Menampilkan detail peristiwa kustom dalam pemberitahuan di Microsoft Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Aturan analitik kueri terjadwal menganalisis peristiwa dari sumber data yang terhubung ke Microsoft Sentinel, dan menghasilkan pemberitahuan jika konten peristiwa ini signifikan dari perspektif keamanan. Pemberitahuan ini selanjutnya dianalisis, dikelompokkan, dan difilter oleh berbagai mesin Microsoft Sentinel dan disaring menjadi insiden yang memerlukan perhatian analis SOC. Namun, ketika analis melihat insiden tersebut, hanya properti dari pemberitahuan komponen itu sendiri yang langsung terlihat. Mendapatkan konten yang sebenarnya - informasi yang ada dalam peristiwa - perlu digali lebih dalam.

Dengan menggunakan fitur detail kustom di wizard aturan analitik, Anda dapat menampilkan data peristiwa dalam pemberitahuan yang dibuat dari peristiwa tersebut, menjadikan data peristiwa sebagai bagian dari properti pemberitahuan. Akibatnya, ini memberi Anda visibilitas konten acara langsung dalam insiden Anda, memungkinkan Anda untuk melakukan triase, menyelidiki, menarik kesimpulan, dan merespons dengan lebih cepat dan efisien.

Prosedur yang dijelaskan di bawah ini adalah bagian dari panduan pembuatan aturan analitik. Ini diperlakukan di sini secara independen untuk mengatasi skenario penambahan atau perubahan detail kustom dalam aturan analitik yang ada.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Cara menampilkan detail peristiwa kustom

1. Masukkan halaman Analitik di portal tempat Anda mengakses Microsoft Azure Sentinel:

   Portal Azure

   Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.

   Portal pertahanan

   Dari menu navigasi Pertahanan Microsoft, perluas Microsoft Sentinel, lalu Konfigurasi. Pilih Analitik.

2. Pilih aturan kueri terjadwal dan klik Edit. Atau buat aturan baru dengan mengeklik Buat > Aturan kueri terjadwal di bagian atas layar.

3. Klik tab Atur logika aturan.

4. Di bagian Pengayaan pemberitahuan, perluas Detail kustom.

   

5. Di bagian Detail kustom yang sekarang diluaskan, tambahkan pasangan kunci-nilai yang sesuai dengan detail yang ingin Anda tampilkan:

   1. Di bidang Kunci, masukkan nama pilihan Anda yang akan muncul sebagai nama bidang dalam pemberitahuan.

   2. Di bidang Nilai, pilih parameter peristiwa yang ingin Anda tampilkan di pemberitahuan dari daftar drop-down. Daftar ini akan diisi oleh nilai yang terkait dengan bidang dalam tabel yang menjadi subjek kueri aturan.

      

6. Klik Tambahkan baru untuk menampilkan detail selengkapnya, ulangi langkah terakhir untuk menentukan pasangan kunci-nilai.

   Jika Anda berubah pikiran, atau jika Anda melakukan kesalahan, Anda dapat menghapus detail kustom dengan mengeklik ikon tempat sampah di samping daftar drop-down Nilai untuk detail tersebut.

7. Setelah Anda selesai menentukan detail kustom, klik tab Tinjau dan buat. Setelah validasi aturan berhasil, klik Simpan.

   Catatan

   Batas layanan

   • Anda dapat menentukan hingga 20 detail kustom dalam satu aturan analitik.

   • Batas ukuran gabungan untuk semua detail kustom dan detail pemberitahuan, secara kolektif, adalah 64 KB.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara memunculkan detail kustom dalam pemberitahuan menggunakan aturan analitik Microsoft Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Jelajahi cara lain untuk memperkaya pemberitahuan Anda:
  • Memetakan bidang data ke entitas di Microsoft Sentinel
  • Menyesuaikan detail pemberitahuan di Microsoft Azure Sentinel
• Dapatkan gambaran lengkap tentang aturan analisis kueri terjadwal.
• Pelajari entitas di Microsoft Sentinel lebih lanjut.