Tevékenységek testreszabása az entitásoldal idővonalán
Fontos
- A tevékenység testreszabása előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
- A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Bevezetés
A Microsoft Sentinel által az ütemtervben nyomon követett és bemutatott tevékenységek mellett bármilyen más tevékenységet is létrehozhat, amelyet nyomon szeretne követni, és az ütemterven is bemutathatja őket. A csatlakoztatott adatforrásokból származó entitásadatok lekérdezései alapján testre szabott tevékenységeket hozhat létre. Az alábbi példák bemutatják, hogyan használhatja ezt a képességet:
Adjon hozzá új tevékenységeket az entitás ütemtervéhez a meglévő beépített tevékenységsablonok módosításával.
Új tevékenységek hozzáadása egyéni naplókból. Egy fizikai hozzáférés-vezérlési naplóból például hozzáadhatja a felhasználó belépési és kilépési tevékenységeit egy adott korlátozott területhez – például egy kiszolgálóteremhez – a felhasználó idővonalához.
Első lépések
- A Microsoft Sentinel felhasználói az Azure Portalon válassza az alábbi Azure Portal lapot.
- A Microsoft Defender portál felhasználói válassza a Defender portál lapját.
A Microsoft Sentinel navigációs menüjében válassza az Entitás viselkedése lehetőséget.
Az Entitás viselkedése lapon válassza az Entitás testreszabása lap (előzetes verzió) lehetőséget a képernyő tetején.
A Sentinel-tevékenységek testreszabása lapon megjelenik a Saját tevékenységek lapon létrehozott tevékenységek listája. A Tevékenységsablonok lapon láthatja a Microsoft biztonsági kutatói által kínált tevékenységek gyűjteményét. Ezek azok a tevékenységek, amelyeket már nyomon követnek és megjelennek az entitásoldalak idővonalain.
Ha nem hozott létre felhasználó által definiált tevékenységeket, az entitásoldalak megjelenítik a Tevékenységsablonok lapon felsorolt összes tevékenységet.
Egy tevékenység létrehozása vagy testreszabása után az entitásoldalak csak azokat a tevékenységeket jelenítik meg, amelyek a Saját tevékenységek lapon jelennek meg.
Ha továbbra is látni szeretné az entitásoldalakon a nem beépített tevékenységeket, minden követendő és megjelenítendő sablonhoz létre kell hoznia egy tevékenységet. Kövesse az alábbi "Tevékenység létrehozása sablonból" című szakasz utasításait.
Tevékenység létrehozása sablonból
A Tevékenységsablonok lapon alapértelmezés szerint megtekintheti a különböző tevékenységeket. A listát entitástípus és adatforrás szerint is szűrheti. Ha kiválaszt egy tevékenységet a listából, a következő információk jelennek meg a részletek panelen:
A tevékenység leírása
A tevékenységet alkotó eseményeket biztosító adatforrás
A nyers adatokban lévő entitás azonosításához használt azonosítók
A tevékenység észlelését eredményező lekérdezés
A tevékenységlétrehozó varázsló elindításához válassza a Tevékenység létrehozása a részletek panel alján lehetőséget.
Megnyílik a Tevékenység varázsló – Új tevékenység létrehozása sablonból , amelynek mezői már ki van töltve a sablonból. Az Általános és tevékenységkonfiguráció lapon tetszés szerint végezhet módosításokat, vagy mindent hagyhat, hogy továbbra is megtekintse a beépített tevékenységet.
Ha elégedett, válassza a Véleményezés és létrehozás lapot. Amikor megjelenik az Ellenőrzés átadott üzenet, kattintson a Létrehozás gombra az alján.
Tevékenység létrehozása az alapoktól
A tevékenységek lap tetején kattintson a Tevékenység hozzáadása elemre a tevékenységlétrehozás varázsló elindításához.
Megnyílik a Tevékenység varázsló – Új tevékenység létrehozása, amelynek mezői üresek.
Általános lap
Adja meg a tevékenység nevét (például:"felhasználó hozzáadva a csoporthoz").
Adja meg a tevékenység leírását (például: "a felhasználói csoport tagságának módosítása a Windows 4728-os eseményazonosítója alapján").
Válassza ki, hogy a lekérdezés milyen típusú entitást (felhasználót vagy gazdagépet) követ nyomon.
A lekérdezés pontosításához és teljesítményének optimalizálásához további paraméterek alapján is szűrhet. Szűrhet például az Active Directory-felhasználókra az IsDomainJoined paraméter kiválasztásával és az érték Igaz értékre állításával.
A tevékenység kezdeti állapotát engedélyezve vagy letiltva adhatja meg.
Válassza a Tovább elemet : Tevékenységkonfiguráció a következő lapra lépéshez.
Tevékenységkonfiguráció lap
A tevékenység lekérdezésének írása
Itt írja vagy illessze be a KQL-lekérdezést, amely a kiválasztott entitás tevékenységének észlelésére szolgál, és meghatározza, hogyan jelenik meg az ütemtervben.
Fontos
Javasoljuk, hogy a lekérdezés az Advanced Security Information Model (ASIM) elemzőt használja, és ne egy beépített táblát. Ez biztosítja, hogy a lekérdezés egyetlen adatforrás helyett minden aktuális vagy jövőbeli releváns adatforrást támogatjon.
Az események korrelációja és az egyéni tevékenység észlelése érdekében a KQL több paraméter bemenetét igényli az entitás típusától függően. A paraméterek a kérdéses entitás különböző azonosítói.
Az erős azonosító kiválasztása jobb, ha egy-az-egyhez megfeleltetést szeretne létrehozni a lekérdezés eredményei és az entitás között. A gyenge azonosító kiválasztása pontatlan eredményeket eredményezhet. További információ az entitásokról és az erős és a gyenge azonosítókról.
Az alábbi táblázat információkat tartalmaz az entitások azonosítóiról.
Erős azonosítók fiók- és gazdagépentitásokhoz
Egy lekérdezéshez legalább egy azonosító szükséges.
Entitás | Azonosító | Leírás |
---|---|---|
Számla | Account_Sid | A fiók helyszíni SID-azonosítója az Active Directoryban |
Account_AadUserId | A felhasználó Microsoft Entra-objektumazonosítója a Microsoft Entra-azonosítóban | |
Account_Name + Account_NTDomain | Hasonló a SamAccountName-hoz (például: Contoso\Joe) | |
Account_Name + Account_UPNSuffix | Hasonló a UserPrincipalName névhez (például: Joe@Contoso.com) | |
Gazdagép | Host_HostName + Host_NTDomain | hasonló a teljes tartománynévhez (FQDN) |
Host_HostName + Host_DnsDomain | hasonló a teljes tartománynévhez (FQDN) | |
Host_NetBiosName + Host_NTDomain | hasonló a teljes tartománynévhez (FQDN) | |
Host_NetBiosName + Host_DnsDomain | hasonló a teljes tartománynévhez (FQDN) | |
Host_AzureID | a gazdagép Microsoft Entra-objektumazonosítója a Microsoft Entra-azonosítóban (ha a Microsoft Entra tartomány csatlakozik) | |
Host_OMSAgentID | egy adott gazdagépre telepített ügynök OMS-ügynökazonosítója (gazdagépenként egyedi) |
A kiválasztott entitás alapján megjelennek az elérhető azonosítók. A megfelelő azonosítókra kattintva illessze be az azonosítót a lekérdezésbe a kurzor helyén.
Feljegyzés
A lekérdezés legfeljebb 10 mezőt tartalmazhat, ezért ki kell vetítenie a kívánt mezőket.
A tervezett mezőknek tartalmazniuk kell a TimeGenerated mezőt, hogy az észlelt tevékenységet az entitás ütemtervében lehessen elhelyezni.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
A tevékenység bemutatása az ütemtervben
A kényelem kedvéért érdemes lehet meghatározni, hogyan jelenik meg a tevékenység az ütemtervben, ha dinamikus paramétereket ad hozzá a tevékenység kimenetéhez.
A Microsoft Sentinel beépített paramétereket biztosít a használathoz, és másokat is használhat a lekérdezésben előre jelzett mezők alapján.
A paraméterekhez használja a következő formátumot: {{ParameterName}}
Miután a tevékenység-lekérdezés megfelelt az ellenőrzésnek, és a lekérdezés ablaka alatt megjeleníti a Lekérdezés eredményeinek megtekintése hivatkozást, kibonthatja az Elérhető értékek szakaszt, hogy megtekintse a dinamikus tevékenységcím létrehozásakor használható paramétereket.
Egy adott paraméter melletti Másolás ikonra kattintva másolja a paramétert a vágólapra, hogy be tudja illeszteni a fenti Tevékenység cím mezőjébe.
Adja hozzá a következő paraméterek bármelyikét a lekérdezéshez:
A lekérdezésben előre jelzett bármely mező.
A lekérdezésben említett entitások entitásazonosítói.
StartTimeUTC
, a tevékenység kezdési időpontjának hozzáadásához UTC-időpontban.EndTimeUTC
, a tevékenység befejezési időpontjának hozzáadásához UTC-időpontban.Count
több KQL-lekérdezés kimenetének egyetlen kimenetben való összegzéséhez.A
count
paraméter a következő parancsot adja hozzá a lekérdezéshez a háttérben, még akkor is, ha az nem jelenik meg teljesen a szerkesztőben:Summarize count() by <each parameter you’ve projected in the activity>
Ezután, amikor a Gyűjtőméret szűrőt használja az entitásoldalakon, a rendszer a következő parancsot is hozzáadja a háttérben futó lekérdezéshez:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Példa:
Ha elégedett a lekérdezés és a tevékenység címével, válassza a Tovább: Véleményezés lehetőséget.
Az előző példákban használt alábbi elemekről további információt a Kusto dokumentációjában talál:
A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.
Egyéb erőforrások:
Véleményezés és létrehozás lap
Ellenőrizze az egyéni tevékenység összes konfigurációs információját.
Amikor megjelenik az Ellenőrzés átadott üzenet, kattintson a Létrehozás gombra a tevékenység létrehozásához. Később a Saját tevékenységek lapon szerkesztheti vagy módosíthatja.
Tevékenységek kezelése
Az egyéni tevékenységek kezelése a Saját tevékenységek lapon. Kattintson a tevékenység sorának végén található három pontra (...) a következőhöz:
- Szerkessze a tevékenységet.
- Duplikálja a tevékenységet egy új, kissé eltérő létrehozásához.
- Törölje a tevékenységet.
- Tiltsa le a tevékenységet (törlés nélkül).
Tevékenységek megtekintése egy entitáslapon
Amikor beír egy entitásoldalt, az adott entitás összes engedélyezett tevékenység-lekérdezése lefut, és az entitás idővonalán naprakész információkat biztosít. A tevékenységeket a riasztások és könyvjelzők mellett az idővonalon is láthatja.
Az Ütemterv tartalomszűrővel csak tevékenységeket (vagy tevékenységek, riasztások és könyvjelzők bármilyen kombinációját) jeleníthet meg.
A Tevékenységek szűrővel is megjeleníthet vagy elrejthet bizonyos tevékenységeket.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan hozhat létre egyéni tevékenységeket az entitáslap idővonalaihoz. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- A teljes kép lekérése entitásoldalakon.
- További információ a felhasználó- és entitásviselkedés-elemzésről (UEBA).
- Tekintse meg az entitások és azonosítók teljes listáját.