Utilizando o Get-AzSentinelEntityActivity para análise de atividades no Azure Sentinel

Título: Utilizando o Get-AzSentinelEntityActivity para análise de atividades no Azure Sentinel

Introdução:
O Azure Sentinel é uma plataforma de segurança nativa na nuvem que fornece inteligência de segurança avançada para proteger sua organização contra ameaças. Uma das funcionalidades do Azure Sentinel é o cmdlet Get-AzSentinelEntityActivity, que permite obter informações sobre as atividades executadas em entidades específicas. Neste artigo, exploraremos exemplos de script em PowerShell para utilizar o Get-AzSentinelEntityActivity e analisar as atividades registradas.

Exemplos:

1. Obtendo atividades de uma conta de usuário específica:

```powershell
$entityId = "contoso@contoso.com"
$activities = Get-AzSentinelEntityActivity -EntityId $entityId

foreach ($activity in $activities) {
Write-Output "Atividade: $($activity.Name)"
Write-Output "Hora de início: $($activity.StartTime)"
Write-Output "Hora de término: $($activity.EndTime)"
Write-Output "Detalhes: $($activity.Details)"
Write-Output "----"
}
```

Neste exemplo, definimos a variável $entityId com o valor da conta de usuário que desejamos analisar. Em seguida, utilizamos o cmdlet Get-AzSentinelEntityActivity passando o parâmetro -EntityId com o valor da variável. Por fim, percorremos o resultado e exibimos informações como nome da atividade, horário de início, horário de término e detalhes.

2. Filtrando atividades por tipo:

```powershell
$entityId = "contoso@contoso.com"
$activityType = "SignIn"
$activities = Get-AzSentinelEntityActivity -EntityId $entityId -ActivityType $activityType

foreach ($activity in $activities) {
Write-Output "Atividade: $($activity.Name)"
Write-Output "Hora de início: $($activity.StartTime)"
Write-Output "Hora de término: $($activity.EndTime)"
Write-Output "Detalhes: $($activity.Details)"
Write-Output "----"
}
```

Neste exemplo, além de definir a variável $entityId com o valor da conta de usuário, também definimos a variável $activityType com o valor "SignIn". Utilizamos o cmdlet Get-AzSentinelEntityActivity passando os parâmetros -EntityId e -ActivityType com os valores das respectivas variáveis. O resultado será apenas as atividades de login (SignIn) da conta de usuário especificada.

Conclusão:
O cmdlet Get-AzSentinelEntityActivity é uma ferramenta poderosa para analisar as atividades registradas em entidades específicas no Azure Sentinel. Com os exemplos de script em PowerShell apresentados neste artigo, você pode começar a explorar as atividades e obter insights valiosos para a segurança da sua organização. Lembre-se de personalizar os parâmetros e variáveis de acordo com suas necessidades específicas. By Ricardo Oliveira às julho 15, 2023 Enviar por e-mailPostar no blog!Compartilhar no XCompartilhar no FacebookCompartilhar com o Pinterest Marcadores: Azure, Cmdlet, PowerShell, Scripts, Windows, Windows 10, Windows 11

Nenhum comentário:

Postar um comentário

ATENÇÃO: Seu comentário é muito importante para nós e esperamos que você compartilhe suas opiniões e sugestões abaixo. No entanto, lembramos que é de inteira responsabilidade dos usuários seguir as dicas postadas no Blog DicasQueFunfa. Pedimos que evite comentários ofensivos, ilegais ou prejudiciais, pois esses não serão tolerados e serão removidos. Agradecemos sua colaboração e esperamos que suas contribuições enriqueçam ainda mais nosso conteúdo.