Tilpasse aktiviteter på tidslinjer på enhetssiden

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Viktig

Innledning

I tillegg til aktivitetene som spores og presenteres på tidslinjen av Microsoft Sentinel ferdig, kan du opprette eventuelle andre aktiviteter du vil holde oversikt over, og få dem presentert på tidslinjen også. Du kan opprette tilpassede aktiviteter basert på spørringer av enhetsdata fra alle tilkoblede datakilder. Eksemplene nedenfor viser hvordan du kan bruke denne funksjonen:

  • Legg til nye aktiviteter på tidslinjen for enheten ved å endre eksisterende ut-av-boksen-aktivitetsmaler.

  • Legg til nye aktiviteter fra egendefinerte logger. Fra en fysisk tilgangskontrolllogg kan du for eksempel legge til en brukers oppførings- og avslutningsaktiviteter for et bestemt begrenset område, for eksempel et serverrom, på brukerens tidslinje.

Komme i gang

  • Brukere av Microsoft Sentinel i Azure Portal, velger Azure Portal fanen nedenfor.
  • Brukere av Microsoft Defender-portalen, velger Defender-portalfanen.

  1. Velg enhetsvirkemåte fra navigasjonsmenyen Microsoft Sentinel.

  2. Velg Tilpass enhetssiden (forhåndsvisning) øverst på siden for enhetsvirkemåten.

    Side for enhetsvirkemåte

På siden Tilpass Sentinel aktiviteter ser du en liste over alle aktiviteter du har opprettet i Mine aktiviteter-fanen. I Aktivitetsmaler-fanen ser du samlingen av aktiviteter som tilbys utenfor boksen av Microsofts sikkerhetsforskere. Dette er aktivitetene som allerede spores og vises på tidslinjene på enhetssidene.

  • Så lenge du ikke har opprettet noen brukerdefinerte aktiviteter, viser enhetssidene alle aktivitetene som er oppført under Aktivitetsmaler-fanen .

  • Når du oppretter eller tilpasser en aktivitet, viser enhetssidene bare disse aktivitetene, som vises i Mine aktiviteter-fanen .

  • Hvis du vil fortsette å se de forhåndsdefinerte aktivitetene på enhetssidene, må du opprette en aktivitet for hver mal du vil spore og vise. Følg instruksjonene under «Opprett en aktivitet fra en mal» nedenfor.

Opprette en aktivitet fra en mal

  1. Velg Aktivitetsmaler-fanen for å se de ulike aktivitetene som er tilgjengelige som standard. Du kan filtrere listen etter enhetstype og etter datakilde. Hvis du velger en aktivitet fra listen, vises følgende informasjon i detaljruten:

    • En beskrivelse av aktiviteten

    • Datakilden som inneholder hendelsene som utgjør aktiviteten

    • Identifikatorene som brukes til å identifisere enheten i rådataene

    • Spørringen som resulterer i gjenkjenning av denne aktiviteten

  2. Velg Opprett aktivitet nederst i detaljruten for å starte veiviseren for aktivitetsoppretting.

    Skjermbilde av aktivitetsmallisten i Azure Portal.

  3. Aktivitetsveiviseren – Opprett ny aktivitet fra malen åpnes, og feltene er allerede fylt ut fra malen. Du kan gjøre endringer som du vil i konfigurasjonsfanene Generelt og Aktivitet , eller la alt stå som det er for å fortsette å vise den ferdigdefinerte aktiviteten.

  4. Når du er fornøyd, velger du Se gjennom og opprett-fanen . Når du ser den sendte valideringsmeldingen , klikker du opprett-knappen nederst.

Opprette en aktivitet fra grunnen av

Klikk legg til aktivitet øverst på aktivitetssiden for å starte veiviseren for aktivitetsoppretting.

Aktivitetsveiviseren – Opprett ny aktivitet åpnes, med feltene tomme.

Generelt-fanen

  1. Skriv inn et navn for aktiviteten (eksempel: «bruker lagt til i gruppe»).

  2. Skriv inn en beskrivelse av aktiviteten (eksempel: «endring av brukergruppemedlemskap basert på Windows-hendelses-ID 4728»).

  3. Velg hvilken type enhet (bruker eller vert) denne spørringen skal spore.

  4. Du kan filtrere etter flere parametere for å forbedre spørringen og optimalisere ytelsen. Du kan for eksempel filtrere etter Active Directory-brukere ved å velge parameteren IsDomainJoined og angi verdien til Sann.

  5. Du kan velge den opprinnelige statusen for aktiviteten til Aktivert eller Deaktivert.

  6. Velg Neste: Aktivitetskonfigurasjon for å fortsette til neste fane.

    Skjermbilde – Opprett en ny aktivitet

Aktivitetskonfigurasjon-fanen

Skrive aktivitetsspørringen

Her skriver eller limer du inn KQL-spørringen som skal brukes til å oppdage aktiviteten for den valgte enheten, og bestemme hvordan den skal representeres på tidslinjen.

Viktig

Vi anbefaler at spørringen bruker en ASIM-analyse (Advanced Security Information Model) og ikke en innebygd tabell. Dette sikrer at spørringen støtter alle gjeldende eller fremtidige relevante datakilder i stedet for én enkelt datakilde.

Hvis du vil koordinere hendelser og oppdage den egendefinerte aktiviteten, krever KQL en inndata av flere parametere, avhengig av enhetstypen. Parameterne er de ulike identifikatorene for den aktuelle enheten.

Det er bedre å velge en sterk identifikator for å ha en-til-en-tilordning mellom spørringsresultatene og enheten. Hvis du velger en svak identifikator, kan det gi unøyaktige resultater. Mer informasjon om enheter og sterke kontra svake identifikatorer.

Tabellen nedenfor inneholder informasjon om enhetenes identifikatorer.

Sterke identifikatorer for konto- og vertsenheter

Minst én identifikator kreves i en spørring.

Enhet Identifikator Beskrivelse
Konto Account_Sid Lokal SID for kontoen i Active Directory
Account_AadUserId Den Microsoft Entra objekt-IDen til brukeren i Microsoft Entra ID
Account_Name + Account_NTDomain Ligner på SamAccountName (eksempel: Contoso\Joe)
Account_Name + Account_UPNSuffix Ligner på UserPrincipalName (eksempel: Joe@Contoso.com)
Vert Host_HostName + Host_NTDomain ligner fullstendig domenenavn (FQDN)
Host_HostName + Host_DnsDomain ligner fullstendig domenenavn (FQDN)
Host_NetBiosName + Host_NTDomain ligner fullstendig domenenavn (FQDN)
Host_NetBiosName + Host_DnsDomain ligner fullstendig domenenavn (FQDN)
Host_AzureID Microsoft Entra objekt-ID-en til verten i Microsoft Entra ID (hvis Microsoft Entra domenet er koblet til)
Host_OMSAgentID OMS-agent-ID-en til agenten som er installert på en bestemt vert (unik per vert)

Basert på enheten som er valgt, vil du se de tilgjengelige identifikatorene. Hvis du klikker på de relevante identifikatorene, limes identifikatoren inn i spørringen på plasseringen av markøren.

Obs!

  • Spørringen kan inneholde opptil 10 felt, så du må projisere feltene du vil bruke.

  • De projiserte feltene må inkludere TimeGenerated-feltet for å plassere den oppdagede aktiviteten på enhetens tidslinje.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Skjermbilde – Angi en spørring for å oppdage aktiviteten

Presentere aktiviteten på tidslinjen

For enkelhets skyld kan det være lurt å finne ut hvordan aktiviteten presenteres på tidslinjen ved å legge til dynamiske parametere i aktivitetsutdataene.

Microsoft Sentinel inneholder innebygde parametere du kan bruke, og du kan også bruke andre basert på feltene du projiserte i spørringen.

Bruk følgende format for parameterne: {{ParameterName}}

Når aktivitetsspørringen består valideringen og viser koblingen Vis spørringsresultater under spørringsvinduet, kan du utvide delen Tilgjengelige verdier for å vise parameterne som er tilgjengelige for bruk når du oppretter en dynamisk aktivitetstittel.

Velg Kopier-ikonet ved siden av en bestemt parameter for å kopiere parameteren til utklippstavlen, slik at du kan lime den inn i aktivitetstittelfeltet ovenfor.

Legg til noen av følgende parametere i spørringen:

  • Alle felt du projiserte i spørringen.

  • Enhetsidentifikatorer for alle enheter som er nevnt i spørringen.

  • StartTimeUTC, for å legge til starttidspunktet for aktiviteten, i UTC-tid.

  • EndTimeUTC, for å legge til sluttidspunktet for aktiviteten, i UTC-tid.

  • Count, for å summere flere KQL-spørringsutdata i én enkelt utdata.

    Parameteren count legger til følgende kommando i spørringen i bakgrunnen, selv om den ikke vises fullstendig i redigeringsprogrammet:

    Summarize count() by <each parameter you’ve projected in the activity>

    Når du deretter bruker filteret for samlingsstørrelse på enhetssidene, legges følgende kommando også til i spørringen som kjøres i bakgrunnen:

    Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)

Eksempel:

Skjermbilde – Se de tilgjengelige verdiene for aktivitetstittelen

Når du er fornøyd med spørringen og aktivitetstittelen, velger du Neste: Se gjennom.

Se mer informasjon om følgende elementer som brukes i eksemplene ovenfor, i Kusto-dokumentasjonen:

Hvis du vil ha mer informasjon om KQL, kan du se Oversikt over Kusto-spørringsspråk (KQL).

Andre ressurser:

Se gjennom og opprett-fanen

  1. Kontroller all konfigurasjonsinformasjonen for den egendefinerte aktiviteten.

  2. Når valideringsmeldingen vises, klikker du Opprett for å opprette aktiviteten. Du kan redigere eller endre den senere på Mine aktiviteter-fanen .

Administrer aktivitetene dine

Administrer egendefinerte aktiviteter fra Mine aktiviteter-fanen . Klikk på ellipsen (...) på slutten av en aktivitetsrad for å:

  • Rediger aktiviteten.
  • Dupliser aktiviteten for å opprette en ny, litt annerledes aktivitet.
  • Slett aktiviteten.
  • Deaktiver aktiviteten (uten å slette den).

Vis aktiviteter på en enhetsside

Når du skriver inn en enhetsside, kjøres alle aktiverte aktivitetsspørringer for denne enheten, noe som gir deg oppdatert informasjon på tidslinjen for enheten. Du ser aktivitetene på tidslinjen sammen med varsler og bokmerker.

Du kan bruke innholdsfilteret for tidslinjen til bare å presentere aktiviteter (eller en kombinasjon av aktiviteter, varsler og bokmerker).

Du kan også bruke Aktiviteter-filteret til å presentere eller skjule bestemte aktiviteter.

Neste trinn

I dette dokumentet lærte du hvordan du oppretter egendefinerte aktiviteter for tidslinjer på enhetssiden. Hvis du vil ha mer informasjon om Microsoft Sentinel, kan du se følgende artikler:

  • Last updated on