Anpassa aktiviteter på tidslinjer för entitetssidor

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Viktigt!

• Aktivitetsanpassning finns i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
• Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Introduktion

Förutom de aktiviteter som spåras och presenteras i tidslinjen av Microsoft Sentinel kan du även skapa andra aktiviteter som du vill hålla reda på och få dem presenterade på tidslinjen. Du kan skapa anpassade aktiviteter baserat på frågor om entitetsdata från alla anslutna datakällor. Följande exempel visar hur du kan använda den här funktionen:

• Lägg till nya aktiviteter i entitetens tidslinje genom att ändra befintliga färdiga aktivitetsmallar.

• Lägg till nya aktiviteter från anpassade loggar. Från en fysisk åtkomstkontrolllogg kan du till exempel lägga till en användares in- och utgångsaktiviteter för ett visst begränsat område , t.ex. ett serverrum, till användarens tidslinje.

Komma igång

• Användare av Microsoft Sentinel i Azure-portalen väljer fliken Azure-portalen nedan.
• Användare av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen väljer fliken Defender-portalen .

Azure-portalen

1. På Microsoft Sentinel-navigeringsmenyn väljer du Entitetsbeteende.

2. På sidan Entitetsbeteende väljer du Sidan Anpassa entitet (förhandsversion) överst på skärmen.

   

Defender-portalen

1. I Microsoft Defender-portalen hittar du en entitetssida.

   1. Välj Tillgångar > Enheter eller Identiteter.
   2. Välj en enhet eller en användare i listan. Om du har valt en användare väljer du Visa användarsida i följande popup-fönster.

2. På entitetssidan väljer du fliken Sentinel-händelser.

3. På fliken Sentinel-händelser väljer du Anpassa Sentinel-aktiviteter.

På sidan Anpassa Sentinel-aktiviteter visas en lista över alla aktiviteter som du har skapat på fliken Mina aktiviteter . På fliken Aktivitetsmallar visas en samling aktiviteter som erbjuds direkt av Microsofts säkerhetsforskare. Det här är de aktiviteter som redan spåras och visas på tidslinjerna på dina entitetssidor.

• Så länge du inte har skapat några användardefinierade aktiviteter visar entitetssidorna alla aktiviteter som visas under fliken Aktivitetsmallar .

• När du har skapat eller anpassat en aktivitet visar entitetssidorna endast de aktiviteter som visas på fliken Mina aktiviteter .

• Om du vill fortsätta att se de färdiga aktiviteterna på entitetssidorna måste du skapa en aktivitet för varje mall som du vill spåras och visas. Följ anvisningarna under "Skapa en aktivitet från en mall" nedan.

Skapa en aktivitet från en mall

1. Välj fliken Aktivitetsmallar för att se de olika aktiviteter som är tillgängliga som standard. Du kan filtrera listan efter entitetstyp samt efter datakälla. Om du väljer en aktivitet i listan visas följande information i informationsfönstret:

   • En beskrivning av aktiviteten

   • Datakällan som tillhandahåller de händelser som utgör aktiviteten

   • Identifierarna som används för att identifiera entiteten i rådata

   • Frågan som resulterar i identifiering av den här aktiviteten

2. Välj Skapa aktivitet längst ned i informationsfönstret för att starta guiden skapa aktivitet.

   Azure-portalen

   

   Defender-portalen

   

   När du väljer Skapa aktivitet i Defender-portalen omdirigeras du till Aktivitetsguiden för Microsoft Sentinel i Azure-portalen på en ny flik.

3. Aktivitetsguiden – Skapa ny aktivitet från mallen öppnas, med fälten redan ifyllda från mallen. Du kan göra ändringar som du vill i konfigurationsflikarna Allmänt och Aktivitet, eller lämna allt som det är för att fortsätta visa aktiviteten som är out-of-the-box.

4. När du är nöjd väljer du fliken Granska och skapa . När du ser meddelandet Validering som skickats klickar du på knappen Skapa längst ned.

Skapa en aktivitet från grunden

Klicka på Lägg till aktivitet överst på aktivitetssidan för att starta guiden för att skapa aktiviteter.

Guiden Aktivitet – Skapa ny aktivitet öppnas med fälten tomma.

Fliken Allmänt

1. Ange ett namn för din aktivitet (exempel: "användaren har lagts till i gruppen").

2. Ange en beskrivning av aktiviteten (exempel: "ändring av användargruppsmedlemskap baserat på Windows-händelse-ID 4728").

3. Välj vilken typ av entitet (användare eller värd) som den här frågan ska spåra.

4. Du kan filtrera efter ytterligare parametrar för att förfina frågan och optimera dess prestanda. Du kan till exempel filtrera efter Active Directory-användare genom att välja parametern IsDomainJoined och ange värdet till Sant.

5. Du kan välja den inledande statusen för aktiviteten till Aktiverad eller Inaktiverad.

6. Välj Nästa: Aktivitetskonfiguration för att gå vidare till nästa flik.

   

Fliken Aktivitetskonfiguration

Skriva aktivitetsfrågan

Här skriver eller klistrar du in den KQL-fråga som ska användas för att identifiera aktiviteten för den valda entiteten och bestämma hur den ska representeras i tidslinjen.

Viktigt!

Vi rekommenderar att din fråga använder en ASIM-parsare (Advanced Security Information Model) och inte en inbyggd tabell. Detta säkerställer att frågan stöder alla aktuella eller framtida relevanta datakällor i stället för en enda datakälla.

För att korrelera händelser och identifiera den anpassade aktiviteten kräver KQL indata från flera parametrar, beroende på entitetstyp. Parametrarna är de olika identifierarna för den aktuella entiteten.

Det är bättre att välja en stark identifierare för att ha en-till-en-mappning mellan frågeresultatet och entiteten. Om du väljer en svag identifierare kan det ge felaktiga resultat. Läs mer om entiteter och starka eller svaga identifierare.

Följande tabell innehåller information om entiteternas identifierare.

Starka identifierare för konto- och värdentiteter

Minst en identifierare krävs i en fråga.

Enhet	Identifierare	beskrivning
Konto	Account_Sid	Det lokala SID:et för kontot i Active Directory
	Account_AadUserId	Microsoft Entra-objekt-ID för användaren i Microsoft Entra-ID
	Account_Name + Account_NTDomain	Liknar SamAccountName (exempel: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Liknar UserPrincipalName (exempel: Joe@Contoso.com)
Värd	Host_HostName + Host_NTDomain	liknar fullständigt kvalificerade domännamn (FQDN)
	Host_HostName + Host_DnsDomain	liknar fullständigt kvalificerade domännamn (FQDN)
	Host_NetBiosName + Host_NTDomain	liknar fullständigt kvalificerade domännamn (FQDN)
	Host_NetBiosName + Host_DnsDomain	liknar fullständigt kvalificerade domännamn (FQDN)
	Host_AzureID	Microsoft Entra-objekt-ID för värden i Microsoft Entra-ID (om Microsoft Entra-domänen är ansluten)
	Host_OMSAgentID	OMS-agentens ID för agenten som är installerad på en specifik värd (unik per värd)

Baserat på den valda entiteten visas tillgängliga identifierare. Om du klickar på relevanta identifierare klistrar du in identifieraren i frågan på markörens plats.

Kommentar

• Frågan kan innehålla upp till 10 fält, så du måste projicera de fält som du vill använda.

• De planerade fälten måste innehålla fältet TimeGenerated för att den identifierade aktiviteten ska kunna läggas till i entitetens tidslinje.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Presentera aktiviteten i tidslinjen

För enkelhetens skull kanske du vill avgöra hur aktiviteten visas i tidslinjen genom att lägga till dynamiska parametrar i aktivitetsutdata.

Microsoft Sentinel tillhandahåller inbyggda parametrar som du kan använda, och du kan även använda andra baserat på de fält som du projicerade i frågan.

Använd följande format för dina parametrar: {{ParameterName}}

När aktivitetsfrågan har godkänts och visar länken Visa frågeresultat under frågefönstret kan du expandera avsnittet Tillgängliga värden för att visa de parametrar som du kan använda när du skapar en rubrik för dynamisk aktivitet.

Välj ikonen Kopiera bredvid en specifik parameter för att kopiera parametern till Urklipp så att du kan klistra in den i fältet Aktivitetsrubrik ovan.

Lägg till någon av följande parametrar i din fråga:

• Alla fält som du projicerade i frågan.

• Entitetsidentifierare för alla entiteter som nämns i frågan.

• StartTimeUTC, för att lägga till starttiden för aktiviteten i UTC-tid.

• EndTimeUTC, för att lägga till sluttiden för aktiviteten i UTC-tid.

• Count, för att sammanfatta flera KQL-frågeutdata till ett enda utdata.

  Parametern count lägger till följande kommando i din fråga i bakgrunden, även om det inte visas helt i redigeringsprogrammet:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  När du sedan använder bucketstorleksfiltret på entitetssidorna läggs följande kommando också till i frågan som körs i bakgrunden:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Till exempel:

När du är nöjd med din fråga och aktivitetsrubrik väljer du Nästa: Granska.

Fliken Granska och skapa

1. Kontrollera all konfigurationsinformation för din anpassade aktivitet.

2. När meddelandet Validering har skickats visas klickar du på Skapa för att skapa aktiviteten. Du kan redigera eller ändra det senare på fliken Mina aktiviteter .

Hantera dina aktiviteter

Hantera dina anpassade aktiviteter från fliken Mina aktiviteter . Klicka på ellipsen (...) i slutet av en aktivitets rad för att:

• Redigera aktiviteten.
• Duplicera aktiviteten för att skapa en ny, något annorlunda.
• Ta bort aktiviteten.
• Inaktivera aktiviteten (utan att ta bort den).

Visa aktiviteter på en entitetssida

När du anger en entitetssida körs alla aktiverade aktivitetsfrågor för den entiteten, vilket ger dig information om upp till minuten i entitetens tidslinje. Du ser aktiviteterna i tidslinjen, tillsammans med aviseringar och bokmärken.

Du kan använda innehållsfiltret Tidslinje för att endast visa aktiviteter (eller någon kombination av aktiviteter, aviseringar och bokmärken).

Du kan också använda filtret Aktiviteter för att presentera eller dölja specifika aktiviteter.

Nästa steg

I det här dokumentet har du lärt dig hur du skapar anpassade aktiviteter för tidslinjer för entitetssidan. Mer information om Microsoft Sentinel finns i följande artiklar:

• Hämta hela bilden på entitetssidor.
• Läs mer om UEBA (User and Entity Behavior Analytics).
• Se den fullständiga listan över entiteter och identifierare.