Настройка действий на временной шкале на странице сущности

2025-05-26
Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Внимание

Настройка действия доступна в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены. Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel (блог).

Введение

Помимо действий, которые уже отслеживаются и отображаются на временной шкале в базовой конфигурации Microsoft Sentinel, вы можете создавать любые другие действия, которые желаете отслеживать и отображать на той же временной шкале. Вы можете создавать настраиваемые действия на основе запросов по данным сущностей, размещенным в любом подключенном источнике данных. В следующих примерах показано, как можно использовать эту возможность.

Добавление новых действий на временную шкалу сущностей путем изменения шаблонов стандартных действий.
Добавьте новые действия из пользовательских журналов. Например, из журнала физического управления доступом можно добавить действия входа и выхода пользователя для определенной ограниченной области (например, серверной комнаты) на временную шкалу пользователя.

Начало работы

Пользователи Microsoft Sentinel на портале Azure, выберите ниже вкладку портала Azure.
Пользователи портала Microsoft Defender выберите вкладку "Портал Defender ".

Портал Azure
Портал Defender

В меню навигации Microsoft Sentinel выберите поведение сущности.
На странице "Поведение сущности" выберите "Настройка сущности" (предварительная версия) в верхней части экрана.

На странице "Настройка действий Sentinel " вы увидите список всех действий, созданных на вкладке "Мои действия ". На вкладке "Шаблоны действий " вы увидите коллекцию действий, предлагаемых исследователями по безопасности Майкрософт. Это те действия, которые уже отслеживаются и отображаются на временных шкалах на страницах сущностей.

Если вы не создали пользовательские действия, страницы сущностей будут отображать все действия, перечисленные на вкладке "Шаблоны действий".
После создания или настройки действия на страницах сущностей будут отображаться только те действия, которые видны на вкладке "Мои действия".
Если вы хотите, чтобы на страницах сущностей по-прежнему отображались стандартные действия, необходимо создать действие для каждого шаблона, который требуется отслеживать и отображать. Следуйте инструкциям в приведенном ниже разделе "Создание действия из шаблона".

Создание действия из шаблона

Перейдите на вкладку "Шаблоны действий ", чтобы просмотреть различные действия, доступные по умолчанию. Этот список можно фильтровать по типу сущности и по источнику данных. При выборе действия из списка отображаются следующие сведения в области сведений:
- описание действия;
- источник данных, который предоставляет события этого действия;
- идентификаторы, которые используются для идентификации сущности в необработанных данных;
- запрос, который приводит к обнаружению этого действия.
Нажмите кнопку "Создать действие " в нижней части области сведений, чтобы запустить мастер создания действий.
- Портал Azure
- Портал Defender
При выборе действия "Создать" на портале Defender вы перенаправляетесь в мастер действий Microsoft Sentinel на портале Azure на новой вкладке.
Мастер действий— создание нового действия из шаблона откроется с полями, которые уже заполнены из шаблона. Вы можете внести изменения по вашему усмотрению на вкладках "Общие" и "Конфигурация действий", или оставить все как есть, чтобы продолжить просмотр стандартных действий.
Когда вы удовлетворены, выберите вкладку "Рецензирование" и "Создать ". Когда появится сообщение "Проверка пройдена" , нажмите кнопку "Создать " в нижней части экрана.

Создание действия с нуля

В верхней части страницы действий нажмите кнопку "Добавить действие ", чтобы запустить мастер создания действий.

Мастер действий— создание нового действия откроется с пустыми полями.

Вкладка «Общее»

Введите имя действия (например, "пользователь добавлен в группу").
Введите описание действия (например: "изменение членства в группе пользователей по событию Windows с идентификатором 4728").
Выберите тип сущности (пользователь или узел), который будет отслеживать этот запрос.
Вы можете применить фильтры по дополнительным параметрам, чтобы дополнительно уточнить запрос и оптимизировать его производительность. Например, можно отфильтровать пользователей Active Directory, выбрав параметр IsDomainJoined и задав значение True.
Вы можете выбрать начальное состояние действия в режиме "Включено " или "Отключено".
Нажмите кнопку "Далее" — конфигурация действий , чтобы перейти на следующую вкладку.

Вкладка конфигурации действия

Создание запроса действия

По этим инструкциям вы создадите или скопируете запрос KQL, который будет использоваться для обнаружения действия для выбранной сущности, и определите его представление на временной шкале.

Внимание

Мы рекомендуем использовать средство синтаксического анализа расширенной информационной модели безопасности (ASIM), а не встроенную таблицу. Так запрос будет точно поддерживать текущий или будущий подходящий источник данных, а не единственный источник данных.

Чтобы правильно сопоставлять события и обнаруживать пользовательское действие, KQL потребуется еще несколько параметров в зависимости от типа сущности. Эти параметры представляют собой разные идентификаторы рассматриваемой сущности.

Лучше выбрать строгий идентификатор, чтобы настроить сопоставления "один к одному" между результатами запроса и сущностью. Выбор слабого идентификатора может приводить к неточным результатам. Узнайте больше о сущностях и сильных и слабых идентификаторах.

В следующей таблице собрана информация об идентификаторах сущностей.

Надежные идентификаторы для сущностей учетной записи и хостов

Каждый запрос должен возвращать не менее одного идентификатора.

Объект	Идентификатор	Описание
Счет	Account_Sid	Локальный идентификатор безопасности учетной записи в Active Directory
	Account_AadUserId	Идентификатор объекта Microsoft Entra пользователя в идентификаторе Microsoft Entra
	Имя_учётной_записи + Учётный_домен_учётной_записи	Аналогично SamAccountName (пример: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Аналогично UserPrincipalName (например: [email protected])
Хозяин	Host_HostName + Host_NTDomain	Аналогично полному доменному имени (FQDN)
	Host_HostName + Host_DnsDomain	Аналогично полному доменному имени (FQDN)
	Host_NetBiosName + Host_NTDomain	Аналогично полному доменному имени (FQDN)
	Host_NetBiosName + Host_DnsDomain	Аналогично полному доменному имени (FQDN)
	Host_AzureID	Идентификатор объекта Microsoft Entra узла в идентификаторе Microsoft Entra (если присоединен домен Microsoft Entra)
	Host_OMSAgentID	Идентификатор агента OMS для агента, установленного на определенном узле (уникальный идентификатор для каждого узла).

В зависимости от выбранной сущности вы увидите разные доступные идентификаторы. Щелчок по нужному идентификатору вставит этот идентификатор в запрос (в текущем положении курсора).

Примечание.

Запрос может содержать до 10 полей, поэтому необходимо проецировать нужные поля.
Проецируемые поля должны включать поле TimeGenerated , чтобы разместить обнаруженное действие на временной шкале сущности.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Снимок экрана: ввод запроса для обнаружения действия

Представление действия на временной шкале

Для удобства можно определить, как действие будет представлено на временной шкале, добавив динамические параметры в выходные данные действия.

Microsoft Sentinel предоставляет для этой цели встроенные параметры, однако в зависимости от проецируемых в запросе полей вы можете использовать другие поля.

Используйте следующий формат параметров: {{ParameterName}}

После прохождения проверки запроса действия и отображения ссылки " Просмотр результатов запроса " под окном запроса вы сможете развернуть раздел "Доступные значения " для просмотра параметров, доступных при создании заголовка динамического действия.

Нажмите на значок копирования рядом с конкретным параметром, чтобы скопировать его в буфер обмена и вставить в поле заголовка действия, расположенное выше.

Добавьте в запрос любой из следующих параметров:

Любое поле, которое вы проецируете в запросе.
Идентификаторы любых сущностей, упоминаемых в запросе.
StartTimeUTC — время начала действия в формате UTC.
EndTimeUTC — время завершения действия в формате UTC.
Count — объединение выходных данных нескольких запросов KQL в одном блоке выходных данных.

Параметр count в фоновом режиме добавляет в запрос следующую команду, даже если он не отображается полностью в редакторе:
```
Summarize count() by <each parameter you’ve projected in the activity>
```
Затем при использовании фильтра "Размер контейнера " на страницах сущностей также добавляется следующая команда в запрос, который выполняется в фоновом режиме:
```
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
```

Например:

Снимок экрана: посмотрите доступные значения для заголовка вашей активности

Если вы удовлетворены заголовком запроса и действия, нажмите кнопку "Далее: Проверка".

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:

Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

Другие ресурсы:

Вкладка "Проверка и создание"

Проверьте все сведения о конфигурации настраиваемого действия.
Когда появится сообщение Операция прошла проверку, нажмите Создать, чтобы создать действие. Вы можете отредактировать или изменить его позже на вкладке Мои действия.

Управление действиями

Управление пользовательскими действиями на вкладке "Мои действия ". Щелкните многоточие (...) в конце строки действия, чтобы:

изменить это действие;
дублировать действие, чтобы создать новое, с некоторыми отличиями;
удалить действие;
отключить действие (не удаляя его).

Просмотр действий на странице сущности

При каждом входе на страницу сущности будут выполняться все включенные запросы на действия для этой сущности, что позволит получить актуальные сведения на временной шкале сущности. Действия будут отображаться на временной шкале наряду с предупреждениями и закладками.

Фильтр содержимого временной шкалы можно использовать для представления только действий (или любого сочетания действий, оповещений и закладок).

Вы также можете использовать фильтр действий для представления или скрытия определенных действий.

Следующие шаги

Из этого документа вы узнали, как создавать настраиваемые действия для временной шкалы на странице сущности. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

Узнайте полную картину на страницах сущностей.
Узнайте о аналитике поведения пользователей и сущностей (UEBA).
Полный список сущностей и идентификаторов.