Anpassa aktiviteter på tidslinjer för entitetssidor
Viktigt
- Aktivitetsanpassning finns i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
- Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutom de aktiviteter som spåras och presenteras i tidslinjen av Microsoft Sentinel kan du även skapa andra aktiviteter som du vill hålla reda på och få dem presenterade på tidslinjen. Du kan skapa anpassade aktiviteter baserat på frågor om entitetsdata från alla anslutna datakällor. Följande exempel visar hur du kan använda den här funktionen:
Lägg till nya aktiviteter i entitetens tidslinje genom att ändra befintliga färdiga aktivitetsmallar.
Lägg till nya aktiviteter från anpassade loggar. Från en fysisk åtkomstkontrolllogg kan du till exempel lägga till en användares in- och utgångsaktiviteter för ett visst begränsat område , t.ex. ett serverrum, till användarens tidslinje.
- Användare av Microsoft Sentinel i Azure Portal väljer du fliken Azure Portal nedan.
- Användare av Microsoft Defender-portalen väljer fliken Defender-portalen .
På Microsoft Sentinel-navigeringsmenyn väljer du Entitetsbeteende.
På sidan Entitetsbeteende väljer du Sidan Anpassa entitet (förhandsversion) överst på skärmen.
På sidan Anpassa Sentinel-aktiviteter visas en lista över alla aktiviteter som du har skapat på fliken Mina aktiviteter . På fliken Aktivitetsmallar visas en samling aktiviteter som erbjuds direkt av Microsofts säkerhetsforskare. Det här är de aktiviteter som redan spåras och visas på tidslinjerna på dina entitetssidor.
Så länge du inte har skapat några användardefinierade aktiviteter visar entitetssidorna alla aktiviteter som visas under fliken Aktivitetsmallar .
När du har skapat eller anpassat en aktivitet visar entitetssidorna endast de aktiviteter som visas på fliken Mina aktiviteter .
Om du vill fortsätta att se de färdiga aktiviteterna på entitetssidorna måste du skapa en aktivitet för varje mall som du vill spåras och visas. Följ anvisningarna under "Skapa en aktivitet från en mall" nedan.
Välj fliken Aktivitetsmallar för att se de olika aktiviteter som är tillgängliga som standard. Du kan filtrera listan efter entitetstyp samt efter datakälla. Om du väljer en aktivitet i listan visas följande information i informationsfönstret:
En beskrivning av aktiviteten
Datakällan som tillhandahåller de händelser som utgör aktiviteten
Identifierarna som används för att identifiera entiteten i rådata
Frågan som resulterar i identifiering av den här aktiviteten
Välj Skapa aktivitet längst ned i informationsfönstret för att starta guiden skapa aktivitet.
Aktivitetsguiden – Skapa ny aktivitet från mallen öppnas, med fälten redan ifyllda från mallen. Du kan göra ändringar som du vill i konfigurationsflikarna Allmänt och Aktivitet, eller lämna allt som det är för att fortsätta visa aktiviteten som är out-of-the-box.
När du är nöjd väljer du fliken Granska och skapa . När du ser meddelandet Validering som skickats klickar du på knappen Skapa längst ned.
Klicka på Lägg till aktivitet överst på aktivitetssidan för att starta guiden för att skapa aktiviteter.
Guiden Aktivitet – Skapa ny aktivitet öppnas med fälten tomma.
Ange ett namn för din aktivitet (exempel: "användaren har lagts till i gruppen").
Ange en beskrivning av aktiviteten (exempel: "ändring av användargruppsmedlemskap baserat på Windows-händelse-ID 4728").
Välj vilken typ av entitet (användare eller värd) som den här frågan ska spåra.
Du kan filtrera efter ytterligare parametrar för att förfina frågan och optimera dess prestanda. Du kan till exempel filtrera efter Active Directory-användare genom att välja parametern IsDomainJoined och ange värdet till Sant.
Du kan välja den inledande statusen för aktiviteten till Aktiverad eller Inaktiverad.
Välj Nästa: Aktivitetskonfiguration för att gå vidare till nästa flik.
Här skriver eller klistrar du in den KQL-fråga som ska användas för att identifiera aktiviteten för den valda entiteten och bestämma hur den ska representeras i tidslinjen.
Viktigt
Vi rekommenderar att din fråga använder en ASIM-parsare (Advanced Security Information Model) och inte en inbyggd tabell. Detta säkerställer att frågan stöder alla aktuella eller framtida relevanta datakällor i stället för en enda datakälla.
För att korrelera händelser och identifiera den anpassade aktiviteten kräver KQL indata från flera parametrar, beroende på entitetstyp. Parametrarna är de olika identifierarna för den aktuella entiteten.
Det är bättre att välja en stark identifierare för att ha en-till-en-mappning mellan frågeresultatet och entiteten. Om du väljer en svag identifierare kan det ge felaktiga resultat. Läs mer om entiteter och starka eller svaga identifierare.
Följande tabell innehåller information om entiteternas identifierare.
Starka identifierare för konto- och värdentiteter
Minst en identifierare krävs i en fråga.
Enhet | Identifierare | beskrivning |
---|---|---|
Konto | Account_Sid | Det lokala SID:et för kontot i Active Directory |
Account_AadUserId | Microsoft Entra-objekt-ID för användaren i Microsoft Entra-ID | |
Account_Name + Account_NTDomain | Liknar SamAccountName (exempel: Contoso\Joe) | |
Account_Name + Account_UPNSuffix | Liknar UserPrincipalName (exempel: Joe@Contoso.com) | |
Värd | Host_HostName + Host_NTDomain | liknar fullständigt kvalificerade domännamn (FQDN) |
Host_HostName + Host_DnsDomain | liknar fullständigt kvalificerade domännamn (FQDN) | |
Host_NetBiosName + Host_NTDomain | liknar fullständigt kvalificerade domännamn (FQDN) | |
Host_NetBiosName + Host_DnsDomain | liknar fullständigt kvalificerade domännamn (FQDN) | |
Host_AzureID | Microsoft Entra-objekt-ID för värden i Microsoft Entra-ID (om Microsoft Entra-domänen är ansluten) | |
Host_OMSAgentID | OMS-agentens ID för agenten som är installerad på en specifik värd (unik per värd) |
Baserat på den valda entiteten visas tillgängliga identifierare. Om du klickar på relevanta identifierare klistrar du in identifieraren i frågan på markörens plats.
Anteckning
Frågan kan innehålla upp till 10 fält, så du måste projicera de fält som du vill använda.
De planerade fälten måste innehålla fältet TimeGenerated för att den identifierade aktiviteten ska kunna läggas till i entitetens tidslinje.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
För enkelhetens skull kanske du vill avgöra hur aktiviteten visas i tidslinjen genom att lägga till dynamiska parametrar i aktivitetsutdata.
Microsoft Sentinel tillhandahåller inbyggda parametrar som du kan använda, och du kan även använda andra baserat på de fält som du projicerade i frågan.
Använd följande format för dina parametrar: {{ParameterName}}
När aktivitetsfrågan har godkänts och visar länken Visa frågeresultat under frågefönstret kan du expandera avsnittet Tillgängliga värden för att visa de parametrar som du kan använda när du skapar en rubrik för dynamisk aktivitet.
Välj ikonen Kopiera bredvid en specifik parameter för att kopiera parametern till Urklipp så att du kan klistra in den i fältet Aktivitetsrubrik ovan.
Lägg till någon av följande parametrar i din fråga:
Alla fält som du projicerade i frågan.
Entitetsidentifierare för alla entiteter som nämns i frågan.
StartTimeUTC
, för att lägga till starttiden för aktiviteten i UTC-tid.EndTimeUTC
, för att lägga till sluttiden för aktiviteten i UTC-tid.Count
, för att sammanfatta flera KQL-frågeutdata till ett enda utdata.Parametern
count
lägger till följande kommando i din fråga i bakgrunden, även om det inte visas helt i redigeringsprogrammet:Summarize count() by <each parameter you’ve projected in the activity>
När du sedan använder bucketstorleksfiltret på entitetssidorna läggs följande kommando också till i frågan som körs i bakgrunden:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Till exempel:
När du är nöjd med din fråga och aktivitetsrubrik väljer du Nästa: Granska.
Kontrollera all konfigurationsinformation för din anpassade aktivitet.
När meddelandet Validering har skickats visas klickar du på Skapa för att skapa aktiviteten. Du kan redigera eller ändra det senare på fliken Mina aktiviteter .
Hantera dina anpassade aktiviteter från fliken Mina aktiviteter . Klicka på ellipsen (...) i slutet av en aktivitets rad för att:
- Redigera aktiviteten.
- Duplicera aktiviteten för att skapa en ny, något annorlunda.
- Ta bort aktiviteten.
- Inaktivera aktiviteten (utan att ta bort den).
När du anger en entitetssida körs alla aktiverade aktivitetsfrågor för den entiteten, vilket ger dig information om upp till minuten i entitetens tidslinje. Du ser aktiviteterna i tidslinjen, tillsammans med aviseringar och bokmärken.
Du kan använda innehållsfiltret Tidslinje för att endast visa aktiviteter (eller någon kombination av aktiviteter, aviseringar och bokmärken).
Du kan också använda filtret Aktiviteter för att presentera eller dölja specifika aktiviteter.
I det här dokumentet har du lärt dig hur du skapar anpassade aktiviteter för tidslinjer för entitetssidan. Mer information om Microsoft Sentinel finns i följande artiklar:
- Hämta hela bilden på entitetssidor.
- Läs mer om UEBA (User and Entity Behavior Analytics).
- Se den fullständiga listan över entiteter och identifierare.