выбранной сущности вы увидите разные доступные идентификаторы. Щелчок по нужному идентификатору вставит этот идентификатор в запрос (в текущем положении курсора).

Примечание.

  • Запрос может содержать до 10 полей, поэтому вам необходимо проецировать нужные поля.

  • Проецируемые поля должны включать поле TimeGenerated, чтобы разместить обнаруженное действие на временной шкале сущности.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Screenshot - Enter a query to detect the activity

Представление действия на временной шкале

Для удобства можно определить, как действие будет представлено на временной шкале, добавив динамические параметры в выходные данные действия.

Microsoft Sentinel предоставляет для этой цели встроенные параметры, однако в зависимости от проецируемых в запросе полей вы можете использовать другие поля.

Используйте следующий формат параметров: {{ParameterName}}

После проверки запроса и отображения ссылки Просмотреть результаты запроса под окном запроса вы можете развернуть раздел Доступные значения и просмотреть параметры, доступные при создании заголовка динамического действия.

Щелкните значок Копировать рядом с нужным параметром, чтобы скопировать его в буфер обмена для последующей вставки в поле Заголовок действия.

Добавьте в запрос любой из следующих параметров:

  • Любое поле, которое вы проецируете в запросе.

  • Идентификаторы любых сущностей, упоминаемых в запросе.

  • StartTimeUTC — время начала действия в формате UTC.

  • EndTimeUTC — время завершения действия в формате UTC.

  • Count — объединение выходных данных нескольких запросов KQL в одном блоке выходных данных.

    Параметр count в фоновом режиме добавляет в запрос следующую команду, даже если он не отображается полностью в редакторе:

    Summarize count() by <each parameter you’ve projected in the activity>
    

    Затем, при использовании фильтра Размер контейнера на страницах сущностей, в запрос также добавляется следующая выполняемая в фоновом режиме команда:

    Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
    

Например:

Screenshot - See the available values for your activity title

После завершения работы с запросом и заголовком действия выберите Далее: проверка.

Вкладка "Проверка и создание"

  1. Проверьте все сведения о конфигурации настраиваемого действия.

  2. Когда появится сообщение Validation passed (Проверка пройдена), нажмите кнопку Create (Создать), чтобы создать действие. Его можно изменить позже на вкладке My Activities (Мои действия).

Управление действиями

Пользовательскими действиями можно управлять на вкладке My Activities (Мои действия). Нажмите кнопку с многоточием (…) в конце строки действия, чтобы:

  • изменить это действие;
  • дублировать действие, чтобы создать новое, с некоторыми отличиями;
  • удалить действие;
  • отключить действие (не удаляя его).

Просмотр действий на странице сущности

При каждом входе на страницу сущности будут выполняться все включенные запросы на действия для этой сущности, что позволит получить актуальные сведения на временной шкале сущности. Действия будут отображаться на временной шкале наряду с предупреждениями и закладками.

Фильтр Timeline content (Содержимое временной шкалы) можно использовать для отображения только действий (а также действий, оповещений и закладок в любых сочетаниях).

Можно также использовать фильтр Activities (Действия) для отображения или скрытия конкретных действий.

Следующие шаги

Из этого документа вы узнали, как создавать настраиваемые действия для временной шкалы на странице сущности. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: