Riasztás részleteinek testreszabása a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk bemutatja, hogyan bírálhatja felül a riasztások alapértelmezett tulajdonságait az alapul szolgáló lekérdezési eredmények tartalmával.

Az ütemezett elemzési szabály létrehozásának folyamatában első lépésként meg kell adnia a szabály nevét és leírását, és hozzá kell rendelnie egy súlyossági és MITRE ATT&CK-taktikát. Az adott szabály által generált összes riasztás – és az eredményként létrehozott összes incidens – a riasztás adott példányának adott tartalmára való tekintet nélkül örökli a szabályban meghatározott nevet, leírást, súlyosságot és taktikát.

A riasztás részletei funkcióval kétféleképpen bírálhatja felül ezeket és a riasztások egyéb alapértelmezett tulajdonságait:

• Egyéni, változóneveket és leírásokat hozhat létre a riasztásokhoz. Kijelölhet olyan mezőket a riasztás lekérdezési kimenetében, amelyek tartalma szerepelhet a riasztás egyes példányainak nevében vagy leírásában. Ha a kijelölt mezőnek nincs értéke egy adott példányban, az adott példány riasztási adatai a varázsló első lapján megadott alapértelmezett értékekre térnek vissza.

• Testre szabhatja egy riasztás adott példányának súlyosságát, taktikáját és egyéb tulajdonságait (lásd az alábbi tulajdonságok teljes listáját) a lekérdezés kimenetében szereplő összes releváns mező értékével. Ha a kijelölt mezők üresek, vagy olyan értékekkel rendelkeznek, amelyek nem felelnek meg a mező adattípusának, a megfelelő riasztási tulajdonságok visszaállnak az alapértelmezett értékekre (a varázsló első lapján megadott taktikák és súlyosság esetén).

Fontos

• Néhány riasztás részleteinek testreszabhatósága (lásd az alább láthatóakat) jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
• A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Kövesse az alább részletezett eljárást a riasztás részletei funkció használatához. Ezek a lépések az elemzési szabály létrehozási varázslójának részei, de ezek a lépések külön-külön vannak kezelve a riasztási adatok meglévő elemzési szabályban való hozzáadásának vagy módosításának forgatókönyvével kapcsolatban.

Riasztás részleteinek testreszabása

1. Adja meg az Elemzés lapot a portálon, amelyen keresztül hozzáférhet a Microsoft Sentinelhez:

   Azure Portalra

   A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

   Defender portál

   A Microsoft Defender navigációs menüjében bontsa ki a Microsoft Sentinel, majd a Konfiguráció elemet. Válassza az Elemzés lehetőséget.

2. Válasszon ki egy ütemezett lekérdezési szabályt, és válassza a Szerkesztés lehetőséget. Vagy hozzon létre egy új szabályt az Ütemezett lekérdezési szabály létrehozása > lehetőség kiválasztásával a képernyő tetején.

3. Válassza a Szabály beállítása logikai lapfület.

4. A Riasztásbővítés szakaszban bontsa ki a Riasztás részletei elemet.

   

5. A most kibontott Riasztás részletei szakaszban adjon hozzá olyan szabad szöveget, amely tartalmazza a riasztásban megjeleníteni kívánt részleteknek megfelelő tulajdonságokat:

   1. A Riasztásnév formátuma mezőben adja meg a riasztás neveként megjeleníteni kívánt szöveget (a riasztás szövegét), és dupla szögletes zárójelben adja meg a riasztás szövegének részét képező lekérdezéskimeneti mezőket.

      Példa: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Tegye ugyanezt a Riasztás leírása formátum mezővel is.

      Feljegyzés

      Jelenleg három paraméterre van korlátozva a Riasztás neve formátuma és a Riasztás leírása formátum mező.

   3. Az egyéb alapértelmezett tulajdonságok felülbírálásához válasszon ki egy riasztási tulajdonságot a Riasztás tulajdonság legördülő listájából. Ezután válassza ki azt a mezőt a lekérdezés eredményei közül, amelynek tartalmát ki szeretné tölteni a riasztási tulajdonságból az Érték legördülő listából.

   4. További alapértelmezett tulajdonságok felülbírálásához válassza az + Új hozzáadása lehetőséget, és ismételje meg az előző lépést. A következő tulajdonságok felülírhatók:

      Név	Leírás
      AlertName	Sztring
      Leírás	Sztring
      AlertSeverity	Az alábbi értékek egyike: - Információs - Alacsony - Medium - Magas
      Taktika	Az alábbi értékek egyike: - Felderítés - ResourceDevelopment - InitialAccess - Végrehajtás - Kitartás - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Felfedezés - LateralMovement - Gyűjtemény - Exfiltration - CommandAndControl - Hatás - Előzetes osztás - ImpairProcessControl - InhibitResponseFunction
      Technikák (előzetes verzió)	A következő reguláris kifejezésnek megfelelő sztring: ^T(?<Digits>\d{4})$. Például: T1234
      AlertLink (előzetes verzió)	Sztring
      Megbízhatósági szint (előzetes verzió)	Az alábbi értékek egyike: - Alacsony - Magas - Ismeretlen
      ConfidenceScore (előzetes verzió)	Egész szám, 0-1 között (beleértve)
      ExtendedLinks (előzetes verzió)	Sztring
      ProductComponentName (előzetes verzió)	Sztring
      ProductName (előzetes verzió)	Sztring
      ProviderName (előzetes verzió)	Sztring
      RemediationSteps (előzetes verzió)	Sztring

   Ha meggondolta magát, vagy hibát követett el, eltávolíthatja a riasztás részleteit a Riasztás tulajdonság/Érték pár melletti kuka ikonra kattintva, vagy törölheti az ingyenes szöveget a Riasztás neve/Leírás formátuma mezőkből.

6. Ha befejezte a riasztás részleteinek testreszabását, ha most hozza létre a szabályt, folytassa a varázsló következő lapjára. Ha egy meglévő szabályt szerkeszt, válassza a Véleményezés és létrehozás lapot. Ha a szabály érvényesítése sikeres, válassza a Mentés lehetőséget.

   Feljegyzés

   Szolgáltatási korlátozások

   • Az összes riasztási részlet és egyéni adat együttes méretkorlátja együttesen 64 KB.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan szabhatja testre a riasztás részleteit a Microsoft Sentinel elemzési szabályaiban. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Ismerje meg a riasztások bővítésének egyéb módjait:
  • Adatmezők leképezése entitásokra a Microsoft Sentinelben
  • A Microsoft Sentinel riasztásaiban szereplő egyéni esemény részleteinek felszínre kerülése
• Kérje le a teljes képet az ütemezett lekérdezéselemzési szabályokról.
• További információ a Microsoft Sentinel entitásairól.