Megosztás a következőn keresztül:

Tevékenységek testreszabása az entitásoldal idővonalán

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Fontos

  • A tevékenység testreszabása előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
  • A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Bevezetés

A Microsoft Sentinel által az ütemtervben nyomon követett és bemutatott tevékenységek mellett bármilyen más tevékenységet is létrehozhat, amelyet nyomon szeretne követni, és az ütemterven is bemutathatja őket. A csatlakoztatott adatforrásokból származó entitásadatok lekérdezései alapján testre szabott tevékenységeket hozhat létre. Az alábbi példák bemutatják, hogyan használhatja ezt a képességet:

  • Adjon hozzá új tevékenységeket az entitás ütemtervéhez a meglévő beépített tevékenységsablonok módosításával.

  • Új tevékenységek hozzáadása egyéni naplókból. Egy fizikai hozzáférés-vezérlési naplóból például hozzáadhatja a felhasználó belépési és kilépési tevékenységeit egy adott korlátozott területhez – például egy kiszolgálóteremhez – a felhasználó idővonalához.

Első lépések

  • A Microsoft Sentinel felhasználói az Azure Portalon válassza az alábbi Azure Portal lapot.
  • A Microsoft Defender portál felhasználói válassza a Defender portál lapját.

  1. A Microsoft Sentinel navigációs menüjében válassza az Entitás viselkedése lehetőséget.

  2. Az Entitás viselkedése lapon válassza az Entitás testreszabása lap (előzetes verzió) lehetőséget a képernyő tetején.

    Entitás viselkedési lapja

A Sentinel-tevékenységek testreszabása lapon megjelenik a Saját tevékenységek lapon létrehozott tevékenységek listája. A Tevékenységsablonok lapon láthatja a Microsoft biztonsági kutatói által kínált tevékenységek gyűjteményét. Ezek azok a tevékenységek, amelyeket már nyomon követnek és megjelennek az entitásoldalak idővonalain.

  • Ha nem hozott létre felhasználó által definiált tevékenységeket, az entitásoldalak megjelenítik a Tevékenységsablonok lapon felsorolt összes tevékenységet.

  • Egy tevékenység létrehozása vagy testreszabása után az entitásoldalak csak azokat a tevékenységeket jelenítik meg, amelyek a Saját tevékenységek lapon jelennek meg.

  • Ha továbbra is látni szeretné az entitásoldalakon a nem beépített tevékenységeket, minden követendő és megjelenítendő sablonhoz létre kell hoznia egy tevékenységet. Kövesse az alábbi "Tevékenység létrehozása sablonból" című szakasz utasításait.

Tevékenység létrehozása sablonból

  1. A Tevékenységsablonok lapon alapértelmezés szerint megtekintheti a különböző tevékenységeket. A listát entitástípus és adatforrás szerint is szűrheti. Ha kiválaszt egy tevékenységet a listából, a következő információk jelennek meg a részletek panelen:

    • A tevékenység leírása

    • A tevékenységet alkotó eseményeket biztosító adatforrás

    • A nyers adatokban lévő entitás azonosításához használt azonosítók

    • A tevékenység észlelését eredményező lekérdezés

  2. A tevékenységlétrehozó varázsló elindításához válassza a Tevékenység létrehozása a részletek panel alján lehetőséget.

    Képernyőkép a tevékenységsablonok listájáról az Azure Portalon.

  3. Megnyílik a Tevékenység varázsló – Új tevékenység létrehozása sablonból , amelynek mezői már ki van töltve a sablonból. Az Általános és tevékenységkonfiguráció lapon tetszés szerint végezhet módosításokat, vagy mindent hagyhat, hogy továbbra is megtekintse a beépített tevékenységet.

  4. Ha elégedett, válassza a Véleményezés és létrehozás lapot. Amikor megjelenik az Ellenőrzés átadott üzenet, kattintson a Létrehozás gombra az alján.

Tevékenység létrehozása az alapoktól

A tevékenységek lap tetején kattintson a Tevékenység hozzáadása elemre a tevékenységlétrehozás varázsló elindításához.

Megnyílik a Tevékenység varázsló – Új tevékenység létrehozása, amelynek mezői üresek.

Általános lap

  1. Adja meg a tevékenység nevét (például:"felhasználó hozzáadva a csoporthoz").

  2. Adja meg a tevékenység leírását (például: "a felhasználói csoport tagságának módosítása a Windows 4728-os eseményazonosítója alapján").

  3. Válassza ki, hogy a lekérdezés milyen típusú entitást (felhasználót vagy gazdagépet) követ nyomon.

  4. A lekérdezés pontosításához és teljesítményének optimalizálásához további paraméterek alapján is szűrhet. Szűrhet például az Active Directory-felhasználókra az IsDomainJoined paraméter kiválasztásával és az érték Igaz értékre állításával.

  5. A tevékenység kezdeti állapotát engedélyezve vagy letiltva adhatja meg.

  6. Válassza a Tovább elemet : Tevékenységkonfiguráció a következő lapra lépéshez.

    Képernyőkép – Új tevékenység létrehozása

Tevékenységkonfiguráció lap

A tevékenység lekérdezésének írása

Itt írja vagy illessze be a KQL-lekérdezést, amely a kiválasztott entitás tevékenységének észlelésére szolgál, és meghatározza, hogyan jelenik meg az ütemtervben.

Fontos

Javasoljuk, hogy a lekérdezés az Advanced Security Information Model (ASIM) elemzőt használja, és ne egy beépített táblát. Ez biztosítja, hogy a lekérdezés egyetlen adatforrás helyett minden aktuális vagy jövőbeli releváns adatforrást támogatjon.

Az események korrelációja és az egyéni tevékenység észlelése érdekében a KQL több paraméter bemenetét igényli az entitás típusától függően. A paraméterek a kérdéses entitás különböző azonosítói.

Az erős azonosító kiválasztása jobb, ha egy-az-egyhez megfeleltetést szeretne létrehozni a lekérdezés eredményei és az entitás között. A gyenge azonosító kiválasztása pontatlan eredményeket eredményezhet. További információ az entitásokról és az erős és a gyenge azonosítókról.

Az alábbi táblázat információkat tartalmaz az entitások azonosítóiról.

Erős azonosítók fiók- és gazdagépentitásokhoz

Egy lekérdezéshez legalább egy azonosító szükséges.

Entitás Azonosító Leírás
Számla Account_Sid A fiók helyszíni SID-azonosítója az Active Directoryban
Account_AadUserId A felhasználó Microsoft Entra-objektumazonosítója a Microsoft Entra-azonosítóban
Account_Name + Account_NTDomain Hasonló a SamAccountName-hoz (például: Contoso\Joe)
Account_Name + Account_UPNSuffix Hasonló a UserPrincipalName névhez (például: Joe@Contoso.com)
Gazdagép Host_HostName + Host_NTDomain hasonló a teljes tartománynévhez (FQDN)
Host_HostName + Host_DnsDomain hasonló a teljes tartománynévhez (FQDN)
Host_NetBiosName + Host_NTDomain hasonló a teljes tartománynévhez (FQDN)
Host_NetBiosName + Host_DnsDomain hasonló a teljes tartománynévhez (FQDN)
Host_AzureID a gazdagép Microsoft Entra-objektumazonosítója a Microsoft Entra-azonosítóban (ha a Microsoft Entra tartomány csatlakozik)
Host_OMSAgentID egy adott gazdagépre telepített ügynök OMS-ügynökazonosítója (gazdagépenként egyedi)

A kiválasztott entitás alapján megjelennek az elérhető azonosítók. A megfelelő azonosítókra kattintva illessze be az azonosítót a lekérdezésbe a kurzor helyén.

Feljegyzés

  • A lekérdezés legfeljebb 10 mezőt tartalmazhat, ezért ki kell vetítenie a kívánt mezőket.

  • A tervezett mezőknek tartalmazniuk kell a TimeGenerated mezőt, hogy az észlelt tevékenységet az entitás ütemtervében lehessen elhelyezni.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Képernyőkép – Lekérdezés megadása a tevékenység észleléséhez

A tevékenység bemutatása az ütemtervben

A kényelem kedvéért érdemes lehet meghatározni, hogyan jelenik meg a tevékenység az ütemtervben, ha dinamikus paramétereket ad hozzá a tevékenység kimenetéhez.

A Microsoft Sentinel beépített paramétereket biztosít a használathoz, és másokat is használhat a lekérdezésben előre jelzett mezők alapján.

A paraméterekhez használja a következő formátumot: {{ParameterName}}

Miután a tevékenység-lekérdezés megfelelt az ellenőrzésnek, és a lekérdezés ablaka alatt megjeleníti a Lekérdezés eredményeinek megtekintése hivatkozást, kibonthatja az Elérhető értékek szakaszt, hogy megtekintse a dinamikus tevékenységcím létrehozásakor használható paramétereket.

Egy adott paraméter melletti Másolás ikonra kattintva másolja a paramétert a vágólapra, hogy be tudja illeszteni a fenti Tevékenység cím mezőjébe.

Adja hozzá a következő paraméterek bármelyikét a lekérdezéshez:

  • A lekérdezésben előre jelzett bármely mező.

  • A lekérdezésben említett entitások entitásazonosítói.

  • StartTimeUTC, a tevékenység kezdési időpontjának hozzáadásához UTC-időpontban.

  • EndTimeUTC, a tevékenység befejezési időpontjának hozzáadásához UTC-időpontban.

  • Counttöbb KQL-lekérdezés kimenetének egyetlen kimenetben való összegzéséhez.

    A count paraméter a következő parancsot adja hozzá a lekérdezéshez a háttérben, még akkor is, ha az nem jelenik meg teljesen a szerkesztőben:

    Summarize count() by <each parameter you’ve projected in the activity>

    Ezután, amikor a Gyűjtőméret szűrőt használja az entitásoldalakon, a rendszer a következő parancsot is hozzáadja a háttérben futó lekérdezéshez:

    Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)

Példa:

Képernyőkép – A tevékenység címéhez elérhető értékek megtekintése

Ha elégedett a lekérdezés és a tevékenység címével, válassza a Tovább: Véleményezés lehetőséget.

Az előző példákban használt alábbi elemekről további információt a Kusto dokumentációjában talál:

A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.

Egyéb erőforrások:

Véleményezés és létrehozás lap

  1. Ellenőrizze az egyéni tevékenység összes konfigurációs információját.

  2. Amikor megjelenik az Ellenőrzés átadott üzenet, kattintson a Létrehozás gombra a tevékenység létrehozásához. Később a Saját tevékenységek lapon szerkesztheti vagy módosíthatja.

Tevékenységek kezelése

Az egyéni tevékenységek kezelése a Saját tevékenységek lapon. Kattintson a tevékenység sorának végén található három pontra (...) a következőhöz:

  • Szerkessze a tevékenységet.
  • Duplikálja a tevékenységet egy új, kissé eltérő létrehozásához.
  • Törölje a tevékenységet.
  • Tiltsa le a tevékenységet (törlés nélkül).

Tevékenységek megtekintése egy entitáslapon

Amikor beír egy entitásoldalt, az adott entitás összes engedélyezett tevékenység-lekérdezése lefut, és az entitás idővonalán naprakész információkat biztosít. A tevékenységeket a riasztások és könyvjelzők mellett az idővonalon is láthatja.

Az Ütemterv tartalomszűrővel csak tevékenységeket (vagy tevékenységek, riasztások és könyvjelzők bármilyen kombinációját) jeleníthet meg.

A Tevékenységek szűrővel is megjeleníthet vagy elrejthet bizonyos tevékenységeket.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan hozhat létre egyéni tevékenységeket az entitáslap idővonalaihoz. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

  • A teljes kép lekérése entitásoldalakon.
  • További információ a felhasználó- és entitásviselkedés-elemzésről (UEBA).
  • Tekintse meg az entitások és azonosítók teljes listáját.