A Microsoft Sentinel riasztásaiban szereplő egyéni esemény részleteinek felszínre kerülése
Az ütemezett lekérdezéselemzési szabályok elemzik a Microsoft Sentinelhez csatlakoztatott adatforrásokból származó eseményeket, és riasztásokat hoznak létre, ha az események tartalma biztonsági szempontból jelentős. Ezeket a riasztásokat a Microsoft Sentinel különböző motorjai tovább elemzik, csoportosítják és szűrik, és olyan incidensekké desztillálták , amelyek egy SOC-elemző figyelmét indokolják. Amikor azonban az elemző megtekinti az incidenst, csak maguk az összetevő-riasztások tulajdonságai jelennek meg azonnal. A tényleges tartalom – az eseményekben található információk – eléréséhez némi ásást kell végezni.
Az elemzési szabály varázsló egyéni részletek funkciójával az eseményekből létrehozott riasztásokban jelenítheti meg az eseményadatokat, így az eseményadatok a riasztás tulajdonságainak részét képezik. Ez gyakorlatilag azonnali eseménytartalom-láthatóságot biztosít az incidensek során, lehetővé téve a osztályozást, a kivizsgálást, a következtetések levonását és a válaszadást sokkal nagyobb sebességgel és hatékonysággal.
Az alább részletezett eljárás az elemzési szabály létrehozási varázslójának része. Itt külön kezeli a rendszer, hogy kezelje az egyéni adatok meglévő elemzési szabályban való hozzáadásának vagy módosításának forgatókönyvét.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Egyéni esemény részleteinek felszínre hozás
Adja meg az Elemzés lapot a portálon, amelyen keresztül hozzáférhet a Microsoft Sentinelhez:
A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.
Válasszon ki egy ütemezett lekérdezési szabályt, és kattintson a Szerkesztés gombra. Vagy hozzon létre egy új szabályt a képernyő tetején található Ütemezett lekérdezési szabály létrehozása > elemre kattintva.
Kattintson a Szabálylogika beállítása fülre.
A Riasztásbővítés szakaszban bontsa ki az Egyéni részleteket.
A most kibontott Egyéni részletek szakaszban adja hozzá a felszínre hozandó részleteknek megfelelő kulcs-érték párokat:
A Kulcs mezőben adja meg a választott nevet, amely mezőnévként jelenik meg a riasztásokban.
Az Érték mezőben válassza ki a legördülő lista riasztásaiban megjelenítendő eseményparamétert. Ezt a listát a szabály lekérdezés tárgyát képező táblák mezőinek megfelelő értékek töltik ki.
Kattintson az Add new to surface további részletek elemre, és ismételje meg az utolsó lépéseket a kulcs-érték párok definiálásához.
Ha meggondolta magát, vagy hibát követett el, eltávolíthat egy egyéni részletet az Érték legördülő lista melletti kuka ikonra kattintva.
Ha befejezte az egyéni adatok megadását, kattintson a Véleményezés és létrehozás fülre. Ha a szabály érvényesítése sikeres volt, kattintson a Mentés gombra.
Feljegyzés
Szolgáltatási korlátozások
Egyetlen elemzési szabályban legfeljebb 20 egyéni adatot definiálhat. Minden egyéni részlet legfeljebb 50 értéket tartalmazhat.
Az egyéni adatok és az egyetlen riasztásban szereplő értékek együttes méretkorlátja 2 KB. A korlátot meghaladó értékeket a rendszer elveti.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan jeleníthet meg egyéni adatokat a riasztásokban a Microsoft Sentinel elemzési szabályaival. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- Ismerje meg a riasztások bővítésének egyéb módjait:
- Kérje le a teljes képet az ütemezett lekérdezéselemzési szabályokról.
- További információ a Microsoft Sentinel entitásairól.