Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tärkeää
- Toiminnan mukauttaminen on esikatselutilassa. Microsoft Azure Preview -esiversioiden lisäkäyttöehdot-kohdassa on muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.
- 31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa. Heinäkuusta 2025 alkaen monet uudet asiakkaat lisätään automaattisesti ja ohjataan Defender-portaaliin. Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta. Lisätietoja on kohdassa Siirron aika: Microsoft Sentinel käytöstä poistamisen Azure-portaali suojauksen lisäämiseksi.
Johdanto
Valmiiden Microsoft Sentinel aikajanalla seuraamien ja esittämien aktiviteettien lisäksi voit luoda myös muita toimintoja, joita haluat seurata ja jotka haluat esittää aikajanalla. Voit luoda mukautettuja toimintoja, jotka perustuvat mistä tahansa yhdistetystä tietolähteestä peräisin olevien entiteettitietojen kyselyihin. Seuraavissa esimerkeissä näytetään, miten voit käyttää tätä ominaisuutta:
Lisää uusia toimintoja entiteetin aikajanaan muokkaamalla olemassa olevia valmiita toimintomalleja.
Lisää uusia toimintoja mukautetuista lokeista. Voit esimerkiksi fyysisestä käyttöoikeuksien valvontalokista lisätä käyttäjän osallistumis- ja poistumistoiminnot tietylle rajoitetulle alueelle, esimerkiksi palvelinhuoneelle, käyttäjän aikajanalle.
Aloittaminen
- Microsoft Sentinel käyttäjät valitsevat Azure-portaali alla olevan Azure-portaali -välilehden.
- Valitse Microsoft Defender portaalin käyttäjät Defender-portaali-välilehti.
Valitse Microsoft Sentinel siirtymisvalikosta Entiteetin toiminta.
Valitse Entiteetin toiminta -sivulla Näytön yläreunasta Mukauta entiteettisivua (esikatselu ).
Mukauta Sentinel toimintoja -sivulla näet luettelon luomistasi aktiviteeteista Omat aktiviteetit -välilehdellä. Toimintamallit-välilehdessä näet Microsoftin tietoturvatutkijoiden tarjoamien toimintojen kokoelman. Näitä toimintoja seurataan ja näytetään jo entiteettisivujen aikajanoilla.
Jos et ole luonut käyttäjän määrittämiä toimintoja, entiteettisivuillasi näkyvät kaikkiToimintamallit-välilehdessä luetellut toiminnot.
Kun olet luonut tai mukauttanut aktiviteettia, entiteettisivuilla näkyvät vain nämä toiminnot, jotka näkyvät Omat aktiviteetit -välilehdessä.
Jos haluat jatkaa valmiiden toimintojen näkemistä entiteettisivuilla, sinun on luotava aktiviteetti kullekin mallille, jota haluat seurata ja näyttää. Noudata alla olevia ohjeita kohdassa "Aktiviteetin luominen mallista".
Aktiviteetin luominen mallista
Valitse Toimintamallit-välilehti , jotta näet oletusarvoisesti käytettävissä olevat toiminnot. Voit suodattaa luettelon entiteettityypin ja tietolähteen mukaan. Kun valitset aktiviteetin luettelosta, näet tietoruudussa seuraavat tiedot:
Toiminnon kuvaus
Tietolähde, joka sisältää tapahtumat, jotka muodostavat aktiviteetin
Tunnisteet, joita käytetään entiteetin tunnistamiseen raakatiedoissa
Kysely, joka johtaa tämän toiminnon havaitsemiseen
Aloita aktiviteetin luonti valitsemalla Tiedot-ruudun alareunasta Luo aktiviteetti.
Ohjattu toimintotoiminto : Luo uusi toiminto mallista -toiminto avautuu, ja sen kentät on jo täytetty mallista. Voit tehdä muutoksia haluamallasi tavalla Yleiset - ja Toiminnan määritys -välilehdissä tai jättää kaiken haluamaksesi, jos haluat jatkaa valmiiden toimintojen tarkastelemista.
Kun olet tyytyväinen, valitse Tarkista ja luo -välilehti. Kun näyttöön tulee Vahvistus-välitetty viesti, napsauta alareunassa olevaa Luo-painiketta .
Aktiviteetin luominen alusta alkaen
Aloita aktiviteetin luontitoiminto napsauttamalla aktiviteettisivun yläreunassa Lisää aktiviteetti .
Ohjattu toiminto - Luo uusi toiminto -toiminto avautuu, ja sen kentät ovat tyhjiä.
Yleiset-välilehti
Anna aktiviteetille nimi (esimerkki: "käyttäjä lisätty ryhmään").
Kirjoita aktiviteetin kuvaus (esimerkki: "käyttäjäryhmän jäsenyyden muutos Windows-tapahtumatunnuksen 4728 perusteella").
Valitse entiteetin tyyppi (käyttäjä tai isäntä), jota tämä kysely seuraa.
Voit suodattaa lisäparametrien avulla, jotta voit tarkentaa kyselyä ja optimoida sen suorituskyvyn. Voit esimerkiksi suodattaa Active Directory -käyttäjien mukaan valitsemalla IsDomainJoined-parametrin ja määrittämällä arvoksi Tosi.
Voit valita aktiviteetin alkutilan kohtaan Käytössä tai Poistettu käytöstä.
Valitse Seuraava : Toiminnan määritys siirtyäksesi seuraavaan välilehteen.
Toiminnon määritys -välilehti
Kirjoitetaan toimintokyselyä
Tähän kirjoitat tai liität KQL-kyselyn, jonka avulla tunnistetaan valitun entiteetin aktiviteetti ja määritetään, miten se esitetään aikajanalla.
Tärkeää
Suosittelemme, että kysely käyttää ASIM (Advanced Security Information Model) -jäsennintä , ei sisäistä taulukkoa. Näin varmistetaan, että kysely tukee mitä tahansa nykyistä tai tulevaa olennaista tietolähdettä yksittäisen tietolähteen sijaan.
Jotta tapahtumat voidaan korreloida ja mukautettu toiminto havaita, KQL edellyttää useiden parametrien syötettä entiteettityypin mukaan. Parametrit ovat kyseessä olevan entiteetin eri tunnisteita.
Vahvan tunnisteen valitseminen on parempi vaihtoehto, jotta kyselyn tulosten ja entiteetin välillä voidaan tehdä yksi yhteen -yhdistämismääritys. Heikon tunnisteen valitseminen voi tuottaa virheellisiä tuloksia. Lue lisätietoja entiteeteistä ja vahvoista ja heikoista tunnisteista.
Seuraavassa taulukossa on tietoja entiteettien tunnisteista.
Tili- ja isäntäentiteettien vahvat tunnisteet
Kyselyssä tarvitaan vähintään yksi tunnus.
| Entiteetti | Tunnus | Kuvaus |
|---|---|---|
| Tili | Account_Sid | Tilin paikallinen SID Active Directoryssa |
| Account_AadUserId | käyttäjän Microsoft Entra objektitunnus Microsoft Entra ID | |
| Account_Name + Account_NTDomain | SamAccountNamen kaltainen (esimerkki: Contoso\Joe) | |
| Account_Name + Account_UPNSuffix | Samanlainen kuin UserPrincipalName (esimerkki: Joe@Contoso.com) | |
| Isäntä | Host_HostName + Host_NTDomain | täydellinen toimialuenimi (FQDN) |
| Host_HostName + Host_DnsDomain | täydellinen toimialuenimi (FQDN) | |
| Host_NetBiosName + Host_NTDomain | täydellinen toimialuenimi (FQDN) | |
| Host_NetBiosName + Host_DnsDomain | täydellinen toimialuenimi (FQDN) | |
| Host_AzureID | isännän Microsoft Entra objektitunnus Microsoft Entra ID (jos Microsoft Entra liitetty toimialueeseen) | |
| Host_OMSAgentID | tiettyyn isäntään asennetun agentin OMS-agentin tunnus (yksilöllinen isäntää kohden) |
Valitun entiteetin perusteella näet käytettävissä olevat tunnisteet. Napsauttamalla asianmukaisia tunnisteita liität tunnuksen kyselyyn kohdistimen sijainnissa.
Huomautus
Kyselyssä voi olla enintään 10 kenttää, joten sinun on projisoitava haluamasi kentät.
Ennustetuissa kentissä on oltava TimeGenerated-kenttä , jotta havaittu toiminto voidaan sijoittaa entiteetin aikajanalle.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
Aktiviteetin esittäminen aikajanalla
Haluat ehkä määrittää, miten toiminto esitetään aikajanalla, lisäämällä dynaamisia parametreja toiminnon tulokseen.
Microsoft Sentinel tarjoaa valmiita parametreja käytettäväksi, ja voit käyttää myös muita kyselyssä projisoitujen kenttien perusteella.
Käytä parametreille seuraavaa muotoa: {{ParameterName}}
Kun toimintokysely on ohittanut vahvistuksen ja näyttää kyselyikkunan alla olevan Näytä kyselyn tulokset -linkin, voit laajentaa Käytettävissä olevat arvot -osion, jotta voit tarkastella parametreja, joita voit käyttää dynaamisen aktiviteetin otsikkoa luotaessa.
Kopioi kyseinen parametri leikepöydälle valitsemalla kopiointikuvake tietyn parametrin vierestä, jotta voit liittää sen yllä olevaan Aktiviteetin otsikko - kenttään.
Lisää kyselyysi jokin seuraavista parametreista:
Mikä tahansa kyselyssä projisoimasi kenttä.
Kyselyssä mainittujen entiteettien tunnisteet.
StartTimeUTC, lisätäksesi aktiviteetin alkamisajan UTC-ajassa.EndTimeUTC, jos haluat lisätä aktiviteetin päättymisajan UTC-ajassa.Count, jos haluat tehdä yhteenvedon useista KQL-kyselytuloksista yhdeksi tulosteeksi.countParametri lisää seuraavan komennon kyselyysi taustalla, vaikka se ei näy täysin editorissa:Summarize count() by <each parameter you’ve projected in the activity>Kun käytät Jakauman koko -suodatinta entiteettisivuilla, myös seuraava komento lisätään taustalla suoritettavaan kyselyyn:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Esimerkki:
Kun olet tyytyväinen kyselyn ja toiminnan otsikkoon, valitse Seuraava: Tarkista.
Katso lisätietoja seuraavista edellisissä esimerkeissä käytetyistä kohteista Kusto-dokumentaatiosta:
Lisätietoja KQL:stä on Kusto Query Languagen (KQL) yleiskatsauksessa.
Muut resurssit:
Tarkista ja luo -välilehti
Tarkista kaikki mukautetun aktiviteetin määritystiedot.
Kun vahvistuksen välittämä viesti tulee näkyviin, luo toiminto valitsemalla Luo . Voit muokata sitä tai muuttaa sitä myöhemmin Omat aktiviteetit -välilehdessä.
Aktiviteettien hallinta
Hallitse mukautettuja toimintoja Omat aktiviteetit -välilehdessä. Napsauta kolmea pistettä (...) toiminnon rivin lopussa:
- Muokkaa aktiviteettia.
- Monista aktiviteetti luodaksesi uuden, hieman erilaisen aktiviteetin.
- Poista aktiviteetti.
- Poista toiminto käytöstä (poistamatta sitä).
Aktiviteettien tarkasteleminen entiteettisivulla
Aina, kun kirjoitat entiteettisivun, kaikki kyseisen entiteetin käytössä olevat toimintokyselyt suoritetaan, jolloin saat ajantasaiset tiedot entiteetin aikajanalta. Näet aktiviteetit aikajanalla ilmoitusten ja kirjanmerkkien rinnalla.
Voit käyttää aikajanan sisältösuodatinta vain aktiviteettien (tai aktiviteettien, ilmoitusten ja kirjanmerkkien yhdistelmän) esittämiseen.
Voit myös käyttää Aktiviteetit-suodatinta tiettyjen toimintojen esittämiseen tai piilottamiseen.
Seuraavat vaiheet
Tässä asiakirjassa opit luomaan mukautettuja toimintoja entiteettisivun aikajanoja varten. Lisätietoja Microsoft Sentinel on seuraavissa artikkeleissa:
- Hae koko kuva entiteettisivuilta.
- Lue lisätietoja käyttäjän ja entiteetin käyttäytymisanalytiikasta (UEBA).
- Katso täydellinen luettelo entiteeteistä ja tunnisteista.