Dostosowywanie działań na osiach czasu strony jednostki
Ważne
- Dostosowywanie działania jest w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
- Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wprowadzenie
Oprócz działań śledzonych i prezentowanych na osi czasu gotowej do użycia przez usługę Microsoft Sentinel możesz utworzyć wszelkie inne działania, które chcesz śledzić i przedstawić je również na osi czasu. Możesz tworzyć niestandardowe działania na podstawie zapytań dotyczących danych jednostki z dowolnych połączonych źródeł danych. W poniższych przykładach pokazano, jak można użyć tej funkcji:
Dodaj nowe działania do osi czasu jednostki, modyfikując istniejące gotowe szablony działań.
Dodaj nowe działania z dzienników niestandardowych. Na przykład z fizycznego dziennika kontroli dostępu można dodać działania wejścia i wyjścia użytkownika dla określonego obszaru z ograniczeniami — np. do osi czasu użytkownika.
Wprowadzenie
- Użytkownicy usługi Microsoft Sentinel w witrynie Azure Portal wybierają kartę Azure Portal poniżej.
- Użytkownicy portalu Usługi Microsoft Defender wybierz kartę Portal usługi Defender.
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Zachowanie jednostki.
Na stronie Zachowanie jednostki wybierz pozycję Dostosuj stronę jednostki (wersja zapoznawcza) w górnej części ekranu.
Na stronie Dostosowywanie działań usługi Sentinel zostanie wyświetlona lista wszystkich działań utworzonych na karcie Moje działania. Na karcie Szablony działań zobaczysz kolekcję działań oferowanych przez badaczy ds. zabezpieczeń firmy Microsoft. Są to działania, które są już śledzone i wyświetlane na osiach czasu na stronach jednostki.
Jeśli nie utworzono żadnych działań zdefiniowanych przez użytkownika, strony jednostki będą wyświetlać wszystkie działania wymienione na karcie Szablony działań.
Po utworzeniu lub dostosowaniu działania strony jednostki będą wyświetlać tylko te działania, które są wyświetlane na karcie Moje działania .
Jeśli chcesz nadal widzieć gotowe działania na stronach jednostki, musisz utworzyć działanie dla każdego szablonu, który chcesz śledzić i wyświetlać. Postępuj zgodnie z instrukcjami w sekcji "Tworzenie działania na podstawie szablonu" poniżej.
Tworzenie działania na podstawie szablonu
Wybierz kartę Szablony działań, aby wyświetlić różne działania dostępne domyślnie. Listę można filtrować według typu jednostki, a także według źródła danych. Wybranie działania z listy spowoduje wyświetlenie następujących informacji w okienku szczegółów:
Opis działania
Źródło danych, które udostępnia zdarzenia tworzące działanie
Identyfikatory używane do identyfikowania jednostki w danych pierwotnych
Zapytanie, które powoduje wykrycie tego działania
Wybierz pozycję Utwórz działanie w dolnej części okienka szczegółów, aby uruchomić kreatora tworzenia działań.
Kreator działania — tworzenie nowego działania na podstawie szablonu zostanie otwarte, a jego pola zostały już wypełnione na podstawie szablonu. Możesz wprowadzać zmiany w taki sposób, jak na kartach Konfiguracja ogólne i działania, lub pozostawić wszystko, co ma na celu kontynuowanie wyświetlania działania gotowego do użycia.
Gdy wszystko będzie zadowalające, wybierz kartę Przeglądanie i tworzenie . Po wyświetleniu komunikatu Weryfikacja zakończyła się powodzeniem, kliknij przycisk Utwórz u dołu.
Tworzenie działania od podstaw
W górnej części strony działań kliknij pozycję Dodaj działanie , aby uruchomić kreatora tworzenia działań.
Kreator działania — tworzenie nowego działania zostanie otwarte z pustymi polami.
Karta Ogólne
Wprowadź nazwę działania (na przykład: "użytkownik dodany do grupy").
Wprowadź opis działania (na przykład: "zmiana członkostwa w grupie użytkowników na podstawie identyfikatora zdarzenia systemu Windows 4728").
Wybierz typ jednostki (użytkownika lub hosta), które będzie śledzić to zapytanie.
Możesz filtrować według dodatkowych parametrów, aby pomóc uściślić zapytanie i zoptymalizować jego wydajność. Na przykład można filtrować użytkowników usługi Active Directory, wybierając parametr IsDomainJoinEd i ustawiając wartość true.
Możesz wybrać początkowy stan działania na wartość Włączone lub Wyłączone.
Wybierz pozycję Dalej: Konfiguracja działania, aby przejść do następnej karty.
Karta Konfiguracja działania
Pisanie zapytania działania
W tym miejscu napiszesz lub wklejesz zapytanie KQL, które będzie używane do wykrywania działania dla wybranej jednostki i określisz, jak będzie ona reprezentowana na osi czasu.
Ważne
Zalecamy użycie analizatora advanced Security Information Model (ASIM), a nie wbudowanej tabeli. Dzięki temu zapytanie będzie obsługiwać dowolne bieżące lub przyszłe źródło danych, a nie jedno źródło danych.
Aby skorelować zdarzenia i wykryć działanie niestandardowe, język KQL wymaga danych wejściowych kilku parametrów w zależności od typu jednostki. Parametry są różnymi identyfikatorami danej jednostki.
Wybranie silnego identyfikatora jest lepsze w celu utworzenia mapowania jeden do jednego między wynikami zapytania a jednostką. Wybranie słabego identyfikatora może spowodować niedokładne wyniki. Dowiedz się więcej o jednostkach i silnych i słabych identyfikatorach.
Poniższa tabela zawiera informacje o identyfikatorach jednostek.
Silne identyfikatory dla jednostek kont i hostów
Co najmniej jeden identyfikator jest wymagany w zapytaniu.
Encja | Identyfikator | opis |
---|---|---|
Klient | Account_Sid | Lokalny identyfikator SID konta w usłudze Active Directory |
Account_AadUserId | Identyfikator obiektu Entra firmy Microsoft użytkownika w identyfikatorze Entra firmy Microsoft | |
Account_Name i Account_NTDomain | Podobnie jak SamAccountName (przykład: Contoso\Joe) | |
Account_Name i Account_UPNSuffix | Podobnie jak UserPrincipalName (przykład: Joe@Contoso.com) | |
Host | Host_HostName i Host_NTDomain | podobnie jak w pełni kwalifikowana nazwa domeny (FQDN) |
Host_HostName i Host_DnsDomain | podobnie jak w pełni kwalifikowana nazwa domeny (FQDN) | |
Host_NetBiosName i Host_NTDomain | podobnie jak w pełni kwalifikowana nazwa domeny (FQDN) | |
Host_NetBiosName i Host_DnsDomain | podobnie jak w pełni kwalifikowana nazwa domeny (FQDN) | |
Host_AzureID | identyfikator obiektu Entra firmy Microsoft hosta w identyfikatorze Entra firmy Microsoft (jeśli przyłączono do domeny Microsoft Entra) | |
Host_OMSAgentID | identyfikator agenta pakietu OMS zainstalowanego na określonym hoście (unikatowy dla każdego hosta) |
Na podstawie wybranej jednostki zobaczysz dostępne identyfikatory. Kliknięcie odpowiednich identyfikatorów spowoduje wklejenie identyfikatora do zapytania w lokalizacji kursora.
Uwaga
Kwerenda może zawierać maksymalnie 10 pól, dlatego należy projektować żądane pola.
Przewidywane pola muszą zawierać pole TimeGenerated , aby umieścić wykryte działanie na osi czasu jednostki.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
Prezentowanie działania na osi czasu
Ze względu na wygodę możesz określić sposób prezentowania działania na osi czasu przez dodanie parametrów dynamicznych do danych wyjściowych działania.
Usługa Microsoft Sentinel udostępnia wbudowane parametry, których można używać, a także używać innych na podstawie pól przewidywanych w zapytaniu.
Użyj następującego formatu dla parametrów: {{ParameterName}}
Po zakończeniu walidacji zapytania działania i wyświetl link Wyświetl wyniki zapytania poniżej okna zapytania będzie można rozwinąć sekcję Dostępne wartości , aby wyświetlić parametry dostępne do użycia podczas tworzenia tytułu działania dynamicznego.
Wybierz ikonę Kopiuj obok określonego parametru, aby skopiować ten parametr do schowka, aby można było wkleić go do pola Tytuł działania powyżej.
Dodaj dowolny z następujących parametrów do zapytania:
Dowolne pole przewidywane w zapytaniu.
Identyfikatory jednostek wszystkich jednostek wymienionych w zapytaniu.
StartTimeUTC
, aby dodać godzinę rozpoczęcia działania w czasie UTC.EndTimeUTC
, aby dodać godzinę zakończenia działania w czasie UTC.Count
, aby podsumować kilka danych wyjściowych zapytań KQL w jednym danych wyjściowych.Parametr
count
dodaje następujące polecenie do zapytania w tle, mimo że nie jest on w pełni wyświetlany w edytorze:Summarize count() by <each parameter you’ve projected in the activity>
Następnie, gdy używasz filtru Rozmiar zasobnika na stronach jednostki, następujące polecenie jest również dodawane do zapytania uruchamianego w tle:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Na przykład:
Jeśli zapytanie i tytuł działania są zadowalające, wybierz pozycję Dalej: Przegląd.
Karta Przeglądanie i tworzenie
Sprawdź wszystkie informacje o konfiguracji działania niestandardowego.
Po wyświetleniu komunikatu Weryfikacja przekazana kliknij przycisk Utwórz , aby utworzyć działanie. Możesz go edytować lub zmienić później na karcie Moje działania .
Zarządzanie działaniami
Zarządzaj działaniami niestandardowymi na karcie Moje działania . Kliknij wielokropek (...) na końcu wiersza działania, aby:
- Edytuj działanie.
- Zduplikuj działanie, aby utworzyć nowe, nieco inne.
- Usuń działanie.
- Wyłącz działanie (bez jego usuwania).
Wyświetlanie działań na stronie jednostki
Za każdym razem, gdy wprowadzisz stronę jednostki, wszystkie włączone zapytania dotyczące działania dla tej jednostki będą uruchamiane, zapewniając informacje o up-to-the-minute na osi czasu jednostki. Działania zostaną wyświetlone na osi czasu wraz z alertami i zakładkami.
Filtr zawartości Oś czasu umożliwia prezentowanie tylko działań (lub dowolnej kombinacji działań, alertów i zakładek).
Możesz również użyć filtru Działania , aby przedstawić lub ukryć określone działania.
Następne kroki
W tym dokumencie przedstawiono sposób tworzenia niestandardowych działań dla osi czasu strony jednostki. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Pobierz pełny obraz na stronach jednostek.
- Dowiedz się więcej o analizie zachowań użytkowników i jednostek (UEBA).
- Zobacz pełną listę jednostek i identyfikatorów.