你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在实体页时间线上自定义活动

重要

  • 活动自定义功能目前为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
  • Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

介绍

除了 Microsoft Sentinel 本来就在时间线中跟踪和显示的活动以外,你还可以创建你想要在时间线中跟踪和显示的其他任何活动。 可以基于任何已连接的数据源中实体数据的查询创建自定义活动。 以下示例演示了如何使用此功能:

  • 通过修改现成的活动模板将新活动添加到实体时间线。

  • 从自定义日志添加新活动。 例如,可以通过物理访问控制日志将用户在特定限制区域(例如服务器机房)的进入和退出活动添加到用户的时间线中。

使用入门

  • Azure 门户中的 Microsoft Sentinel 用户可以选择下面的“Azure 门户”选项卡
  • Microsoft Defender 门户的用户可以选择“Defender 门户”选项卡。
  1. 从 Microsoft Sentinel 导航菜单中选择“实体行为”。

  2. 在“实体行为”页上,选择屏幕顶部的“自定义实体页(预览)”

    “实体行为”页

在“自定义 Sentinel 活动”页上的“我的活动”选项卡中,你将看到你创建的所有活动的列表。在“活动模板”选项卡中,你将看到 Microsoft 安全研究人员现成提供的活动集合。 这些活动已在实体页中的时间线上跟踪和显示。

  • 只要尚未创建任何由用户定义的活动,实体页就会显示在“活动模板”选项卡下面列出的所有活动。

  • 创建或自定义活动后,实体页将仅显示这些活动,这些活动显示在“我的活动”选项卡中

  • 如果要继续查看实体页中的开箱即用活动,则必须为要跟踪和显示的每个模板创建一个活动。 按照下面的“从模板创建活动”中的说明进行操作。

从模板创建活动

  1. 选择“活动模板”选项卡查看默认提供的各种活动。 可以按实体类型和数据源筛选该列表。 从列表中选择一个活动会在详细信息窗格中显示以下信息:

    • 该活动的说明

    • 数据源,它提供了构成该活动的事件

    • 用于在原始数据中标识实体的标识符

    • 导致检测此活动的查询

  2. 选择详细信息窗格底部的“创建活动”以启动活动创建向导

    Azure 门户中活动模板列表的屏幕截图。

  3. 此时会打开“活动向导 - 从模板创建新活动”,其中的字段内已填充了来自模板的值。 可以在“常规”和“活动配置”选项卡中根据需要进行更改,或不进行任何更改以继续查看开箱即用的活动。

  4. 如果对设置感到满意,请选择“查看并创建”选项卡。看到“已通过验证”消息后,单击底部的“创建”按钮 。

从头开始创建活动

在“活动”页的顶部,单击“添加活动”以启动活动创建向导。

此时会打开“活动向导 - 创建新活动”,其中的字段是空的。

“常规”选项卡

  1. 输入活动的名称(例如:“添加到组中的用户”)。

  2. 输入活动的说明(例如:“基于 Windows 事件 ID 4728 进行的用户组成员身份更改”)。

  3. 选择此查询将要跟踪的实体类型(用户或主机)。

  4. 可以按附加参数进行筛选,以帮助细化查询并优化其性能。 例如,可以选择“IsDomainJoined”参数并将值设置为“True”来筛选 Active Directory 用户 。

  5. 可以选择“已启用”或“已禁用”作为活动的初始状态 。

  6. 选择“下一步:活动配置”以进入下一个选项卡。

    屏幕截图 - 创建新活动

活动配置选项卡

编写活动查询

在这里,你将编写或粘贴 KQL 查询,用于检测所选实体的活动并确定该活动在时间线中的表示方式。

重要

建议查询使用高级安全信息模型 (ASIM) 分析程序,而不是内置表。 这可确保查询将支持任何当前或未来的相关数据源,而不是单个数据源。

若要关联事件并检测自定义活动,需要在 KQL 查询中根据实体类型输入多个参数。 这些参数是相关实体的各种标识符。

最好是选择强标识符,这样可以在查询结果与实体之间实现一对一的映射。 选择弱标识符可能会产生不准确的结果。 详细了解实体以及强标识符与弱标识符

下表提供了有关实体标识符的信息。

帐户和主机实体的强标识符

查询中至少需要一个标识符。

实体 标识符 说明
帐户 Account_Sid Active Directory 中帐户的本地 SID
Account_AadUserId Microsoft Entra ID 中的用户的 Microsoft Entra 对象 ID
Account_Name + Account_NTDomain 类似于 SamAccountName(例如:Contoso\Joe)
Account_Name + Account_UPNSuffix 类似于 UserPrincipalName(例如:Joe@Contoso.com)
主机 Host_HostName + Host_NTDomain 类似于完全限定的域名 (FQDN)
Host_HostName + Host_DnsDomain 类似于完全限定的域名 (FQDN)
Host_NetBiosName + Host_NTDomain 类似于完全限定的域名 (FQDN)
Host_NetBiosName + Host_DnsDomain 类似于完全限定的域名 (FQDN)
Host_AzureID Microsoft Entra ID 中主机的 Microsoft Entra 对象 ID(如果已加入 Microsoft Entra 域)
Host_OMSAgentID 安装在特定主机上的代理的 OMS 代理 ID(在每个主机中唯一)

系统将根据所选的实体显示可用的标识符。 单击相关标识符会将标识符粘贴到查询中光标所在的位置。

注意

  • 查询最多可包含 10 个字段,因此必须投影所需的字段。

  • 投影字段必须包含“TimeGenerated”字段才能将检测到的活动放入实体的时间线中。

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

屏幕截图 - 输入查询以检测活动

在时间线中显示活动

为方便起见,你可能希望通过将动态参数添加到活动输出来确定活动在时间线中的显示方式。

Microsoft Sentinel 提供了内置参数以供使用,并且还可以基于查询中预测的字段使用其他参数。

对参数使用以下格式:{{ParameterName}}

活动查询通过验证并显示查询窗口下方的“查看查询结果”链接后,你将能够展开“可用值”部分,以查看在创建动态活动标题时可供使用的参数。

选择特定参数旁边的“复制”图标以将该参数复制到剪贴板,以便你可以将其粘贴到上面的“活动标题”字段中。

将以下任何参数添加到查询:

  • 在查询中投影的任何字段.

  • 查询中提到的任何实体的实体标识符。

  • StartTimeUTC,添加活动的开始时间(UTC 时间)。

  • EndTimeUTC,添加活动的结束时间(UTC 时间)。

  • Count,将多个 KQL 查询输出汇总为单个输出。

    count 参数在后台将以下命令添加到查询,即使未完全显示在编辑器中:

    Summarize count() by <each parameter you’ve projected in the activity>
    

    然后,当你在实体页中使用“存储桶大小”筛选器时,还会将以下命令添加到在后台运行的查询中:

    Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
    

例如:

屏幕截图-查看活动标题的可用值

如果对查询和活动标题满意,请选择“下一步:评审”。

“审核并创建”选项卡

  1. 验证自定义活动的所有配置信息。

  2. 出现“已通过验证”消息后,单击“创建”以创建活动 。 以后可以在“我的活动”选项卡中编辑或更改该活动。

管理活动

在“我的活动”选项卡中管理自定义活动。单击活动所在行末尾的省略号图标 (...) 可执行以下操作:

  • 编辑活动。
  • 复制活动以创建一个略有不同的新活动。
  • 删除活动。
  • 禁用活动(但不删除它)。

在实体页中查看活动

每当进入实体页时,针对该实体启用的所有活动查询就会运行,并在实体时间线中提供最新的信息。 你将在时间线中看到活动以及警报和书签。

可以使用“时间线内容”筛选器来仅显示活动(或者活动、警报和书签的任意组合)。

还可以使用“活动”筛选器来显示或隐藏特定的活动。

后续步骤

在本文档中,你已了解如何为实体页时间线创建自定义活动。 若要详细了解 Microsoft Sentinel,请参阅以下文章: