Menyesuaikan aktivitas pada garis waktu halaman entitas
Penting
- Penyesuaian aktivitas ada dalam PREVIEW. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
- Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Pengantar
Selain aktivitas yang dilacak dan disajikan di garis waktu oleh Microsoft Sentinel di luar kotak, Anda juga dapat membuat aktivitas lain yang ingin Anda lacak dan menyajikannya di garis waktu. Anda dapat membuat aktivitas yang disesuaikan berdasarkan kueri data entitas dari sumber data yang tersambung. Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kapabilitas ini:
Tambahkan aktivitas baru ke garis waktu entitas dengan memodifikasi templat aktivitas di luar kotak yang ada.
Tambahkan aktivitas baru dari log kustom. Misalnya, dari log kontrol akses fisik, Anda dapat menambahkan aktivitas masuk dan keluar pengguna untuk area terbatas tertentu—misalnya, ruang server—ke garis waktu pengguna.
Memulai
- Pengguna Microsoft Azure Sentinel di portal Azure, pilih tab portal Azure di bawah ini.
- Pengguna platform operasi keamanan terpadu di portal Pertahanan Microsoft, pilih tab portal Pertahanan.
Dari menu navigasi Microsoft Sentinel, pilih Perilaku entitas.
Pada halaman Perilaku entitas, pilih Sesuaikan halaman entitas (Pratinjau) di bagian atas layar.
Pada halaman Kustomisasi aktivitas Sentinel, Anda akan melihat daftar aktivitas apa pun yang telah Anda buat di tab Aktivitas saya. Di tab Templat aktivitas, Anda akan melihat kumpulan aktivitas yang ditawarkan secara langsung oleh peneliti keamanan Microsoft. Ini adalah aktivitas yang sudah dilacak dan ditampilkan pada garis waktu di halaman entitas Anda.
Selama Anda belum membuat aktivitas yang ditentukan pengguna, halaman entitas Anda akan menampilkan semua aktivitas yang tercantum di bawah tab Templat aktivitas.
Setelah Anda membuat atau menyesuaikan aktivitas, halaman entitas Anda hanya akan menampilkan aktivitas tersebut, yang muncul di tab Aktivitas saya.
Jika ingin terus melihat aktivitas lainnya di halaman entitas, Anda harus membuat aktivitas untuk setiap template yang ingin dilacak dan ditampilkan. Ikuti petunjuk bagian "Membuat aktivitas dari template" berikut.
Membuat aktivitas dari templat
Pilih tab Templat aktivitas untuk melihat berbagai aktivitas yang tersedia secara default. Anda dapat memfilter daftar menurut jenis entitas serta berdasarkan sumber data. Memilih aktivitas dari daftar akan menampilkan informasi berikut di panel detail:
Deskripsi aktivitas
Sumber data yang menyediakan peristiwa yang membentuk aktivitas
Pengidentifikasi yang digunakan untuk mengidentifikasi entitas dalam data mentah
Kueri yang menghasilkan deteksi aktivitas ini
Pilih Buat aktivitas di bagian bawah panel detail untuk memulai wizard pembuatan aktivitas.
Wizard aktivitas - Membuat aktivitas baru dari templat akan terbuka, dengan bidangnya sudah terisi dari templat. Anda dapat membuat perubahan sesuka Anda di tab Umum dan Konfigurasi aktivitas, atau membiarkannya saja untuk tetap melihat aktivitas lainnya.
Setelah Anda puas, pilih tab Tinjau dan buat. Saat Anda melihat pesan Lulus validasi, klik tombol Buat di bagian bawah.
Membuat aktivitas dari awal
Dari bagian atas halaman aktivitas, klik Tambahkan aktivitas untuk memulai wizard pembuatan aktivitas.
Wizard aktivitas - Membuat aktivitas baru akan terbuka, dengan bidang kosong.
Tab Umum
Masukkan nama untuk aktivitas Anda (misalnya: "pengguna ditambahkan ke grup").
Masukkan deskripsi aktivitas (misalnya: "perubahan keanggotaan grup pengguna berdasarkan ID peristiwa Windows 4728").
Pilih jenis entitas (pengguna atau host) kueri ini akan dilacak.
Anda dapat memfilter menurut parameter tambahan untuk membantu memperbaiki kueri dan mengoptimalkan performanya. Misalnya, Anda dapat memfilter untuk pengguna Direktori Aktif dengan memilih parameter IsDomainJoined dan mengatur nilai ke True.
Anda dapat memilih status awal aktivitas ke Diaktifkan atau Dinonaktifkan.
Pilih Berikutnya: Konfigurasi aktivitas untuk lanjut ke tab berikutnya.
Tab konfigurasi aktivitas
Menulis kueri aktivitas
Di sini Anda akan menulis atau menempelkan kueri KQL yang akan digunakan untuk mendeteksi aktivitas untuk entitas yang dipilih, dan menentukan bagaimana entitas akan diwakili dalam garis waktu.
Penting
Kami menyarankan agar kueri Anda menggunakan pengurai Advanced Security Information Model (ASIM) dan bukan tabel bawaan. Ini memastikan bahwa kueri akan mendukung sumber data relevan saat ini atau masa depan daripada satu sumber data.
Untuk menghubungkan peristiwa dan mendeteksi aktivitas kustom, KQL memerlukan input beberapa parameter, tergantung pada jenis entitas. Parameternya adalah berbagai pengidentifikasi entitas yang dimaksud.
Memilih pengidentifikasi yang kuat lebih baik agar memiliki pemetaan satu ke satu antara hasil kueri dan entitas. Memilih pengidentifikasi yang lemah dapat membuat hasil yang tidak akurat. Pelajari lebih lanjut tentang entitas dan pengidentifikasi yang kuat vs. lemah.
Tabel berikut menyediakan informasi tentang pengidentifikasi entitas.
Pengidentifikasi yang kuat untuk entitas akun dan host
Setidaknya satu pengidentifikasi diperlukan dalam kueri.
Entity | pengidentifikasi | Deskripsi |
---|---|---|
Rekening | Account_Sid | SID lokal dari akun di Direktori Aktif |
Account_AadUserId | ID objek Microsoft Entra pengguna di MICROSOFT Entra ID | |
Account_Name + Account_NTDomain | Mirip dengan SamAccountName (contoh: Contoso\Joe) | |
Account_Name + Account_UPNSuffix | Mirip dengan UserPrincipalName (misalnya: Joe@Contoso.com) | |
Host | Host_HostName + Host_NTDomain | mirip dengan nama domain yang sepenuhnya memenuhi syarat (FQDN) |
Host_HostName + Host_DnsDomain | mirip dengan nama domain yang sepenuhnya memenuhi syarat (FQDN) | |
Host_NetBiosName + Host_NTDomain | mirip dengan nama domain yang sepenuhnya memenuhi syarat (FQDN) | |
Host_NetBiosName + Host_DnsDomain | mirip dengan nama domain yang sepenuhnya memenuhi syarat (FQDN) | |
Host_AzureID | ID objek Microsoft Entra host di ID Microsoft Entra (jika domain Microsoft Entra bergabung) | |
Host_OMSAgentID | ID Agen OMS agen yang diinstal pada host tertentu (unik per host) |
Berdasarkan entitas yang dipilih, Anda akan melihat pengidentifikasi yang tersedia. Mengklik pengidentifikasi yang relevan akan menempelkan pengidentifikasi ke dalam kueri, di lokasi kursor.
Catatan
Kueri dapat berisi maksimal 10 bidang, sehingga Anda harus memproyeksikan bidang yang diinginkan.
Bidang yang diproyeksikan harus berisi bidang TimeGenerated, untuk menempatkan aktivitas yang terdeteksi dalam garis waktu entitas.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
Menyajikan aktivitas di garis waktu
Untuk mempermudah, sebaiknya tentukan bagaimana aktivitas disajikan dalam garis waktu dengan menambahkan parameter dinamis ke output aktivitas.
Microsoft Sentinel menyediakan parameter bawaan untuk Anda gunakan, dan Anda juga dapat menggunakan yang lain berdasarkan bidang yang Anda proyeksikan dalam kueri.
Gunakan format berikut untuk parameter Anda: {{ParameterName}}
Setelah kueri aktivitas melewati validasi dan menampilkan tautan Tampilkan hasil kueri di bawah jendela kueri, Anda akan dapat memperluas bagian Nilai yang Tersedia untuk melihat parameter yang tersedia untuk Anda gunakan saat membuat judul aktivitas dinamis.
Pilih ikon Salin di samping parameter tertentu untuk menyalin parameter tersebut ke papan klip Anda agar Anda dapat menempelkannya ke bidang Judul aktivitas di atas.
Tambahkan salah satu parameter berikut ke kueri Anda:
Bidang apa pun yang Anda proyeksikan dalam kueri.
Pengidentifikasi entitas dari setiap entitas yang disebutkan dalam kueri.
StartTimeUTC
, untuk menambahkan waktu mulai aktivitas, dalam waktu UTC.EndTimeUTC
, untuk menambahkan waktu akhir aktivitas, dalam waktu UTC.Count
, untuk meringkas beberapa output kueri KQL menjadi satu output.Parameter
count
menambahkan perintah berikut ke kueri Anda di latar belakang, meskipun tidak ditampilkan sepenuhnya di editor:Summarize count() by <each parameter you’ve projected in the activity>
Kemudian, saat Anda menggunakan filter Ukuran Wadah di halaman entitas, perintah berikut juga ditambahkan ke kueri yang dijalankan di latar belakang:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Contohnya:
Ketika Anda puas dengan judul kueri dan aktivitas Anda, pilih Berikutnya: Tinjau.
Meninjau dan membuat tab
Verifikasi semua informasi konfigurasi aktivitas kustom Anda.
Saat pesan Lolos validasi muncul, klik Buat untuk membuat aktivitas. Anda dapat mengedit atau mengubahnya nanti di tab Aktivitas Saya.
Mengelola aktivitas Anda
Kelola aktivitas kustom Anda dari tab Aktivitas Saya. Klik elipsis (...) di akhir baris aktivitas untuk:
- Mengedit aktivitas.
- Menduplikat aktivitas untuk membuat yang baru, sedikit berbeda.
- Menghapus aktivitas.
- Menonaktifkan aktivitas (tanpa menghapusnya).
Menampilkan aktivitas di halaman entitas
Setiap kali Anda memasukkan halaman entitas, semua kueri aktivitas yang diaktifkan untuk entitas tersebut akan berjalan, memberi Anda informasi terbaru di garis waktu entitas. Anda akan melihat aktivitas di garis waktu, bersama dengan pemberitahuan dan marka buku.
Anda dapat menggunakan filter Konten garis waktu untuk menyajikan aktivitas saja (atau kombinasi aktivitas, pemberitahuan, dan marka buku apa pun).
Anda juga dapat menggunakan filter Aktivitas untuk menyajikan atau menyembunyikan aktivitas tertentu.
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari cara membuat aktivitas kustom untuk garis waktu halaman entitas Anda. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:
- Dapatkan gambar lengkap di halaman entitas.
- Pelajari tentang Analitik Perilaku Pengguna dan Entitas (UEBA).
- Lihat daftar lengkap entitas dan pengidentifikasi.