Podrobnosti o vlastních událostech surface v upozorněních v Microsoft Sentinelu

Úvod

Plánovaná pravidla analýzy dotazů analyzují události ze zdrojů dat připojených k Microsoft Sentinelu a vytvářejí výstrahy , když jsou obsah těchto událostí z hlediska zabezpečení významný. Tyto výstrahy jsou dále analyzovány, seskupené a filtrované různými moduly Microsoft Sentinelu a destilovány do incidentů , které vyžadují pozornost analytika SOC. Když ale analytik zobrazí incident, zobrazí se okamžitě pouze vlastnosti samotných výstrah komponent. Získání skutečného obsahu – informací obsažených v událostech – vyžaduje, aby se něco prokopával.

Pomocí funkce vlastních podrobností v průvodci analytickým pravidlem můžete zobrazit data událostí v upozorněních vytvořených z těchto událostí a vytvořit tak datovou část událostí vlastností výstrahy. Díky tomu získáte okamžitý přehled o obsahu událostí ve vašich incidentech, abyste mohli zkoumat, zkoumat, vyvozovat závěry a reagovat mnohem větší rychlostí a efektivitou.

Níže uvedený postup je součástí průvodce vytvořením analytického pravidla. Sem se zachází nezávisle na řešení scénáře přidání nebo změny vlastních podrobností v existujícím analytickém pravidle.

Jak zobrazit podrobnosti o vlastních událostech

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Analýza.

  2. Vyberte pravidlo naplánovaného dotazu a klikněte na Upravit. Nebo můžete vytvořit nové pravidlo kliknutím na vytvořit > pravidlo naplánovaného dotazu v horní části obrazovky.

  3. Klikněte na kartu Nastavit logiku pravidla.

  4. V části Rozšiřování výstrah rozbalte vlastní podrobnosti.

    Find and select custom details

  5. V nově rozbalené části Vlastní podrobnosti přidejte páry klíč-hodnota odpovídající podrobnostem, které chcete zobrazit:

    1. Do pole Klíč zadejte název vašeho výběru, který se zobrazí jako název pole v upozorněních.

    2. V poli Hodnota zvolte parametr události, který chcete zobrazit v upozorněních z rozevíracího seznamu. Tento seznam bude naplněn hodnotami odpovídajícími polím v tabulkách, které jsou předmětem dotazu pravidla.

      Add custom details

  6. Kliknutím na Přidat nové zobrazíte další podrobnosti a opakujte poslední kroky pro definování párů klíč-hodnota.

    Pokud si to rozmyslíte nebo uděláte chybu, můžete vlastní podrobnosti odebrat kliknutím na ikonu koše vedle rozevíracího seznamu Hodnota pro tento detail.

  7. Po dokončení definování vlastních podrobností klikněte na kartu Revize a vytvořit . Po úspěšném ověření pravidla klikněte na Uložit.

    Poznámka:

    Omezení služby

    • V jednom analytickém pravidlu můžete definovat až 20 vlastních podrobností .

    • Kombinovaný limit velikosti pro všechny vlastní podrobnosti a podrobnosti výstrahy je souhrnně 64 kB.

Další kroky

V tomto dokumentu jste zjistili, jak zobrazit vlastní podrobnosti v upozorněních pomocí analytických pravidel služby Microsoft Sentinel. Další informace o službě Microsoft Sentinel najdete v následujících článcích: