Mengkustomisasi detail peringatan di Microsoft Sentinel
Artikel ini menjelaskan cara mengambil alih properti default pemberitahuan dengan konten dari hasil kueri yang mendasar.
Dalam proses pembuatan aturan analitik terjadwal, sebagai langkah pertama Anda menentukan nama dan deskripsi untuk aturan, dan Anda menetapkannya tingkat keparahan dan taktik MITRE ATT&CK. Semua pemberitahuan yang dihasilkan oleh aturan tertentu - dan semua insiden yang dibuat sebagai hasilnya - akan mewarisi nama, deskripsi, tingkat keparahan, dan taktik yang ditentukan dalam aturan, tanpa memperhatikan konten tertentu dari instans pemberitahuan tertentu.
Dengan fitur detail pemberitahuan, Anda dapat mengambil alih ini dan properti default pemberitahuan lainnya dengan dua cara:
Buat nama dan deskripsi variabel kustom untuk pemberitahuan Anda. Anda dapat memilih bidang dalam output kueri pemberitahuan yang kontennya dapat disertakan dalam nama atau deskripsi setiap instans pemberitahuan. Jika bidang yang dipilih tidak memiliki nilai dalam instans tertentu, detail pemberitahuan untuk instans tersebut akan kembali ke default yang ditentukan di halaman pertama wizard.
Kustomisasi tingkat keparahan, taktik, dan properti lain dari instans pemberitahuan tertentu (lihat daftar lengkap properti di bawah ini) dengan nilai bidang yang relevan dari output kueri. Jika bidang yang dipilih kosong atau memiliki nilai yang tidak cocok dengan tipe data bidang, properti pemberitahuan masing-masing akan kembali ke defaultnya (untuk taktik dan tingkat keparahan, yang ditentukan di halaman pertama wizard).
Penting
- Beberapa penyesuaian detail pemberitahuan (lihat yang ditunjukkan di bawah) saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
- Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Ikuti prosedur yang dirinci di bawah ini untuk menggunakan fitur detail pemberitahuan. Langkah-langkah ini adalah bagian dari wizard pembuatan aturan analitik, tetapi ditujukan di sini secara independen untuk mengatasi skenario menambahkan atau mengubah detail pemberitahuan dalam aturan analitik yang ada.
Cara menyesuaikan detail pemberitahuan
Masukkan halaman Analitik di portal tempat Anda mengakses Microsoft Azure Sentinel:
Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.
Pilih aturan kueri terjadwal dan pilih Edit. Atau buat aturan baru dengan memilih Buat > aturan kueri Terjadwal di bagian atas layar.
Klik tab Atur logika aturan.
Di bagian Pengayaan peringatan, perluas Detail peringatan.
Di bagian Detail pemberitahuan yang sekarang diperluas, tambahkan teks gratis yang menyertakan properti yang sesuai dengan detail yang ingin Anda tampilkan di pemberitahuan:
Di bidang Format Nama Pemberitahuan, masukkan teks yang ingin Anda munculkan sebagai nama pemberitahuan (teks pemberitahuan), dan sertakan, dalam tanda kurung kurawal ganda, bidang output kueri apa pun yang Ingin Anda jadikan bagian dari teks pemberitahuan.
Contoh:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.Lakukan hal yang sama dengan bidang Format Deskripsi Pemberitahuan.
Catatan
Saat ini Anda dibatasi hingga tiga parameter masing-masing dalam bidang Format Nama Peringatan dan Format Deskripsi Peringatan.
Untuk mengambil alih properti default lainnya, pilih properti pemberitahuan dari daftar drop-down Properti pemberitahuan. Lalu pilih bidang dari hasil kueri, yang kontennya ingin Anda isi properti pemberitahuan, dari daftar drop-down Nilai .
Untuk mengambil alih properti default lainnya, pilih + Tambahkan baru dan ulangi langkah sebelumnya. Properti berikut ini dapat ditimpa:
Nama Deskripsi AlertName String Keterangan String AlertSeverity Salah satu nilai berikut:
- Informasi
- Rendah
- Sedang
- TinggiTaktik Salah satu nilai berikut:
- Pengintaian
- ResourceDevelopment
- InitialAccess
- Eksekusi
- Persistensi
- PrivilegeEscalation
- PertahananEvasion
- CredentialAccess
- Penemuan
- GerakanLateral
- Koleksi
- Penyelundupan
- CommandAndControl
- Dampak
- PraSerangan
- ImpairProcessControl
- InhibitResponseFunctionTeknik (Pratinjau) String yang cocok dengan ekspresi reguler berikut: ^T(?<Digits>\d{4})$.
Misalnya: T1234AlertLink (Pratinjau) String ConfidenceLevel (Pratinjau) Salah satu nilai berikut:
- Rendah
- Tinggi
- Tidak diketahuiConfidenceScore (Pratinjau) Bilangan bulat, antara 0-1 (inklusif) ExtendedLinks (Pratinjau) String ProductComponentName (Pratinjau) String ProductName (Pratinjau) String ProviderName (Pratinjau) String RemediasiSteps (Pratinjau) String
Jika Anda berubah pikiran, atau jika Anda membuat kesalahan, Anda dapat menghapus detail pemberitahuan dengan mengklik ikon tempat sampah di samping properti Pemberitahuan/Pasangan nilai , atau menghapus teks gratis dari bidang Nama Pemberitahuan/Format Deskripsi.
Setelah selesai menyesuaikan detail pemberitahuan, jika Anda sekarang membuat aturan, lanjutkan ke tab berikutnya di wizard. Jika Anda mengedit aturan yang sudah ada, pilih tab Tinjau dan buat . Setelah validasi aturan berhasil, pilih Simpan.
Catatan
Batas layanan
- Batas ukuran gabungan untuk semua detail pemberitahuan dan detail kustom, secara kolektif, adalah 64 KB.
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari cara menyesuaikan detail pemberitahuan dalam aturan analitik Microsoft Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:
- Jelajahi cara lain untuk memperkaya pemberitahuan Anda:
- Dapatkan gambaran lengkap tentang aturan analisis kueri terjadwal.
- Pelajari entitas di Microsoft Sentinel lebih lanjut.