在實體分頁時間軸上自訂活動

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

重要

• 活動自訂目前為預覽版。 請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
• Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

簡介

除了 Microsoft Sentinel 現成時間軸中追蹤和呈現的活動之外，您也可以建立您想要追蹤的任何其他活動，並在時間軸上呈現它們。 您可以根據來自任何已連接資料來源之實體資料的查詢來建立自訂活動。 下列範例將示範如何使用這項功能：

• 您可以修改現有的現成活動範本，以將新活動新增至實體時間軸。

• 透過自訂記錄新增活動。 舉例來說，您可以透過實體存取控制記錄，將特定限制區域 (伺服器機房) 的使用者進入和離開活動新增至使用者的時間軸。

開始使用

• Azure 入口網站中 Microsoft Sentinel 的使用者，請選取下方的 [Azure 入口網站] 索引標籤。
• Microsoft Defender 入口網站中整合安全性作業平台的使用者，選取 [Defender 入口網站] 索引標籤。

Azure 入口網站

1. 從 Microsoft Sentinel 導覽功能表中，選取 [實體行為]。

2. 在 [實體行為] 刀鋒視窗中，選取畫面頂端的 [自訂實體 (預覽)] 頁面。

   

Defender 入口網站

1. 在 Microsoft Defender 入口網站中，尋找任何實體頁面。

   1. 選取 [資產>裝置] 或 [身分識別]。
   2. 從清單中選取裝置或使用者。 如果您選取使用者，請在下列快顯視窗中選取 [檢視使用者] 頁面。

2. 在實體頁面上，選取 [Sentinel 事件] 索引標籤。

3. 在 [Sentinel 事件] 索引標籤上，選取 [自訂 Sentinel 活動]。

在 [自訂 Sentinel 活動] 頁面上，您將看見在 [我的活動] 索引標籤中建立的任何活動清單。在 [活動範本] 索引標籤中，您會看到 Microsoft 安全性研究人員提供的現用活動集合。 這些是已經在實體頁面的時間軸上追蹤和顯示的活動。

• 只要您尚未建立任何使用者定義的活動，您的實體頁面就會顯示 [活動範本] 索引標籤所列的全部活動。

• 建立或自訂活動之後，您的實體頁面只會顯示出現在 [我的活動] 索引標籤中的活動。

• 如果您想要繼續在實體頁面中看到現成活動，您必須針對每一個想要追蹤和顯示的範本建立活動。 請遵循下文「從範本建立活動」下方的指示。

從範本建立活動

1. 選取 [活動範本] 索引標籤以查看各種預設可用的活動。 您可以根據實體類型和資料來源來篩選清單。 從清單中選取活動，將在詳細資料窗格中顯示下列資訊：

   • 活動的描述

   • 提供構成活動之事件的資料來源

   • 用於在未經處理的資料中識別實體的識別碼

   • 導致偵測此活動的查詢

2. 選取詳細資料窗格底部的 [建立活動] 啟動活動建立精靈。

   Azure 入口網站

   

   Defender 入口網站

   

   您在 Defender 入口網站中選取 [建立活動] 時，系統會在新索引標籤中重新導向至 Azure 入口網站中的 [Microsoft Sentinel 活動精靈]。

3. [活動精靈 - 從範本建立新活動] 將會開啟，其中的欄位已透過範本填入。 您可以在 [一般] 和 [活動設定] 索引標籤中隨意進行變更，或保持原狀以繼續檢視現成的活動。

4. 當您滿意時，請選取 [檢閱並建立] 索引標籤。當您看到 [驗證通過] 訊息時，請按一下底部的 [建立] 按鈕。

從頭開始建立活動

從 [活動] 頁面的頂端，按一下 [新增活動] 以啟動活動建立精靈。

[活動精靈 - 建立新活動] 將會開啟，而其中的欄位會是空白的。

[一般] 索引標籤

1. 輸入活動的名稱 (範例：「使用者已新增至群組」)。

2. 輸入活動的描述 (範例：「根據 Windows 事件識別碼 4728 變更使用者群組成員資格」)。

3. 選取此查詢將追蹤的實體類型 (使用者或主機)。

4. 您可以用其他參數進行篩選以精簡查詢並最佳化其效能。 例如，您可以選擇 IsDomainJoined 參數並將其值設為 True 以篩選 Active Directory 使用者。

5. 您可以將活動的初始狀態設為 [已啟用] 或 [已停用]。

6. 選取 [下一步：活動設定] 以繼續前往下一個索引標籤。

   

[活動設定] 索引標籤

撰寫活動查詢

在這裡，您將會撰寫或貼上 KQL 查詢以偵測選定實體的活動，並決定如何在時間軸中呈現它。

重要

我們建議您的查詢使用進階安全性資訊模型 (ASIM) 剖析器，而非內建資料表。 這可確保查詢將支援任何目前或未來的相關資料來源，而非單一資料來源。

為了將事件相互關聯並偵測自訂活動，KQL 的輸入需要幾個參數，具體視實體類型而定。 此參數是相關實體的各種識別碼。

為了讓查詢結果和實體之間有一對一的對應關係，選用強式識別碼比較好。 選用弱式識別碼可能會產生不正確的結果。 深入了解實體和強式與弱式識別碼。

下表提供有關實體識別碼的資訊。

帳戶和主機實體的強式識別碼

查詢中至少需要一個識別碼。

實體	識別碼	描述
帳戶	Account_Sid	Active Directory 中帳戶的內部部署 SID
	Account_AadUserId	Microsoft Entra ID 中使用者的 Microsoft Entra 物件識別碼
	Account_Name + Account_NTDomain	與 SamAccountName 類似 (範例：Contoso\Joe)
	Account_Name + Account_UPNSuffix	類似 UserPrincipalName (範例：Joe@Contoso.com)
主機	Host_HostName + Host_NTDomain	與完整網域名稱 (FQDN) 類似
	Host_HostName + Host_DnsDomain	與完整網域名稱 (FQDN) 類似
	Host_NetBiosName + Host_NTDomain	與完整網域名稱 (FQDN) 類似
	Host_NetBiosName + Host_DnsDomain	與完整網域名稱 (FQDN) 類似
	Host_AzureID	Microsoft Entra ID 中主機的 Microsoft Entra 物件識別碼 (如果已加入 Microsoft Entra 網域)
	Host_OMSAgentID	安裝在特定主機上之代理程式的 OMS 代理程式識別碼 (每台主機均不同)

根據所選取的實體，您會看到可用的識別碼。 按一下相關識別碼可以將會將識別碼貼到查詢中 (游標所在的位置)。

注意

• 查詢最多可以包含 10 個欄位，因此您必須預估您想要的欄位。

• 預估欄位必須包含 TimeGenerated 欄位，以便將偵測到的活動放入實體的時間軸。

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

在時間軸上呈現活動

為了方便起見，您可能想要將動態參數新增至活動輸出，以判斷活動在時間軸中的呈現方式。

Microsoft Sentinel 提供內建參數供您使用，您也可以根據您在查詢中預估的欄位使用其他參數。

為您的參數使用以下格式：{{ParameterName}}

活動查詢通過驗證，並且在查詢視窗下方顯示 [檢視查詢結果] 連結之後，您可以展開 [可用值] 區段以檢視建立動態活動標題時可使用的參數。

選取參數旁邊的 [複製] 圖示以將該參數複製到剪貼簿，以便將其貼到上方的 [活動標題] 欄位中。

將下列任一參數新增至您的查詢：

• 您在查詢中預估的任何欄位。

• 任何在查詢中提及之實體的實體識別碼。

• StartTimeUTC，以新增活動的開始時間 (國際標準時間)。

• EndTimeUTC，以新增活動的結束時間 (國際標準時間)。

• Count，將數個 KQL 查詢的輸出總結為單一輸出。

  參數 count 會將下列命令新增到在背景中執行的查詢，即使它未完全顯示於編輯器也一樣：

  Summarize count() by <each parameter you’ve projected in the activity>
  

  然後，當您在實體頁面中使用 [貯體大小] 篩選條件時，也會將下列命令新增到在背景中執行的查詢：

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

例如：

對您的查詢和活動標題感到滿意之後，請選取 [下一步：檢閱]。

檢閱及建立索引標籤

1. 驗證自訂活動的所有設定資訊。

2. 當 [驗證通過] 的訊息出現時，按一下 [建立] 以建立活動。 您稍後可以在 [我的活動] 索引標籤中編輯或修改它。

管理您的活動

從 [我的活動] 索引標籤管理您的自訂活動。點選活動資料列結尾的省略號 (...)，以：

• 編輯活動。
• 複製活動以建立稍微不同的新活動。
• 刪除活動。
• 停用活動 (而不刪除)。

檢視實體頁面中的活動

每當您進入實體頁面時，該實體所有已啟用的活動查詢都會執行，以提供實體時間軸中的最新資訊。 您可以看到時間軸中的活動、警示和書簽。

您可以使用 [時間軸內容] 篩選條件來限制只呈現活動 (或任何活動、警示和書籤的組合)。

您也可以利用 [活動] 篩選條件來呈現或隱藏特定活動。

下一步

在本文件中，您已了解如何為實體頁面時間表建立自訂活動。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 徹底了解實體頁面。
• 深入了解啟用使用者與實體行為分析 (UEBA)。
• 請參閱實體和識別碼的完整清單。