O Get-AzSentinelEntityTimeline é um cmdlet do módulo Az.SecurityInsights, utilizado para interagir com o Microsoft Sentinel, uma solução de SIEM (Security Information and Event Management) na nuvem. Este cmdlet permite extrair a linha do tempo de atividades de uma entidade específica, como um usuário ou um dispositivo, dentro do Microsoft Sentinel. Este artigo técnico irá explorar como utilizar o Get-AzSentinelEntityTimeline com exemplos práticos de scripts em PowerShell, adaptados para o ambiente Windows.

Exemplos:

Exemplo 1: Instalando o Módulo Az.SecurityInsights

Antes de utilizar o cmdlet Get-AzSentinelEntityTimeline, você precisa instalar o módulo Az.SecurityInsights. Para isso, abra o PowerShell como administrador e execute o seguinte comando:

Install-Module -Name Az.SecurityInsights -AllowClobber -Force

Exemplo 2: Autenticando no Azure

Para interagir com o Microsoft Sentinel, você precisa autenticar-se no Azure. Utilize o seguinte comando para iniciar o processo de autenticação:

Connect-AzAccount

Exemplo 3: Recuperando a Linha do Tempo de uma Entidade

Agora que você está autenticado, pode utilizar o Get-AzSentinelEntityTimeline para recuperar a linha do tempo de uma entidade específica. Suponha que você queira obter a linha do tempo de atividades de um usuário com o ID "user123". O script abaixo ilustra como fazer isso:

# Defina as variáveis necessárias
$ResourceGroupName = "SeuResourceGroup"
$WorkspaceName = "SeuWorkspaceName"
$EntityId = "user123"

# Recupere a linha do tempo da entidade
$Timeline = Get-AzSentinelEntityTimeline -ResourceGroupName $ResourceGroupName -WorkspaceName $WorkspaceName -EntityId $EntityId

# Exiba a linha do tempo
$Timeline

Exemplo 4: Filtrando Eventos por Intervalo de Tempo

Você também pode filtrar os eventos recuperados por um intervalo de tempo específico. O exemplo a seguir mostra como obter eventos ocorridos nos últimos 7 dias:

# Defina as variáveis necessárias
$ResourceGroupName = "SeuResourceGroup"
$WorkspaceName = "SeuWorkspaceName"
$EntityId = "user123"
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date

# Recupere a linha do tempo da entidade com filtro de tempo
$Timeline = Get-AzSentinelEntityTimeline -ResourceGroupName $ResourceGroupName -WorkspaceName $WorkspaceName -EntityId $EntityId -StartTime $StartTime -EndTime $EndTime

# Exiba a linha do tempo
$Timeline

Exemplo 5: Exportando a Linha do Tempo para um Arquivo CSV

Para fins de análise ou relatório, você pode exportar a linha do tempo recuperada para um arquivo CSV. Veja como fazer isso:

# Defina as variáveis necessárias
$ResourceGroupName = "SeuResourceGroup"
$WorkspaceName = "SeuWorkspaceName"
$EntityId = "user123"
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
$OutputFilePath = "C:\Temp\EntityTimeline.csv"

# Recupere a linha do tempo da entidade com filtro de tempo
$Timeline = Get-AzSentinelEntityTimeline -ResourceGroupName $ResourceGroupName -WorkspaceName $WorkspaceName -EntityId $EntityId -StartTime $StartTime -EndTime $EndTime

# Exporte a linha do tempo para um arquivo CSV
$Timeline | Export-Csv -Path $OutputFilePath -NoTypeInformation

# Confirme a exportação
Write-Output "A linha do tempo foi exportada para $OutputFilePath"