自定義實體頁面時程表上的活動

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

重要

• 活動自定義處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
• Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

簡介

除了由 Microsoft Sentinel 現成可用的活動在時程表中追蹤和呈現的活動之外，您還可以建立您想要追蹤的任何其他活動，並在時程表上呈現它們。 您可以根據來自任何已連線數據源之實體數據的查詢來建立自定義活動。 下列範例示範如何使用這項功能：

• 藉由修改現有的現用活動範本，將新活動新增至實體時程表。

• 從自訂記錄新增活動。 例如，從實體訪問控制記錄，您可以將特定限制區域的進入和結束活動新增至用戶的時程表。

開始使用

• Azure 入口網站 中的 Microsoft Sentinel 使用者，請選取下方的 [Azure 入口網站] 索引標籤。
• Microsoft Defender 入口網站中統一安全性作業平臺的用戶，選取 [Defender 入口網站] 索引標籤 。

Azure 入口網站

1. 從 [Microsoft Sentinel] 導覽功能表中，選取 [ 實體行為]。

2. 在 [ 實體行為] 頁面上，選取畫面頂端的 [ 自定義實體頁面][預覽 ]。

   

Defender 入口網站

1. 在 Microsoft Defender 入口網站中，尋找任何實體頁面。

   1. 選取 [資產裝置] 或 [身分識別]。>
   2. 從清單中選取裝置或使用者。 如果您選取使用者，請在下列彈出視窗中選取 [ 檢視使用者] 頁面 。

2. 在實體頁面上，選取 [Sentinel 事件] 索引 卷標。

3. 在 [ Sentinel 事件] 索引 標籤上，選取 [ 自定義 Sentinel 活動]。

在 [ 自定義 Sentinel 活動 ] 頁面上，您會看到您在 [我的活動] 索引卷標中 建立的任何活動 清單。在 [ 活動範本] 索引標籤中，您會看到 Microsoft 安全性研究人員提供的現用活動集合。 這些活動已在實體頁面中的時程表上追蹤和顯示。

• 只要您尚未建立任何使用者定義的活動，您的實體頁面就會顯示 [活動範本] 索引標籤下所列的所有活動。

• 建立或自定義活動之後，您的實體頁面只會顯示那些出現在 [我的活動] 索引標籤中的活動。

• 如果您想要繼續查看實體頁面中的現成活動，您必須為想要追蹤和顯示的每個範本建立活動。 遵循下方的「從範本建立活動」底下的指示。

從範本建立活動

1. 選取 [ 活動範本] 索引標籤，以查看預設可用的各種活動。 您可以依實體類型和資料源篩選清單。 從清單中選取活動將會在詳細資料窗格中顯示下列資訊：

   • 活動的描述

   • 提供構成活動的事件的數據源

   • 用來識別原始數據中實體的標識碼

   • 導致偵測此活動的查詢

2. 選取 詳細數據窗格底部的 [建立活動 ] 以啟動活動建立精靈。

   Azure 入口網站

   

   Defender 入口網站

   

   當您在 Defender 入口網站中選取 [建立活動] 時，系統會將您重新導向至新索引標籤中 Azure 入口網站 中的 Microsoft Sentinel 活動精靈。

3. [ 活動精靈 - 從範本 建立新活動] 隨即開啟，其字段已從範本填入。 您可以在 [一般] 和 [活動組態] 索引標籤中進行變更，或讓所有專案保持為繼續檢視現成的活動。

4. 當您滿意時，請選取 [ 檢閱並建立] 索引標籤 。當您看到 [驗證通過 ] 訊息時，請按兩下底部的 [ 建立] 按鈕。

從頭開始建立活動

從活動頁面頂端，按兩下 [ 新增活動 ] 以啟動活動建立精靈。

[ 活動精靈 - 建立新活動 ] 隨即開啟，其字段為空白。

[一般] 索引標籤

1. 輸入活動的名稱（例如：「使用者已新增至群組」）。

2. 輸入活動的描述（例如：「根據 Windows 事件識別碼 4728 變更使用者群組成員資格」）。

3. 選取此查詢將追蹤的實體類型（使用者或主機）。

4. 您可以依其他參數進行篩選，以協助精簡查詢並優化其效能。 例如，您可以選擇 IsDomainJoined 參數，並將值設定為 True，以篩選 Active Directory 使用者。

5. 您可以選取活動的初始狀態為 [已啟用] 或 [已停用]。

6. 選取 [下一步：活動組態 ] 以繼續進行下一個索引標籤。

   

[活動組態] 索引標籤

撰寫活動查詢

在這裡，您將撰寫或貼上將用來偵測所選實體活動的 KQL 查詢，並判斷其如何在時間軸中呈現。

重要

我們建議您的查詢使用 進階安全性資訊模型 （ASIM） 剖析器 ，而不是內建數據表。 這可確保查詢將支援任何目前或未來的相關數據源，而不是單一數據源。

為了讓事件相互關聯並偵測自定義活動，KQL 需要數個參數的輸入，視實體類型而定。 參數是有問題的實體的各種標識碼。

選取強標識碼比較好，以便讓查詢結果與實體之間有一對一的對應。 選取弱式標識碼可能會產生不正確的結果。 深入瞭解實體和強式與弱式標識符。

下表提供實體標識碼的相關信息。

帳戶和主機實體的強標識符

查詢中至少需要一個標識碼。

實體	識別碼	描述
帳戶	Account_Sid	Active Directory 中帳戶的內部部署 SID
	Account_AadUserId	Microsoft Entra ID 中使用者的 Microsoft Entra 對象識別碼
	Account_Name + Account_NTDomain	類似於 SamAccountName （範例：Contoso\Joe）
	Account_Name + Account_UPNSuffix	類似於 UserPrincipalName （範例： Joe@Contoso.com）
主機	Host_HostName + Host_NTDomain	類似於完整功能變數名稱 （FQDN）
	Host_HostName + Host_DnsDomain	類似於完整功能變數名稱 （FQDN）
	Host_NetBiosName + Host_NTDomain	類似於完整功能變數名稱 （FQDN）
	Host_NetBiosName + Host_DnsDomain	類似於完整功能變數名稱 （FQDN）
	Host_AzureID	Microsoft Entra ID 中主機的 Microsoft Entra 物件標識碼（如果已加入 Microsoft Entra 網域）
	Host_OMSAgentID	安裝在特定主機上之代理程式的 OMS 代理程式識別碼（每個主機是唯一的）

根據選取的實體，您會看到可用的標識碼。 按兩下相關的識別碼會將識別碼貼到查詢中，位於數據指標的位置。

注意

• 查詢最多可以包含 10 個字段，因此您必須投影所需的欄位。

• 投影的欄位必須包含 TimeGenerated 欄位，才能將偵測到的活動放在實體的時程表中。

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

在時間軸中呈現活動

為了方便起見，您可能想要藉由將動態參數新增至活動輸出，來判斷時間軸中的活動呈現方式。

Microsoft Sentinel 提供內建參數供您使用，您也可以根據您在查詢中投影的欄位使用其他人。

針對您的參數使用下列格式： {{ParameterName}}

活動查詢通過驗證並顯示 查詢視窗下方的 [檢視查詢結果 ] 鏈接之後，您可以展開 [可用的值 ] 區段，以檢視建立動態活動標題時可供您使用的參數。

選取特定參數旁的 [複製] 圖示，將該參數複製到剪貼簿，以便您將它貼到上方的 [活動標題] 字段中。

將下列任何參數新增至您的查詢：

• 您在查詢中投影的任何欄位。

• 查詢中提及之任何實體的實體標識碼。

• StartTimeUTC，以 UTC 時間新增活動的開始時間。

• EndTimeUTC，以 UTC 時間新增活動的結束時間。

• Count，以摘要將數個 KQL 查詢輸出匯總成單一輸出。

  參數 count 會在背景中將下列命令新增至您的查詢，即使它未完全顯示在編輯器中：

  Summarize count() by <each parameter you’ve projected in the activity>
  

  然後，當您在實體頁面中使用 Bucket Size 篩選時，下列命令也會新增至在背景執行的查詢：

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

例如：

當您滿意查詢和活動標題時，請選取 [下一步：檢閱]。

檢閱及建立索引標籤

1. 確認自定義活動的所有組態資訊。

2. 當 [驗證通過的訊息] 出現時，按兩下 [建立] 以建立活動。 您可以在稍後的 [我的活動] 索引標籤中編輯或變更它。

管理您的活動

從 [ 我的活動] 索引標籤管理您的自訂活動。按兩下活動列結尾的省略號 （...），以：

• 編輯活動。
• 複製活動以建立新的、稍微不同的活動。
• 刪除活動。
• 停用活動（但不刪除活動）。

檢視實體頁面中的活動

每當您輸入實體頁面時，該實體的所有已啟用活動查詢都會執行，讓您在實體時程表中提供最新資訊。 您會在時程表中看到活動，以及警示和書籤。

您可以使用 時間軸內容 篩選來只呈現活動（或活動、警示和書籤的任何組合）。

您也可以使用 [ 活動 ] 篩選來呈現或隱藏特定活動。

下一步

在本檔中，您已瞭解如何建立實體頁面時程表的自定義活動。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 取得實體頁面上的完整圖片。
• 深入了解啟用使用者與實體行為分析 (UEBA)。
• 請參閱實體和識別碼的完整清單。