Tijdlijnen voor activiteiten op entiteitspagina's aanpassen

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Belangrijk

• Aanpassing van activiteit bevindt zich in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
• Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Inleiding

Naast de activiteiten die zijn bijgehouden en gepresenteerd in de tijdlijn van Microsoft Sentinel, kunt u alle andere activiteiten maken die u wilt bijhouden en deze ook op de tijdlijn laten presenteren. U kunt aangepaste activiteiten maken op basis van query's van entiteitsgegevens uit verbonden gegevensbronnen. In de volgende voorbeelden ziet u hoe u deze mogelijkheid kunt gebruiken:

• Voeg nieuwe activiteiten toe aan de tijdlijn van de entiteit door bestaande out-of-the-box-activiteitssjablonen te wijzigen.

• Voeg nieuwe activiteiten toe vanuit aangepaste logboeken. U kunt bijvoorbeeld vanuit een fysiek toegangsbeheerlogboek activiteiten van een gebruiker toevoegen aan de tijdlijn van een gebruiker voor een bepaald beperkt gebied( bijvoorbeeld een serverruimte).

Aan de slag

• Gebruikers van Microsoft Sentinel in Azure Portal selecteren het tabblad Azure Portal hieronder.
• Gebruikers van de Microsoft Defender-portal selecteren het tabblad Defender-portal .

Azure-portal

1. Selecteer in het navigatiemenu van Microsoft Sentinel het gedrag van de entiteit.

2. Selecteer op de pagina Entiteitsgedrag de optie Entiteitspagina aanpassen (preview) boven aan het scherm.

   

Defender-portal

1. Zoek in de Microsoft Defender-portal een entiteitspagina.

   1. Selecteer Assets-apparaten > of -identiteiten.
   2. Selecteer een apparaat of een gebruiker in de lijst. Als u een gebruiker hebt geselecteerd, selecteert u De gebruikerspagina weergeven in de volgende pop-up.

2. Selecteer op de entiteitspagina het tabblad Sentinel-gebeurtenissen .

3. Selecteer Sentinel-activiteiten aanpassen op het tabblad Sentinel-gebeurtenissen.

Op de pagina Sentinel-activiteiten aanpassen ziet u een lijst met activiteiten die u hebt gemaakt op het tabblad Mijn activiteiten . Op het tabblad Activiteitssjablonen ziet u de verzameling activiteiten die standaard worden aangeboden door Beveiligingsonderzoekers van Microsoft. Dit zijn de activiteiten die al worden bijgehouden en weergegeven op de tijdlijnen op uw entiteitspagina's.

• Zolang u geen door de gebruiker gedefinieerde activiteiten hebt gemaakt, worden op uw entiteitspagina's alle activiteiten weergegeven die worden vermeld op het tabblad Activiteitssjablonen.

• Zodra u een activiteit hebt gemaakt of aangepast, worden op uw entiteitspagina's alleen die activiteiten weergegeven, die worden weergegeven op het tabblad Mijn activiteiten.

• Als u de out-of-the-box-activiteiten op uw entiteitspagina's wilt blijven zien, moet u een activiteit maken voor elke sjabloon die u wilt bijhouden en weergeven. Volg de instructies onder Een activiteit maken op basis van een sjabloon hieronder.

Een activiteit maken op basis van een sjabloon

1. Selecteer het tabblad Activiteitssjablonen om de verschillende beschikbare activiteiten standaard weer te geven. U kunt de lijst filteren op entiteitstype en op gegevensbron. Als u een activiteit in de lijst selecteert, worden de volgende informatie weergegeven in het detailvenster:

   • Een beschrijving van de activiteit

   • De gegevensbron die de gebeurtenissen bevat waaruit de activiteit bestaat

   • De id's die worden gebruikt om de entiteit in de onbewerkte gegevens te identificeren

   • De query die resulteert in de detectie van deze activiteit

2. Selecteer Activiteit maken onder aan het detailvenster om de wizard voor het maken van activiteiten te starten.

   Azure-portal

   

   Defender-portal

   

   Wanneer u Activiteit maken selecteert in de Defender-portal, wordt u omgeleid naar de wizard Microsoft Sentinel-activiteit in Azure Portal op een nieuw tabblad.

3. De wizard Activiteit: nieuwe activiteit maken op basis van sjabloon wordt geopend, met de velden die al zijn ingevuld vanuit de sjabloon. U kunt wijzigingen aanbrengen zoals u wilt op de tabbladen Algemeen en Activiteit configureren , of alles laten staan om de out-of-the-box-activiteit weer te geven.

4. Wanneer u tevreden bent, selecteert u het tabblad Controleren en maken . Wanneer u het bericht Validatie geslaagd ziet, klikt u onderaan op de knop Maken .

Een volledig nieuwe activiteit maken

Klik boven aan de pagina activiteiten op Activiteit toevoegen om de wizard Voor het maken van activiteiten te starten.

De wizard Activiteit: er wordt een nieuwe activiteit gemaakt, waarbij de velden leeg zijn.

Tabblad Algemeen

1. Voer een naam in voor uw activiteit (bijvoorbeeld: 'gebruiker toegevoegd aan groep').

2. Voer een beschrijving in van de activiteit (bijvoorbeeld: 'Wijziging gebruikersgroepslidmaatschap op basis van Windows-gebeurtenis-id 4728').

3. Selecteer het type entiteit (gebruiker of host) dat door deze query wordt bijgehouden.

4. U kunt filteren op aanvullende parameters om de query te verfijnen en de prestaties ervan te optimaliseren. U kunt bijvoorbeeld filteren op Active Directory-gebruikers door de parameter IsDomainJoined te kiezen en de waarde in te stellen op Waar.

5. U kunt de initiële status van de activiteit selecteren op Ingeschakeld of Uitgeschakeld.

6. Selecteer Volgende: Activiteitsconfiguratie om door te gaan naar het volgende tabblad.

   

Tabblad Activiteitsconfiguratie

De activiteitsquery schrijven

Hier schrijft of plakt u de KQL-query die wordt gebruikt om de activiteit voor de gekozen entiteit te detecteren en te bepalen hoe deze wordt weergegeven in de tijdlijn.

Belangrijk

Het is raadzaam dat uw query gebruikmaakt van een ASIM-parser (Advanced Security Information Model) en niet van een ingebouwde tabel. Dit zorgt ervoor dat de query alle huidige of toekomstige relevante gegevensbronnen ondersteunt in plaats van één gegevensbron.

Om gebeurtenissen te correleren en de aangepaste activiteit te detecteren, vereist de KQL een invoer van verschillende parameters, afhankelijk van het entiteitstype. De parameters zijn de verschillende id's van de betreffende entiteit.

Het selecteren van een sterke id is beter om een-op-een-toewijzing te hebben tussen de queryresultaten en de entiteit. Het selecteren van een zwakke id kan onjuiste resultaten opleveren. Meer informatie over entiteiten en sterke versus zwakke id's.

De volgende tabel bevat informatie over de id's van de entiteiten.

Sterke id's voor accounts en hostentiteiten

Er is ten minste één id vereist in een query.

Entity	Identificatie	Beschrijving
Rekening	Account_Sid	De on-premises SID van het account in Active Directory
	Account_AadUserId	De Object-id van Microsoft Entra van de gebruiker in Microsoft Entra-id
	Account_Name + Account_NTDomain	Vergelijkbaar met SamAccountName (voorbeeld: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Vergelijkbaar met UserPrincipalName (voorbeeld: Joe@Contoso.com)
Host	Host_HostName + Host_NTDomain	vergelijkbaar met FQDN (Fully Qualified Domain Name)
	Host_HostName + Host_DnsDomain	vergelijkbaar met FQDN (Fully Qualified Domain Name)
	Host_NetBiosName + Host_NTDomain	vergelijkbaar met FQDN (Fully Qualified Domain Name)
	Host_NetBiosName + Host_DnsDomain	vergelijkbaar met FQDN (Fully Qualified Domain Name)
	Host_AzureID	de Object-id van Microsoft Entra van de host in Microsoft Entra-id (als microsoft Entra-domein is toegevoegd)
	Host_OMSAgentID	de OMS-agent-id van de agent die is geïnstalleerd op een specifieke host (uniek per host)

Op basis van de geselecteerde entiteit ziet u de beschikbare id's. Als u op de relevante id's klikt, wordt de id in de query geplakt op de locatie van de cursor.

Notitie

• De query kan maximaal 10 velden bevatten, dus u moet de gewenste velden projecteren.

• De verwachte velden moeten het veld TimeGenerated bevatten om de gedetecteerde activiteit in de tijdlijn van de entiteit te plaatsen.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

De activiteit presenteren in de tijdlijn

Voor het gemak kunt u bepalen hoe de activiteit wordt weergegeven in de tijdlijn door dynamische parameters toe te voegen aan de uitvoer van de activiteit.

Microsoft Sentinel biedt ingebouwde parameters die u kunt gebruiken en u kunt ook anderen gebruiken op basis van de velden die u in de query hebt geprojecteerd.

Gebruik de volgende indeling voor uw parameters: {{ParameterName}}

Nadat de activiteitsquery is gevalideerd en de koppeling Queryresultaten weergeven onder het queryvenster wordt weergegeven, kunt u de sectie Beschikbare waarden uitvouwen om de parameters weer te geven die u kunt gebruiken bij het maken van een titel voor dynamische activiteit.

Selecteer het pictogram Kopiëren naast een specifieke parameter om die parameter naar het Klembord te kopiëren, zodat u deze in het bovenstaande veld Activiteitstitel kunt plakken.

Voeg een van de volgende parameters toe aan uw query:

• Elk veld dat u in de query hebt geprojecteerd.

• Entiteits-id's van entiteiten die in de query worden genoemd.

• StartTimeUTCom de begintijd van de activiteit toe te voegen in UTC-tijd.

• EndTimeUTC, om de eindtijd van de activiteit toe te voegen, in UTC-tijd.

• Countals u verschillende KQL-queryuitvoer wilt samenvatten in één uitvoer.

  De count parameter voegt de volgende opdracht toe aan uw query op de achtergrond, ook al wordt deze niet volledig weergegeven in de editor:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Wanneer u vervolgens het filter Bucketgrootte op de entiteitspagina's gebruikt, wordt de volgende opdracht ook toegevoegd aan de query die op de achtergrond wordt uitgevoerd:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Voorbeeld:

Wanneer u tevreden bent met de titel van uw query en activiteit, selecteert u Volgende: Controleren.

Tabblad Controleren en maken

1. Controleer alle configuratiegegevens van uw aangepaste activiteit.

2. Wanneer het bericht Validatie is geslaagd wordt weergegeven, klikt u op Maken om de activiteit te maken. U kunt deze later bewerken of wijzigen op het tabblad Mijn activiteiten .

Uw activiteiten beheren

Beheer uw aangepaste activiteiten op het tabblad Mijn activiteiten . Klik op het beletselteken (...) aan het einde van de rij van een activiteit om:

• Bewerk de activiteit.
• Dupliceer de activiteit om een nieuwe, iets andere te maken.
• Verwijder de activiteit.
• Schakel de activiteit uit (zonder deze te verwijderen).

Activiteiten weergeven op een entiteitspagina

Wanneer u een entiteitspagina invoert, worden alle ingeschakelde activiteitsquery's voor die entiteit uitgevoerd, zodat u up-to-the-minute informatie in de tijdlijn van de entiteit krijgt. U ziet de activiteiten in de tijdlijn, naast waarschuwingen en bladwijzers.

U kunt het filter tijdlijninhoud gebruiken om alleen activiteiten (of een combinatie van activiteiten, waarschuwingen en bladwijzers) weer te geven.

U kunt ook het filter Activiteiten gebruiken om specifieke activiteiten weer te geven of te verbergen.

Volgende stappen

In dit document hebt u geleerd hoe u aangepaste activiteiten kunt maken voor de tijdlijnen van de entiteitspagina. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Haal de volledige afbeelding op entiteitspagina's op.
• Meer informatie over UEBA (User and Entity Behavior Analytics).
• Bekijk de volledige lijst met entiteiten en id's.