A Microsoft Sentinel riasztásaiban szereplő egyéni esemény részleteinek felszínre kerülése
Az ütemezett lekérdezéselemzési szabályok elemzik a Microsoft Sentinelhez csatlakoztatott adatforrásokból származó eseményeket, és riasztásokat hoznak létre, ha az események tartalma biztonsági szempontból jelentős. Ezeket a riasztásokat a Microsoft Sentinel különböző motorjai tovább elemzik, csoportosítják és szűrik, és olyan incidensekké desztillálták , amelyek egy SOC-elemző figyelmét indokolják. Amikor azonban az elemző megtekinti az incidenst, csak maguk az összetevő-riasztások tulajdonságai jelennek meg azonnal. A tényleges tartalom – az eseményekben található információk – eléréséhez némi ásást kell végezni.
Az elemzési szabály varázsló egyéni részletek funkciójával az eseményekből létrehozott riasztásokban jelenítheti meg az eseményadatokat, így az eseményadatok a riasztás tulajdonságainak részét képezik. Ez gyakorlatilag azonnali eseménytartalom-láthatóságot biztosít az incidensek során, lehetővé téve a osztályozást, a kivizsgálást, a következtetések levonását és a válaszadást sokkal nagyobb sebességgel és hatékonysággal.
Az alább részletezett eljárás az elemzési szabály létrehozási varázslójának része. Itt külön kezeli a rendszer, hogy kezelje az egyéni adatok meglévő elemzési szabályban való hozzáadásának vagy módosításának forgatókönyvét.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Egyéni esemény részleteinek felszínre hozás
Adja meg az Elemzés lapot a portálon, amelyen keresztül hozzáférhet a Microsoft Sentinelhez:
A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.
Válasszon ki egy ütemezett lekérdezési szabályt, és kattintson a Szerkesztés gombra. Vagy hozzon létre egy új szabályt a képernyő tetején található Ütemezett lekérdezési szabály létrehozása > elemre kattintva.
Kattintson a Szabálylogika beállítása fülre.
A Riasztásbővítés szakaszban bontsa ki az Egyéni részleteket.
A most kibontott Egyéni részletek szakaszban adja hozzá a felszínre hozandó részleteknek megfelelő kulcs-érték párokat:
A Kulcs mezőben adja meg a választott nevet, amely mezőnévként jelenik meg a riasztásokban.
Az Érték mezőben válassza ki a legördülő lista riasztásaiban megjelenítendő eseményparamétert. Ezt a listát a szabály lekérdezés tárgyát képező táblák mezőinek megfelelő értékek töltik ki.
Kattintson az Add new to surface további részletek elemre, és ismételje meg az utolsó lépéseket a kulcs-érték párok definiálásához.
Ha meggondolta magát, vagy hibát követett el, eltávolíthat egy egyéni részletet az Érték legördülő lista melletti kuka ikonra kattintva.
Ha befejezte az egyéni adatok megadását, kattintson a Véleményezés és létrehozás fülre. Ha a szabály érvényesítése sikeres volt, kattintson a Mentés gombra.
Feljegyzés
Szolgáltatási korlátozások
Egyetlen elemzési szabályban legfeljebb 20 egyéni adatot definiálhat.
Az összes egyéni adat és riasztási adat együttes méretkorlátja együttesen 64 KB.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan jeleníthet meg egyéni adatokat a riasztásokban a Microsoft Sentinel elemzési szabályaival. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- Ismerje meg a riasztások bővítésének egyéb módjait:
- Kérje le a teljes képet az ütemezett lekérdezéselemzési szabályokról.
- További információ a Microsoft Sentinel entitásairól.