Menyesuaikan aktivitas pada garis waktu halaman entitas

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Penting

• Penyesuaian aktivitas ada dalam PREVIEW. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
• Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Pengantar

Selain aktivitas yang dilacak dan disajikan di garis waktu oleh Microsoft Sentinel di luar kotak, Anda juga dapat membuat aktivitas lain yang ingin Anda lacak dan menyajikannya di garis waktu. Anda dapat membuat aktivitas yang disesuaikan berdasarkan kueri data entitas dari sumber data yang tersambung. Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kapabilitas ini:

• Tambahkan aktivitas baru ke garis waktu entitas dengan memodifikasi templat aktivitas di luar kotak yang ada.

• Tambahkan aktivitas baru dari log kustom. Misalnya, dari log kontrol akses fisik, Anda dapat menambahkan aktivitas masuk dan keluar pengguna untuk area terbatas tertentu—misalnya, ruang server—ke garis waktu pengguna.

Memulai

• Pengguna Microsoft Azure Sentinel di portal Azure, pilih tab portal Azure di bawah ini.
• Pengguna platform operasi keamanan terpadu di portal Pertahanan Microsoft, pilih tab portal Pertahanan.

Portal Azure

1. Dari menu navigasi Microsoft Sentinel, pilih Perilaku entitas.

2. Pada halaman Perilaku entitas, pilih Sesuaikan halaman entitas (Pratinjau) di bagian atas layar.

   

Portal pertahanan

1. Di portal Microsoft Defender, temukan halaman entitas apa pun.

   1. Pilih Perangkat Aset > atau Identitas.
   2. Pilih perangkat atau pengguna dari daftar. Jika Anda memilih pengguna, pilih Tampilkan halaman pengguna pada popup berikut.

2. Pada halaman entitas, pilih tab peristiwa Sentinel.

3. Pada tab Peristiwa Sentinel, pilih Kustomisasi aktivitas Sentinel.

Pada halaman Kustomisasi aktivitas Sentinel, Anda akan melihat daftar aktivitas apa pun yang telah Anda buat di tab Aktivitas saya. Di tab Templat aktivitas, Anda akan melihat kumpulan aktivitas yang ditawarkan secara langsung oleh peneliti keamanan Microsoft. Ini adalah aktivitas yang sudah dilacak dan ditampilkan pada garis waktu di halaman entitas Anda.

• Selama Anda belum membuat aktivitas yang ditentukan pengguna, halaman entitas Anda akan menampilkan semua aktivitas yang tercantum di bawah tab Templat aktivitas.

• Setelah Anda membuat atau menyesuaikan aktivitas, halaman entitas Anda hanya akan menampilkan aktivitas tersebut, yang muncul di tab Aktivitas saya.

• Jika ingin terus melihat aktivitas lainnya di halaman entitas, Anda harus membuat aktivitas untuk setiap template yang ingin dilacak dan ditampilkan. Ikuti petunjuk bagian "Membuat aktivitas dari template" berikut.

Membuat aktivitas dari templat

1. Pilih tab Templat aktivitas untuk melihat berbagai aktivitas yang tersedia secara default. Anda dapat memfilter daftar menurut jenis entitas serta berdasarkan sumber data. Memilih aktivitas dari daftar akan menampilkan informasi berikut di panel detail:

   • Deskripsi aktivitas

   • Sumber data yang menyediakan peristiwa yang membentuk aktivitas

   • Pengidentifikasi yang digunakan untuk mengidentifikasi entitas dalam data mentah

   • Kueri yang menghasilkan deteksi aktivitas ini

2. Pilih Buat aktivitas di bagian bawah panel detail untuk memulai wizard pembuatan aktivitas.

   Portal Azure

   

   Portal pertahanan

   

   Saat Anda memilih Buat aktivitas di portal Defender, Anda diarahkan ke wizard aktivitas Microsoft Azure Sentinel di portal Azure di tab baru.

3. Wizard aktivitas - Membuat aktivitas baru dari templat akan terbuka, dengan bidangnya sudah terisi dari templat. Anda dapat membuat perubahan sesuka Anda di tab Umum dan Konfigurasi aktivitas, atau membiarkannya saja untuk tetap melihat aktivitas lainnya.

4. Setelah Anda puas, pilih tab Tinjau dan buat. Saat Anda melihat pesan Lulus validasi, klik tombol Buat di bagian bawah.

Membuat aktivitas dari awal

Dari bagian atas halaman aktivitas, klik Tambahkan aktivitas untuk memulai wizard pembuatan aktivitas.

Wizard aktivitas - Membuat aktivitas baru akan terbuka, dengan bidang kosong.

Tab Umum

1. Masukkan nama untuk aktivitas Anda (misalnya: "pengguna ditambahkan ke grup").

2. Masukkan deskripsi aktivitas (misalnya: "perubahan keanggotaan grup pengguna berdasarkan ID peristiwa Windows 4728").

3. Pilih jenis entitas (pengguna atau host) kueri ini akan dilacak.

4. Anda dapat memfilter menurut parameter tambahan untuk membantu memperbaiki kueri dan mengoptimalkan performanya. Misalnya, Anda dapat memfilter untuk pengguna Direktori Aktif dengan memilih parameter IsDomainJoined dan mengatur nilai ke True.

5. Anda dapat memilih status awal aktivitas ke Diaktifkan atau Dinonaktifkan.

6. Pilih Berikutnya: Konfigurasi aktivitas untuk lanjut ke tab berikutnya.

   

Tab konfigurasi aktivitas

Menulis kueri aktivitas

Di sini Anda akan menulis atau menempelkan kueri KQL yang akan digunakan untuk mendeteksi aktivitas untuk entitas yang dipilih, dan menentukan bagaimana entitas akan diwakili dalam garis waktu.

Penting

Kami menyarankan agar kueri Anda menggunakan pengurai Advanced Security Information Model (ASIM) dan bukan tabel bawaan. Ini memastikan bahwa kueri akan mendukung sumber data relevan saat ini atau masa depan daripada satu sumber data.

Untuk menghubungkan peristiwa dan mendeteksi aktivitas kustom, KQL memerlukan input beberapa parameter, tergantung pada jenis entitas. Parameternya adalah berbagai pengidentifikasi entitas yang dimaksud.

Memilih pengidentifikasi yang kuat lebih baik agar memiliki pemetaan satu ke satu antara hasil kueri dan entitas. Memilih pengidentifikasi yang lemah dapat membuat hasil yang tidak akurat. Pelajari lebih lanjut tentang entitas dan pengidentifikasi yang kuat vs. lemah.

Tabel berikut menyediakan informasi tentang pengidentifikasi entitas.

Pengidentifikasi yang kuat untuk entitas akun dan host

Setidaknya satu pengidentifikasi diperlukan dalam kueri.

Entity	pengidentifikasi	Deskripsi
Rekening	Account_Sid	SID lokal dari akun di Direktori Aktif
	Account_AadUserId	ID objek Microsoft Entra pengguna di MICROSOFT Entra ID
	Account_Name + Account_NTDomain	Mirip dengan SamAccountName (contoh: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Mirip dengan UserPrincipalName (misalnya: Joe@Contoso.com)
Host	Host_HostName + Host_NTDomain	mirip dengan nama domain yang sepenuhnya memenuhi syarat (FQDN)
	Host_HostName + Host_DnsDomain	mirip dengan nama domain yang sepenuhnya memenuhi syarat (FQDN)
	Host_NetBiosName + Host_NTDomain	mirip dengan nama domain yang sepenuhnya memenuhi syarat (FQDN)
	Host_NetBiosName + Host_DnsDomain	mirip dengan nama domain yang sepenuhnya memenuhi syarat (FQDN)
	Host_AzureID	ID objek Microsoft Entra host di ID Microsoft Entra (jika domain Microsoft Entra bergabung)
	Host_OMSAgentID	ID Agen OMS agen yang diinstal pada host tertentu (unik per host)

Berdasarkan entitas yang dipilih, Anda akan melihat pengidentifikasi yang tersedia. Mengklik pengidentifikasi yang relevan akan menempelkan pengidentifikasi ke dalam kueri, di lokasi kursor.

Catatan

• Kueri dapat berisi maksimal 10 bidang, sehingga Anda harus memproyeksikan bidang yang diinginkan.

• Bidang yang diproyeksikan harus berisi bidang TimeGenerated, untuk menempatkan aktivitas yang terdeteksi dalam garis waktu entitas.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Menyajikan aktivitas di garis waktu

Untuk mempermudah, sebaiknya tentukan bagaimana aktivitas disajikan dalam garis waktu dengan menambahkan parameter dinamis ke output aktivitas.

Microsoft Sentinel menyediakan parameter bawaan untuk Anda gunakan, dan Anda juga dapat menggunakan yang lain berdasarkan bidang yang Anda proyeksikan dalam kueri.

Gunakan format berikut untuk parameter Anda: {{ParameterName}}

Setelah kueri aktivitas melewati validasi dan menampilkan tautan Tampilkan hasil kueri di bawah jendela kueri, Anda akan dapat memperluas bagian Nilai yang Tersedia untuk melihat parameter yang tersedia untuk Anda gunakan saat membuat judul aktivitas dinamis.

Pilih ikon Salin di samping parameter tertentu untuk menyalin parameter tersebut ke papan klip Anda agar Anda dapat menempelkannya ke bidang Judul aktivitas di atas.

Tambahkan salah satu parameter berikut ke kueri Anda:

• Bidang apa pun yang Anda proyeksikan dalam kueri.

• Pengidentifikasi entitas dari setiap entitas yang disebutkan dalam kueri.

• StartTimeUTC, untuk menambahkan waktu mulai aktivitas, dalam waktu UTC.

• EndTimeUTC, untuk menambahkan waktu akhir aktivitas, dalam waktu UTC.

• Count, untuk meringkas beberapa output kueri KQL menjadi satu output.

  Parameter count menambahkan perintah berikut ke kueri Anda di latar belakang, meskipun tidak ditampilkan sepenuhnya di editor:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Kemudian, saat Anda menggunakan filter Ukuran Wadah di halaman entitas, perintah berikut juga ditambahkan ke kueri yang dijalankan di latar belakang:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Contohnya:

Ketika Anda puas dengan judul kueri dan aktivitas Anda, pilih Berikutnya: Tinjau.

Meninjau dan membuat tab

1. Verifikasi semua informasi konfigurasi aktivitas kustom Anda.

2. Saat pesan Lolos validasi muncul, klik Buat untuk membuat aktivitas. Anda dapat mengedit atau mengubahnya nanti di tab Aktivitas Saya.

Mengelola aktivitas Anda

Kelola aktivitas kustom Anda dari tab Aktivitas Saya. Klik elipsis (...) di akhir baris aktivitas untuk:

• Mengedit aktivitas.
• Menduplikat aktivitas untuk membuat yang baru, sedikit berbeda.
• Menghapus aktivitas.
• Menonaktifkan aktivitas (tanpa menghapusnya).

Menampilkan aktivitas di halaman entitas

Setiap kali Anda memasukkan halaman entitas, semua kueri aktivitas yang diaktifkan untuk entitas tersebut akan berjalan, memberi Anda informasi terbaru di garis waktu entitas. Anda akan melihat aktivitas di garis waktu, bersama dengan pemberitahuan dan marka buku.

Anda dapat menggunakan filter Konten garis waktu untuk menyajikan aktivitas saja (atau kombinasi aktivitas, pemberitahuan, dan marka buku apa pun).

Anda juga dapat menggunakan filter Aktivitas untuk menyajikan atau menyembunyikan aktivitas tertentu.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara membuat aktivitas kustom untuk garis waktu halaman entitas Anda. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Dapatkan gambar lengkap di halaman entitas.
• Pelajari tentang Analitik Perilaku Pengguna dan Entitas (UEBA).
• Lihat daftar lengkap entitas dan pengidentifikasi.