A Microsoft Sentinel riasztásaiban szereplő egyéni esemény részleteinek felszínre kerülése

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Az ütemezett lekérdezéselemzési szabályok elemzik a Microsoft Sentinelhez csatlakoztatott adatforrásokból származó eseményeket, és riasztásokat hoznak létre, ha az események tartalma biztonsági szempontból jelentős. Ezeket a riasztásokat a Microsoft Sentinel különböző motorjai tovább elemzik, csoportosítják és szűrik, és olyan incidensekké desztillálták , amelyek egy SOC-elemző figyelmét indokolják. Amikor azonban az elemző megtekinti az incidenst, csak maguk az összetevő-riasztások tulajdonságai jelennek meg azonnal. A tényleges tartalom – az eseményekben található információk – eléréséhez némi ásást kell végezni.

Az elemzési szabály varázsló egyéni részletek funkciójával az eseményekből létrehozott riasztásokban jelenítheti meg az eseményadatokat, így az eseményadatok a riasztás tulajdonságainak részét képezik. Ez gyakorlatilag azonnali eseménytartalom-láthatóságot biztosít az incidensek során, lehetővé téve a osztályozást, a kivizsgálást, a következtetések levonását és a válaszadást sokkal nagyobb sebességgel és hatékonysággal.

Az alább részletezett eljárás az elemzési szabály létrehozási varázslójának része. Itt külön kezeli a rendszer, hogy kezelje az egyéni adatok meglévő elemzési szabályban való hozzáadásának vagy módosításának forgatókönyvét.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Egyéni esemény részleteinek felszínre hozás

1. Adja meg az Elemzés lapot a portálon, amelyen keresztül hozzáférhet a Microsoft Sentinelhez:

   Azure Portalra

   A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

   Defender portál

   A Microsoft Defender navigációs menüjében bontsa ki a Microsoft Sentinel, majd a Konfiguráció elemet. Válassza az Elemzés lehetőséget.

2. Válasszon ki egy ütemezett lekérdezési szabályt, és kattintson a Szerkesztés gombra. Vagy hozzon létre egy új szabályt a képernyő tetején található Ütemezett lekérdezési szabály létrehozása > elemre kattintva.

3. Kattintson a Szabálylogika beállítása fülre.

4. A Riasztásbővítés szakaszban bontsa ki az Egyéni részleteket.

   

5. A most kibontott Egyéni részletek szakaszban adja hozzá a felszínre hozandó részleteknek megfelelő kulcs-érték párokat:

   1. A Kulcs mezőben adja meg a választott nevet, amely mezőnévként jelenik meg a riasztásokban.

   2. Az Érték mezőben válassza ki a legördülő lista riasztásaiban megjelenítendő eseményparamétert. Ezt a listát a szabály lekérdezés tárgyát képező táblák mezőinek megfelelő értékek töltik ki.

      

6. Kattintson az Add new to surface további részletek elemre, és ismételje meg az utolsó lépéseket a kulcs-érték párok definiálásához.

   Ha meggondolta magát, vagy hibát követett el, eltávolíthat egy egyéni részletet az Érték legördülő lista melletti kuka ikonra kattintva.

7. Ha befejezte az egyéni adatok megadását, kattintson a Véleményezés és létrehozás fülre. Ha a szabály érvényesítése sikeres volt, kattintson a Mentés gombra.

   Feljegyzés

   Szolgáltatási korlátozások

   • Egyetlen elemzési szabályban legfeljebb 20 egyéni adatot definiálhat.

   • Az összes egyéni adat és riasztási adat együttes méretkorlátja együttesen 64 KB.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan jeleníthet meg egyéni adatokat a riasztásokban a Microsoft Sentinel elemzési szabályaival. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Ismerje meg a riasztások bővítésének egyéb módjait:
  • Adatmezők leképezése entitásokra a Microsoft Sentinelben
  • Riasztás részleteinek testreszabása a Microsoft Sentinelben
• Kérje le a teljes képet az ütemezett lekérdezéselemzési szabályokról.
• További információ a Microsoft Sentinel entitásairól.