Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vigtigt!
- Tilpasning af aktivitet er i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
- Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen. Fra og med juli 2025 bliver mange nye kunder automatisk onboardet og omdirigeret til Defender-portalen. Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender. Du kan få flere oplysninger under Det er tid til at flytte: Udgå Microsoft Sentinel er Azure Portal for større sikkerhed.
Introduktion
Ud over de aktiviteter, der spores og præsenteres på tidslinjen af Microsoft Sentinel standard, kan du oprette alle andre aktiviteter, du vil holde styr på, og få dem præsenteret på tidslinjen. Du kan oprette brugerdefinerede aktiviteter baseret på forespørgsler om objektdata fra alle forbundne datakilder. Følgende eksempler viser, hvordan du kan bruge denne funktion:
Føj nye aktiviteter til enhedens tidslinje ved at ændre eksisterende standardaktivitetsskabeloner.
Tilføj nye aktiviteter fra brugerdefinerede logge. Fra en fysisk adgangskontrollog kan du f.eks. føje en brugers adgangs- og afslutningsaktiviteter for et bestemt begrænset område – f.eks. et serverrum – til brugerens tidslinje.
Introduktion
- Brugere af Microsoft Sentinel i Azure Portal skal vælge fanen Azure Portal nedenfor.
- Brugere af Microsoft Defender-portalen skal vælge fanen Defender-portal.
Vælg Objektfunktionsmåde i navigationsmenuen Microsoft Sentinel.
På siden Objektfunktionsmåde skal du vælge Tilpas objektside (prøveversion) øverst på skærmen.
På siden Tilpas Sentinel aktiviteter kan du se en liste over de aktiviteter, du har oprettet, under fanen Mine aktiviteter. Under fanen Aktivitetsskabeloner kan du se den samling aktiviteter, som Microsofts sikkerhedsforskere kan tilbyde. Dette er de aktiviteter, der allerede spores og vises på tidslinjerne på dine enhedssider.
Så længe du ikke har oprettet nogen brugerdefinerede aktiviteter, viser dine enhedssider alle de aktiviteter, der er angivet under fanen Aktivitetsskabeloner .
Når du har oprettet eller tilpasset en aktivitet, viser dine objektsider kun de aktiviteter, der vises under fanen Mine aktiviteter .
Hvis du vil fortsætte med at se de aktiviteter, der er klar til brug, på dine enhedssider, skal du oprette en aktivitet for hver skabelon, du vil spore og få vist. Følg vejledningen under "Opret en aktivitet fra en skabelon" nedenfor.
Opret en aktivitet ud fra en skabelon
Vælg fanen Aktivitetsskabeloner for at se de forskellige aktiviteter, der er tilgængelige som standard. Du kan filtrere listen efter objekttype samt efter datakilde. Hvis du vælger en aktivitet på listen, vises følgende oplysninger i detaljeruden:
En beskrivelse af aktiviteten
Den datakilde, der leverer de hændelser, der udgør aktiviteten
De identifikatorer, der bruges til at identificere enheden i rådata
Den forespørgsel, der resulterer i registrering af denne aktivitet
Vælg Opret aktivitet nederst i detaljeruden for at starte guiden til oprettelse af aktivitet.
Guiden Aktivitet – Opret ny aktivitet fra skabelon åbnes, hvor felterne allerede er udfyldt fra skabelonen. Du kan foretage ændringer, som du vil, under fanerne Generelt og Aktivitetskonfiguration eller lade alt være, som det er, for at fortsætte med at få vist den indbyggede aktivitet.
Når du er tilfreds, skal du vælge fanen Gennemse og opret . Når du ser meddelelsen Validering sendt , skal du klikke på knappen Opret nederst.
Opret en aktivitet fra bunden
Øverst på aktivitetssiden skal du klikke på Tilføj aktivitet for at starte guiden til oprettelse af aktivitet.
Guiden Aktivitet – Opret ny aktivitet åbnes med felterne tomme.
Fanen Generelt
Angiv et navn til din aktivitet (f.eks. "bruger, der er føjet til gruppen").
Angiv en beskrivelse af aktiviteten (f.eks. ændring af medlemskab af brugergruppe baseret på Windows-hændelses-id 4728").
Vælg den type objekt (bruger eller vært), som denne forespørgsel skal spore.
Du kan filtrere efter yderligere parametre for at forbedre forespørgslen og optimere dens ydeevne. Du kan f.eks. filtrere efter Active Directory-brugere ved at vælge parameteren IsDomainJoined og angive værdien til Sand.
Du kan vælge den indledende status for aktiviteten til Aktiveret eller Deaktiveret.
Vælg Næste: Aktivitetskonfiguration for at gå videre til næste fane.
Fanen Aktivitetskonfiguration
Skriver aktivitetsforespørgslen
Her skal du skrive eller indsætte den KQL-forespørgsel, der skal bruges til at registrere aktiviteten for det valgte objekt, og bestemme, hvordan den skal repræsenteres på tidslinjen.
Vigtigt!
Vi anbefaler, at din forespørgsel bruger en ASIM-parser (Advanced Security Information Model) og ikke en indbygget tabel. Dette sikrer, at forespørgslen understøtter alle aktuelle eller fremtidige relevante datakilder i stedet for en enkelt datakilde.
For at korrelere hændelser og registrere den brugerdefinerede aktivitet kræver KQL et input på flere parametre, afhængigt af objekttypen. Parametrene er de forskellige identifikatorer for den pågældende enhed.
Det er bedre at vælge en stærk identifikator, hvis du vil have en til en-tilknytning mellem forespørgselsresultaterne og objektet. Hvis du vælger en svag identifikator, kan det give unøjagtige resultater. Få mere at vide om enheder og stærke i forhold til svage identifikatorer.
Følgende tabel indeholder oplysninger om enhedernes id'er.
Stærke identifikatorer for konto- og værtsenheder
Der kræves mindst ét id i en forespørgsel.
| Enhed | Id | Beskrivelse |
|---|---|---|
| Konto | Account_Sid | SID'et i det lokale miljø for kontoen i Active Directory |
| Account_AadUserId | Brugerens Microsoft Entra objekt-id i Microsoft Entra ID | |
| Account_Name + Account_NTDomain | Svarer til SamAccountName (eksempel: Contoso\Joe) | |
| Account_Name + Account_UPNSuffix | Svarer til UserPrincipalName (eksempel: Joe@Contoso.com) | |
| Vært | Host_HostName + Host_NTDomain | svarer til fuldt kvalificeret domænenavn (FQDN) |
| Host_HostName + Host_DnsDomain | svarer til fuldt kvalificeret domænenavn (FQDN) | |
| Host_NetBiosName + Host_NTDomain | svarer til fuldt kvalificeret domænenavn (FQDN) | |
| Host_NetBiosName + Host_DnsDomain | svarer til fuldt kvalificeret domænenavn (FQDN) | |
| Host_AzureID | værtens Microsoft Entra objekt-id i Microsoft Entra ID (hvis Microsoft Entra domæne er tilsluttet) | |
| Host_OMSAgentID | OMS-agent-id'et for den agent, der er installeret på en bestemt vært (entydig pr. vært) |
På baggrund af det valgte objekt kan du se de tilgængelige identifikatorer. Hvis du klikker på de relevante identifikatorer, indsættes identifikatoren i forespørgslen på markørens placering.
Bemærk!
Forespørgslen kan indeholde op til 10 felter, så du skal projektere de ønskede felter.
De projekterede felter skal indeholde feltet TimeGenerated for at placere den registrerede aktivitet på enhedens tidslinje.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
Præsentation af aktiviteten på tidslinjen
Af hensyn til bekvemmeligheden kan det være en god idé at bestemme, hvordan aktiviteten vises på tidslinjen, ved at føje dynamiske parametre til aktivitetsoutputtet.
Microsoft Sentinel indeholder indbyggede parametre, som du kan bruge, og du kan også bruge andre på baggrund af de felter, du forventede i forespørgslen.
Brug følgende format til dine parametre: {{ParameterName}}
Når aktivitetsforespørgslen har bestået valideringen og viser linket Vis forespørgselsresultater under forespørgselsvinduet, kan du udvide afsnittet Tilgængelige værdier for at få vist de parametre, du kan bruge, når du opretter en dynamisk aktivitetstitel.
Vælg ikonet Kopiér ud for en bestemt parameter for at kopiere parameteren til Udklipsholder, så du kan indsætte den i titelfeltet Aktivitet ovenfor.
Føj en af følgende parametre til forespørgslen:
Et hvilket som helst felt, du forventede i forespørgslen.
Enheds-id'er for alle objekter, der er nævnt i forespørgslen.
StartTimeUTC, hvis du vil tilføje aktivitetens starttidspunkt i UTC-tid.EndTimeUTC, hvis du vil tilføje aktivitetens sluttidspunkt i UTC-tid.Countfor at opsummere flere KQL-forespørgselsoutput i et enkelt output.Parameteren
countføjer følgende kommando til din forespørgsel i baggrunden, selvom den ikke vises fuldt ud i editoren:Summarize count() by <each parameter you’ve projected in the activity>Når du derefter bruger filteret BucketStørrelse på enhedssiderne, føjes følgende kommando også til den forespørgsel, der køres i baggrunden:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Det kan f.eks. være:
Når du er tilfreds med din forespørgsels- og aktivitetstitel, skal du vælge Næste : Gennemse.
Du kan få flere oplysninger om følgende elementer, der bruges i de foregående eksempler, i dokumentationen til Kusto:
Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).
Andre ressourcer:
Fanen Gennemse og opret
Kontrollér alle konfigurationsoplysningerne for din brugerdefinerede aktivitet.
Når den overførte valideringsmeddelelse vises, skal du klikke på Opret for at oprette aktiviteten. Du kan redigere eller ændre den senere under fanen Mine aktiviteter .
Administrer dine aktiviteter
Administrer dine brugerdefinerede aktiviteter under fanen Mine aktiviteter . Klik på ellipsen (...) i slutningen af en aktivitets række for at:
- Rediger aktiviteten.
- Dupliker aktiviteten for at oprette en ny lidt anderledes aktivitet.
- Slet aktiviteten.
- Deaktiver aktiviteten (uden at slette den).
Få vist aktiviteter på en objektside
Når du angiver en objektside, køres alle aktiverede aktivitetsforespørgsler for det pågældende objekt, hvilket giver dig opdaterede oplysninger på enhedens tidslinje. Du kan se aktiviteterne på tidslinjen sammen med beskeder og bogmærker.
Du kan bruge indholdsfilteret Tidslinje til kun at vise aktiviteter (eller en kombination af aktiviteter, beskeder og bogmærker).
Du kan også bruge filteret Aktiviteter til at præsentere eller skjule bestemte aktiviteter.
Næste trin
I dette dokument har du lært, hvordan du opretter brugerdefinerede aktiviteter for tidslinjer for din enhedsside. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:
- Hent det komplette billede på objektsider.
- Få mere at vide om UEBA (User and Entity Behavior Analytics).
- Se den komplette liste over enheder og identifikatorer.