Podrobnosti o vlastních událostech surface v upozorněních v Microsoft Sentinel

Pravidla analýzy plánovaných dotazů analyzují události ze zdrojů dat připojených k Microsoft Sentinel a vytvářejí výstrahy, pokud je obsah těchto událostí z hlediska zabezpečení důležitý. Tato upozornění se dále analyzují, seskupují a filtrují podle různých modulů Microsoft Sentinel a destilují se do incidentů, které vyžadují pozornost analytika SOC. Když si ale analytik incident zobrazí, okamžitě se zobrazí jenom vlastnosti samotných výstrah komponent. Získání skutečného obsahu – informací obsažených v událostech – vyžaduje trochu kopání.

Pomocí funkce vlastních podrobností v průvodci analytickými pravidly můžete zobrazit data událostí ve výstrahách vytvořených z těchto událostí, čímž se data události stane součástí vlastností upozornění. Díky tomu máte ve svých incidentech okamžitý přehled o obsahu událostí, což vám umožní provádět hodnocení, zkoumat, vyvozovat závěry a reagovat s mnohem větší rychlostí a efektivitou.

Níže uvedený postup je součástí průvodce vytvořením analytického pravidla. Zpracovává se zde nezávisle, aby se vyřešil scénář přidání nebo změny vlastních podrobností v existujícím analytickém pravidlu.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Jak zobrazit podrobnosti o vlastní události

1. Na portálu zadejte stránku Analýza, přes kterou přistupujete k Microsoft Sentinel:

   Portál Defender

   V navigační nabídce Microsoft Defender rozbalte Microsoft Sentinel a pak na Konfigurace. Vyberte Analýza.

   Azure Portal

   V části Konfigurace v navigační nabídce Microsoft Sentinel vyberte Analýza.

2. Vyberte pravidlo naplánovaného dotazu a klikněte na Upravit. Nebo vytvořte nové pravidlo kliknutím na Vytvořit > pravidlo naplánovaného dotazu v horní části obrazovky.

3. Klikněte na kartu Nastavit logiku pravidla .

4. V části Rozšiřování výstrah rozbalte vlastní podrobnosti.

   

5. V rozbalené části Vlastní podrobnosti přidejte páry klíč-hodnota odpovídající podrobnostem, které chcete zobrazit:

   1. Do pole Klíč zadejte název podle svého výběru, který se zobrazí jako název pole ve výstrahách.

   2. V poli Hodnota zvolte v rozevíracím seznamu parametr události, který chcete zobrazit v upozorněních. Tento seznam se naplní hodnotami odpovídajícími polím v tabulkách, které jsou předmětem dotazu pravidla.

      

6. Kliknutím na Přidat nový zobrazíte další podrobnosti a zopakováním posledních kroků definujete páry klíč-hodnota.

   Pokud změníte názor nebo uděláte chybu, můžete vlastní podrobnosti odebrat kliknutím na ikonu koše vedle rozevíracího seznamu Hodnota .

7. Po dokončení definování vlastních podrobností klikněte na kartu Zkontrolovat a vytvořit . Po úspěšném ověření pravidla klikněte na Uložit.

   Poznámka

   Limity služeb

   • V jednom analytickém pravidlu můžete definovat až 20 vlastních podrobností . Každý vlastní detail může obsahovat až 50 hodnot.

   • Kombinovaný limit velikosti všech vlastních podrobností a jejich hodnot v jedné výstraze je 2 kB. Hodnoty nad tento limit se zahodí.

Další kroky

V tomto dokumentu jste zjistili, jak zobrazit vlastní podrobnosti v upozorněních pomocí Microsoft Sentinel analytických pravidel. Další informace o Microsoft Sentinel najdete v následujících článcích:

• Prozkoumejte další způsoby, jak obohatit upozornění:
  • Mapování datových polí na entity v Microsoft Sentinel
  • Přizpůsobení podrobností upozornění v Microsoft Sentinel
• Získejte úplný přehled o pravidlech plánované analýzy dotazů.
• Přečtěte si další informace o entitách v Microsoft Sentinel.