Mengkustomisasi detail peringatan di Microsoft Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menjelaskan cara mengambil alih properti default pemberitahuan dengan konten dari hasil kueri yang mendasar.

Dalam proses pembuatan aturan analitik terjadwal, sebagai langkah pertama Anda menentukan nama dan deskripsi untuk aturan, dan Anda menetapkannya tingkat keparahan dan taktik MITRE ATT&CK. Semua pemberitahuan yang dihasilkan oleh aturan tertentu - dan semua insiden yang dibuat sebagai hasilnya - akan mewarisi nama, deskripsi, tingkat keparahan, dan taktik yang ditentukan dalam aturan, tanpa memperhatikan konten tertentu dari instans pemberitahuan tertentu.

Dengan fitur detail pemberitahuan, Anda dapat mengambil alih ini dan properti default pemberitahuan lainnya dengan dua cara:

• Buat nama dan deskripsi variabel kustom untuk pemberitahuan Anda. Anda dapat memilih bidang dalam output kueri pemberitahuan yang kontennya dapat disertakan dalam nama atau deskripsi setiap instans pemberitahuan. Jika bidang yang dipilih tidak memiliki nilai dalam instans tertentu, detail pemberitahuan untuk instans tersebut akan kembali ke default yang ditentukan di halaman pertama wizard.

• Kustomisasi tingkat keparahan, taktik, dan properti lain dari instans pemberitahuan tertentu (lihat daftar lengkap properti di bawah ini) dengan nilai bidang yang relevan dari output kueri. Jika bidang yang dipilih kosong atau memiliki nilai yang tidak cocok dengan tipe data bidang, properti pemberitahuan masing-masing akan kembali ke defaultnya (untuk taktik dan tingkat keparahan, yang ditentukan di halaman pertama wizard).

Penting

• Beberapa penyesuaian detail pemberitahuan (lihat yang ditunjukkan di bawah) saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
• Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Ikuti prosedur yang dirinci di bawah ini untuk menggunakan fitur detail pemberitahuan. Langkah-langkah ini adalah bagian dari wizard pembuatan aturan analitik, tetapi ditujukan di sini secara independen untuk mengatasi skenario menambahkan atau mengubah detail pemberitahuan dalam aturan analitik yang ada.

Cara menyesuaikan detail pemberitahuan

1. Masukkan halaman Analitik di portal tempat Anda mengakses Microsoft Azure Sentinel:

   Portal Azure

   Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.

   Portal pertahanan

   Dari menu navigasi Pertahanan Microsoft, perluas Microsoft Sentinel, lalu Konfigurasi. Pilih Analitik.

2. Pilih aturan kueri terjadwal dan pilih Edit. Atau buat aturan baru dengan memilih Buat > aturan kueri Terjadwal di bagian atas layar.

3. Klik tab Atur logika aturan.

4. Di bagian Pengayaan peringatan, perluas Detail peringatan.

   

5. Di bagian Detail pemberitahuan yang sekarang diperluas, tambahkan teks gratis yang menyertakan properti yang sesuai dengan detail yang ingin Anda tampilkan di pemberitahuan:

   1. Di bidang Format Nama Pemberitahuan, masukkan teks yang ingin Anda munculkan sebagai nama pemberitahuan (teks pemberitahuan), dan sertakan, dalam tanda kurung kurawal ganda, bidang output kueri apa pun yang Ingin Anda jadikan bagian dari teks pemberitahuan.

      Contoh: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Lakukan hal yang sama dengan bidang Format Deskripsi Pemberitahuan.

      Catatan

      Saat ini Anda dibatasi hingga tiga parameter masing-masing dalam bidang Format Nama Peringatan dan Format Deskripsi Peringatan.

   3. Untuk mengambil alih properti default lainnya, pilih properti pemberitahuan dari daftar drop-down Properti pemberitahuan. Lalu pilih bidang dari hasil kueri, yang kontennya ingin Anda isi properti pemberitahuan, dari daftar drop-down Nilai .

   4. Untuk mengambil alih properti default lainnya, pilih + Tambahkan baru dan ulangi langkah sebelumnya. Properti berikut ini dapat ditimpa:

      Nama	Deskripsi
      AlertName	String
      Keterangan	String
      AlertSeverity	Salah satu nilai berikut: - Informasi -  Rendah -  Sedang - Tinggi
      Taktik	Salah satu nilai berikut: - Pengintaian - ResourceDevelopment - InitialAccess - Eksekusi - Persistensi - PrivilegeEscalation - PertahananEvasion - CredentialAccess - Penemuan - GerakanLateral - Koleksi - Penyelundupan - CommandAndControl - Dampak - PraSerangan - ImpairProcessControl - InhibitResponseFunction
      Teknik (Pratinjau)	String yang cocok dengan ekspresi reguler berikut: ^T(?<Digits>\d{4})$. Misalnya: T1234
      AlertLink (Pratinjau)	String
      ConfidenceLevel (Pratinjau)	Salah satu nilai berikut: -  Rendah - Tinggi - Tidak diketahui
      ConfidenceScore (Pratinjau)	Bilangan bulat, antara 0-1 (inklusif)
      ExtendedLinks (Pratinjau)	String
      ProductComponentName (Pratinjau)	String
      ProductName (Pratinjau) * Lihat catatan mengikuti tabel ini	String
      ProviderName (Pratinjau)	String
      RemediasiSteps (Pratinjau)	String

      Catatan

      Jika Anda melakukan onboarding Microsoft Sentinel ke platform operasi keamanan terpadu, jangan sesuaikan bidang ProductName untuk pemberitahuan dari sumber Microsoft. Melakukannya akan mengakibatkan pemberitahuan ini dihilangkan dari Microsoft Defender XDR dan tidak ada insiden yang dibuat.

   Jika Anda berubah pikiran, atau jika Anda membuat kesalahan, Anda dapat menghapus detail pemberitahuan dengan mengklik ikon tempat sampah di samping properti Pemberitahuan/Pasangan nilai , atau menghapus teks gratis dari bidang Nama Pemberitahuan/Format Deskripsi.

6. Setelah selesai menyesuaikan detail pemberitahuan, jika Anda sekarang membuat aturan, lanjutkan ke tab berikutnya di wizard. Jika Anda mengedit aturan yang sudah ada, pilih tab Tinjau dan buat . Setelah validasi aturan berhasil, pilih Simpan.

Batas layanan

• Anda bisa mengambil alih bidang dengan hingga 50 nilai dalam satu kueri. Saat kueri Anda melebihi 50 nilai yang dikustomisasi, semua nilai yang dikustomisasi dihilangkan, dan di semua hasil kueri bidang kembali ke nilai defaultnya. Sesuaikan kueri Anda untuk menghasilkan tidak lebih dari 50 nilai untuk memastikan tidak ada nilai yang disesuaikan yang dihilangkan.
• Batas ukuran untuk AlertName bidang, dan properti non-koleksi lainnya, adalah 256 byte.
• Batas ukuran untuk Description bidang, dan properti koleksi lainnya, adalah 5 KB.
• Nilai yang melebihi batas ukuran dihilangkan.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara menyesuaikan detail pemberitahuan dalam aturan analitik Microsoft Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Jelajahi cara lain untuk memperkaya pemberitahuan Anda:
  • Memetakan bidang data ke entitas di Microsoft Sentinel
  • Menampilkan detail peristiwa kustom dalam pemberitahuan di Microsoft Azure Sentinel
• Dapatkan gambaran lengkap tentang aturan analisis kueri terjadwal.
• Pelajari entitas di Microsoft Sentinel lebih lanjut.