Настройка действий на временной шкале на странице сущности

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Внимание

• Настройка действий поддерживается в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
• Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Введение

Помимо действий, которые уже отслеживаются и отображаются на временной шкале в базовой конфигурации Microsoft Sentinel, вы можете создавать любые другие действия, которые желаете отслеживать и отображать на той же временной шкале. Вы можете создавать настраиваемые действия на основе запросов по данным сущностей, размещенным в любом подключенном источнике данных. В следующих примерах показано, как можно использовать эту возможность.

• Добавление новых действий на временную шкалу сущностей путем изменения шаблонов стандартных действий.

• Добавьте новые действия из пользовательских журналов. Например, из журнала физического управления доступом можно добавить действия входа и выхода пользователя для определенной ограниченной области ( например, серверной комнате) к временная шкала пользователя.

Начало работы

• Пользователи Microsoft Sentinel в портал Azure выберите вкладку портал Azure ниже.
• Пользователи единой платформы операций безопасности на портале Microsoft Defender выберите вкладку "Портал Защитника".

Портал Azure

1. В меню навигации Microsoft Sentinel выберите Поведение сущностей.

2. На странице "Поведение сущности" выберите "Настройка сущности" (предварительная версия) в верхней части экрана.

   

Портал Defender

1. На портале Microsoft Defender найдите любую страницу сущности.

   1. Выберите устройства или удостоверения ресурсов>.
   2. Выберите устройство или пользователя из списка. Если вы выбрали пользователя, выберите страницу "Просмотреть пользователя" на следующей всплывающей вкладке .

2. На странице сущности выберите вкладку событий Sentinel.

3. На вкладке "События Sentinel" выберите "Настроить действия Sentinel".

На странице "Настройка действий Sentinel" вы увидите список всех действий, созданных на вкладке "Мои действия". На вкладке "Шаблоны действий" вы увидите коллекцию действий, предлагаемых исследователями по безопасности Майкрософт. Это те действия, которые уже отслеживаются и отображаются на временных шкалах на страницах сущностей.

• Если вы не создали пользовательские действия, страницы сущностей будут отображать все действия, перечисленные на вкладке "Шаблоны действий".

• После создания или настройки действия страницы сущностей будут отображаться только те действия, которые отображаются на вкладке "Мои действия ".

• Если вы хотите, чтобы на страницах сущностей по-прежнему отображались стандартные действия, необходимо создать действие для каждого шаблона, который требуется отслеживать и отображать. Следуйте инструкциям в приведенном ниже разделе "Создание действия из шаблона".

Создание действия из шаблона

1. Перейдите на вкладку "Шаблоны действий", чтобы просмотреть различные действия, доступные по умолчанию. Этот список можно фильтровать по типу сущности и по источнику данных. При выборе действия из списка отображаются следующие сведения в области сведений:

   • описание действия;

   • источник данных, который предоставляет события этого действия;

   • идентификаторы, которые используются для идентификации сущности в необработанных данных;

   • запрос, который приводит к обнаружению этого действия.

2. Нажмите кнопку "Создать действие " в нижней части области сведений, чтобы запустить мастер создания действий.

   Портал Azure

   

   Портал Defender

   

   При выборе действия "Создать" на портале Defender вы перенаправляетесь в мастер действий Microsoft Sentinel в портал Azure на новой вкладке.

3. Откроется страница Activity wizard - Create new activity from template (Мастер действий — Создать новое действие из шаблона), в котором поля уже заполнены значениями из шаблона. Вы можете внести необходимые изменения на вкладках Общие и Конфигурация действия или оставить все как есть, чтобы продолжить отображать стандартное действие.

4. Когда все будет готово, перейдите на вкладку Review and create (Проверка и создание). Когда появится сообщение Validation passed (Проверка прошла успешно), нажмите кнопку Create в нижней части страницы.

Создание действия с нуля

В верхней части страницы действий щелкните Add activity (Добавить действие), чтобы запустить мастер создания действия.

Откроется страница Activity wizard - Create new activity (Мастер действий — Создать новое действие) с пустыми полями.

Вкладка «Общее»

1. Введите имя действия (например, "пользователь добавлен в группу").

2. Введите описание действия (например: "изменение членства в группе пользователей по событию Windows с идентификатором 4728").

3. Выберите тип сущности (пользователь или узел), который будет отслеживать этот запрос.

4. Вы можете применить фильтры по дополнительным параметрам, чтобы дополнительно уточнить запрос и оптимизировать его производительность. Например, можно отфильтровать пользователей из Active Directory, выбрав параметр IsDomainJoined и установив для него значение True.

5. Вы можете выбрать для действия начальное состояние Enabled (Включено) или Disabled (Отключено).

6. Выберите Далее. Конфигурация действия, чтобы перейти на следующую вкладку.

   

Вкладка конфигурации действия

Создание запроса действия

По этим инструкциям вы создадите или скопируете запрос KQL, который будет использоваться для обнаружения действия для выбранной сущности, и определите его представление на временной шкале.

Внимание

Мы рекомендуем использовать в запросе средство синтаксического анализа модели расширенной информации о безопасности (ASIM), а не встроенную таблицу. Так запрос будет точно поддерживать текущий или будущий подходящий источник данных, а не единственный источник данных.

Чтобы правильно сопоставлять события и обнаруживать пользовательское действие, KQL потребуется еще несколько параметров в зависимости от типа сущности. Эти параметры представляют собой разные идентификаторы рассматриваемой сущности.

Лучше выбрать строгий идентификатор, чтобы настроить сопоставления "один к одному" между результатами запроса и сущностью. Выбор слабого идентификатора может приводить к неточным результатам. Дополнительные сведения о сущностях, а также строгих и слабых идентификаторах.

В следующей таблице собрана информация об идентификаторах сущностей.

Строгие идентификаторы для сущностей учетной записи и узла

Каждый запрос должен возвращать не менее одного идентификатора.

Объект	Идентификатор	Description
Учетная запись	Account_Sid	Локальный идентификатор безопасности учетной записи в Active Directory
	Account_AadUserId	Идентификатор объекта Microsoft Entra пользователя в идентификаторе Microsoft Entra
	Account_Name + Account_NTDomain	Аналогично SamAccountName (пример: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Аналогично UserPrincipalName (например: Joe@Contoso.com)
Узел	Host_HostName + Host_NTDomain	Аналогично полному доменному имени (FQDN)
	Host_HostName + Host_DnsDomain	Аналогично полному доменному имени (FQDN)
	Host_NetBiosName + Host_NTDomain	Аналогично полному доменному имени (FQDN)
	Host_NetBiosName + Host_DnsDomain	Аналогично полному доменному имени (FQDN)
	Host_AzureID	Идентификатор объекта Microsoft Entra узла в идентификаторе Microsoft Entra (если присоединен домен Microsoft Entra)
	Host_OMSAgentID	Идентификатор агента OMS для агента, установленного на определенном узле (уникальный идентификатор для каждого узла).

В зависимости от выбранной сущности вы увидите разные доступные идентификаторы. Щелчок по нужному идентификатору вставит этот идентификатор в запрос (в текущем положении курсора).

Примечание.

• Запрос может содержать до 10 полей, поэтому вам необходимо проецировать нужные поля.

• Проецируемые поля должны включать поле TimeGenerated, чтобы разместить обнаруженное действие на временной шкале сущности.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Представление действия на временной шкале

Для удобства можно определить, как действие будет представлено на временной шкале, добавив динамические параметры в выходные данные действия.

Microsoft Sentinel предоставляет для этой цели встроенные параметры, однако в зависимости от проецируемых в запросе полей вы можете использовать другие поля.

Используйте следующий формат параметров: {{ParameterName}}

После проверки запроса и отображения ссылки Просмотреть результаты запроса под окном запроса вы можете развернуть раздел Доступные значения и просмотреть параметры, доступные при создании заголовка динамического действия.

Щелкните значок Копировать рядом с нужным параметром, чтобы скопировать его в буфер обмена для последующей вставки в поле Заголовок действия.

Добавьте в запрос любой из следующих параметров:

• Любое поле, которое вы проецируете в запросе.

• Идентификаторы любых сущностей, упоминаемых в запросе.

• StartTimeUTC — время начала действия в формате UTC.

• EndTimeUTC — время завершения действия в формате UTC.

• Count — объединение выходных данных нескольких запросов KQL в одном блоке выходных данных.

  Параметр count в фоновом режиме добавляет в запрос следующую команду, даже если он не отображается полностью в редакторе:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Затем, при использовании фильтра Размер контейнера на страницах сущностей, в запрос также добавляется следующая выполняемая в фоновом режиме команда:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Например:

После завершения работы с запросом и заголовком действия выберите Далее: проверка.

Вкладка "Проверка и создание"

1. Проверьте все сведения о конфигурации настраиваемого действия.

2. Когда появится сообщение Validation passed (Проверка пройдена), нажмите кнопку Create (Создать), чтобы создать действие. Его можно изменить позже на вкладке My Activities (Мои действия).

Управление действиями

Пользовательскими действиями можно управлять на вкладке My Activities (Мои действия). Нажмите кнопку с многоточием (…) в конце строки действия, чтобы:

• изменить это действие;
• дублировать действие, чтобы создать новое, с некоторыми отличиями;
• удалить действие;
• отключить действие (не удаляя его).

Просмотр действий на странице сущности

При каждом входе на страницу сущности будут выполняться все включенные запросы на действия для этой сущности, что позволит получить актуальные сведения на временной шкале сущности. Действия будут отображаться на временной шкале наряду с предупреждениями и закладками.

Фильтр Timeline content (Содержимое временной шкалы) можно использовать для отображения только действий (а также действий, оповещений и закладок в любых сочетаниях).

Можно также использовать фильтр Activities (Действия) для отображения или скрытия конкретных действий.

Следующие шаги

Из этого документа вы узнали, как создавать настраиваемые действия для временной шкалы на странице сущности. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Получите полное представление о сущностях на страницах сущностей.
• Сведения о включении аналитики поведения пользователей и сущностей (UEBA).
• Изучите полный список доступных сущностей и идентификаторов.