Tilpas beskedoplysninger i Microsoft Sentinel

I denne artikel forklares det, hvordan du tilsidesætter standardegenskaberne for beskeder med indhold fra de underliggende forespørgselsresultater.

I processen med at oprette en planlagt analyseregel definerer du som det første trin et navn og en beskrivelse af reglen, og du tildeler den en alvorsgrad og MITRE ATT&CK-taktikker. Alle beskeder, der genereres af en given regel – og alle hændelser, der oprettes som følge heraf – arver det navn, den beskrivelse, den alvorsgrad og den taktik, der er defineret i reglen, uden hensyntagen til det specifikke indhold i en bestemt forekomst af beskeden.

Med funktionen detaljer om beskeder kan du tilsidesætte disse og andre standardegenskaber for beskeder på to måder:

• Opret brugerdefinerede navne, variabelnavne og beskrivelser for dine beskeder. Du kan vælge felter i beskedens forespørgselsoutput, hvis indhold kan inkluderes i navnet eller beskrivelsen af hver forekomst af beskeden. Hvis det valgte felt ikke har nogen værdi i en given forekomst, vender beskedoplysningerne for den pågældende forekomst tilbage til de standarder, der er angivet på den første side i guiden.

• Tilpas alvorsgraden, taktikken og andre egenskaber for en given forekomst af en besked (se den komplette liste over egenskaber nedenfor) med værdierne for relevante felter fra forespørgselsoutputtet. Hvis de valgte felter er tomme eller har værdier, der ikke svarer til feltdatatypen, vender de respektive egenskaber for beskeder tilbage til deres standardindstillinger (for taktik og alvorsgrad dem, der er angivet på den første side i guiden).

Vigtigt!

• Nogle beskedoplysningers tilpasningsfunktion (se dem, der er angivet nedenfor) findes i øjeblikket som PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
• Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen. Fra og med juli 2025 bliver mange nye kunder automatisk onboardet og omdirigeret til Defender-portalen. Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender. Du kan få flere oplysninger under Det er tid til at flytte: Udgå Microsoft Sentinel er Azure Portal for større sikkerhed.

Følg den fremgangsmåde, der er beskrevet nedenfor, for at bruge funktionen detaljer om beskeder. Disse trin er en del af guiden til oprettelse af analyseregel, men de behandles her uafhængigt af hinanden for at håndtere scenariet med tilføjelse eller ændring af beskedoplysninger i en eksisterende analyseregel.

Sådan tilpasser du beskedoplysninger

1. Angiv siden Analytics på portalen, hvor du får adgang til Microsoft Sentinel:

   Azure Portal

   Vælg Analytics i afsnittet Konfiguration i navigationsmenuen Microsoft Sentinel.

   Defender-portal

   I navigationsmenuen Microsoft Defender skal du udvide Microsoft Sentinel og derefter Konfiguration. Vælg Analyse.

2. Vælg en planlagt forespørgselsregel, og vælg Rediger. Du kan også oprette en ny regel ved at vælge Opret > planlagt forespørgselsregel øverst på skærmen.

3. Vælg fanen Angiv regellogik .

4. I afsnittet Advarselsberigelse skal du udvide Oplysninger om besked.

   

5. I afsnittet med detaljer om den nu udvidede besked skal du tilføje fritekst, der indeholder egenskaber, der svarer til de oplysninger, du vil have vist i beskeden:

   1. I feltet Format for beskednavn skal du angive den tekst, der skal vises som navnet på beskeden (beskedteksten), og inkludere de forespørgselsoutputfelter, du vil være en del af beskedteksten, i dobbelte krøllede parenteser.

      Eksempel: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Gør det samme med feltet Format for beskrivelse af besked .

      Bemærk!

      Du er i øjeblikket begrænset til tre parametre hver i felterne Format for beskednavn og Format for beskedbeskrivelse .

   3. Hvis du vil tilsidesætte andre standardegenskaber, skal du vælge en beskedegenskab på rullelisten Egenskaben Besked . Vælg derefter feltet fra forespørgselsresultaterne, hvis indhold du vil udfylde beskedegenskaben for, på rullelisten Værdi .

   4. Hvis du vil tilsidesætte flere standardegenskaber, skal du vælge + Tilføj ny og gentage det forrige trin. Følgende egenskaber kan tilsidesættes:

      Navn	Beskrivelse
      Beskednavn	Streng. Understøtter kun almindelig tekst.
      Beskrivelse	Streng. Understøtter kun almindelig tekst, hvis Microsoft Sentinel er onboardet til Defender-portalen.
      AlertSeverity	En af følgende værdier: - Informative - Lav - Medium - Høj
      Taktik	En af følgende værdier: - Rekognoscering - Ressourceopbygning - InitialAccess - Udførelse - Persistens - Rettighedsskalering - DefenseEvasion - CredentialAccess - Opdagelse - LateralMovement - Samling - Eksfiltration - CommandAndControl - Indvirkning - Fortryk - ImpairProcessControl - InhibitResponseFunction
      Teknikker (prøveversion)	En streng, der svarer til følgende regulære udtryk: ^T(?<Digits>\d{4})$. Eksempel: T1234
      AlertLink (eksempelvisning)	String
      ConfidenceLevel (prøveversion)	En af følgende værdier: - Lav - Høj - Ukendt
      ConfidenceScore (prøveversion)	Heltal mellem 0-og 1 (inklusive)
      ExtendedLinks (prøveversion)	String
      ProductComponentName (prøveversion) * Se Advarselsnoter efter denne tabel	String
      ProductName (prøveversion) * Se Advarselsnoter efter denne tabel	String
      ProviderName (prøveversion) * Se Advarselsnoter efter denne tabel	String
      RemediationSteps (prøveversion)	String

      Forsigtighed

      Hvis du har onboardet Microsoft Sentinel til Microsoft Defender-portalen:

      • Tilpas ikke feltet ProductName for beskeder fra Microsoft-kilder. Hvis du gør det, fjernes disse beskeder fra Microsoft Defender XDR, og der oprettes ingen hændelse.

      • Felterne ProductComponentName og ProviderName kan ikke længere tilpasses.

      Hvis nogle af disse tilpasninger allerede findes i nogen af dine regler, skal du fjerne tilpasningerne for at bevare kompatibiliteten og undgå uventede resultater.

   Hvis du skifter mening, eller hvis du har lavet en fejl, kan du fjerne en beskeddetalje ved at klikke på skraldespandsikonet ud for egenskaben/værdiparret Besked eller slette friteksten fra felterne Navn på besked/Beskrivelsesformat .

6. Når du er færdig med at tilpasse dine beskedoplysninger, skal du fortsætte til næste fane i guiden, hvis du nu opretter reglen. Hvis du redigerer en eksisterende regel, skal du vælge fanen Gennemse og opret . Når regelvalideringen er fuldført, skal du vælge Gem.

Tjenestegrænser

• Du kan tilsidesætte et felt med op til 50 værdier i en enkelt forespørgsel. Når din forespørgsel overstiger 50 brugerdefinerede værdier, fjernes alle brugerdefinerede værdier, og i alle forespørgselsresultater returneres feltet til standardværdien. Tilpas forespørgslen, så den ikke giver mere end 50 værdier for at sikre, at ingen brugerdefinerede værdier slippes.
• Størrelsesgrænsen for feltet AlertName og andre egenskaber, der ikke er samlinger, er 256 byte.
• Størrelsesgrænsen for feltet Description og alle andre egenskaber for samlingen er 5 KB.
• Værdier, der overskrider størrelsesgrænserne, droppes.

Næste trin

I dette dokument har du lært, hvordan du tilpasser beskedoplysninger i Microsoft Sentinel analyseregler. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:

• Udforsk de andre måder at forbedre dine beskeder på:
  • Knyt datafelter til objekter i Microsoft Sentinel
  • Surface brugerdefinerede hændelsesoplysninger i beskeder i Microsoft Sentinel
• Få det komplette billede af regler for planlagt forespørgselsanalyse.
• Få mere at vide om objekter i Microsoft Sentinel.