Personalizzare i dettagli degli avvisi in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come eseguire l'override delle proprietà predefinite degli avvisi con contenuto dai risultati della query sottostante.

Nel processo di creazione di una regola di analisi pianificata, come primo passaggio si definisce un nome e una descrizione per la regola e si assegna una gravità e tattiche MITRE ATT&CK. Tutti gli avvisi generati da una determinata regola e tutti gli eventi imprevisti creati di conseguenza erediteranno il nome, la descrizione, la gravità e le tattiche definite nella regola, senza considerare il contenuto specifico di un'istanza specifica dell'avviso.

Con la funzionalità dei dettagli dell'avviso, è possibile eseguire l'override di queste e altre proprietà predefinite degli avvisi in due modi:

• Creare nomi personalizzati, variabili e descrizioni per gli avvisi. È possibile selezionare i campi nell'output della query dell'avviso il cui contenuto può essere incluso nel nome o nella descrizione di ogni istanza dell'avviso. Se il campo selezionato non ha alcun valore in una determinata istanza, i dettagli dell'avviso per tale istanza verranno ripristinati i valori predefiniti specificati nella prima pagina della procedura guidata.

• Personalizzare la gravità, le tattiche e altre proprietà di una determinata istanza di un avviso (vedere l'elenco completo delle proprietà seguenti) con i valori di tutti i campi pertinenti dall'output della query. Se i campi selezionati sono vuoti o hanno valori che non corrispondono al tipo di dati del campo, le rispettive proprietà di avviso verranno ripristinate le impostazioni predefinite (per tattiche e gravità, quelle specificate nella prima pagina della procedura guidata).

Importante

• La personalizzazione di alcuni dettagli dell'avviso (vedere quelle indicate di seguito) è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
• Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Seguire la procedura descritta di seguito per usare la funzionalità dei dettagli dell'avviso. Questi passaggi fanno parte della creazione guidata delle regole di analisi, ma vengono risolti in modo indipendente per affrontare lo scenario di aggiunta o modifica dei dettagli degli avvisi in una regola di analisi esistente.

Come personalizzare i dettagli degli avvisi

1. Immettere la pagina Analisi nel portale tramite cui si accede a Microsoft Sentinel:

   Azure portal

   Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analisi.

   Portale di Defender

   Dal menu di spostamento di Microsoft Defender espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

2. Selezionare una regola di query pianificata e selezionare Modifica. In alternativa, creare una nuova regola selezionando Crea > regola di query pianificata nella parte superiore della schermata.

3. Selezionare la scheda Imposta logica delle regole.

4. Nella sezione Arricchimento avvisi espandere Dettagli avviso.

   

5. Nella sezione Dettagli avviso ora espansa aggiungere testo libero che include proprietà corrispondenti ai dettagli da visualizzare nell'avviso:

   1. Nel campo Formato nome avviso immettere il testo che si desidera visualizzare come nome dell'avviso (il testo dell'avviso) e includere, tra parentesi graffe doppie, tutti i campi di output della query che si desidera far parte del testo dell'avviso.

      Esempio: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Eseguire la stessa operazione con il campo Formato descrizione avviso.

      Nota

      Attualmente sono disponibili tre parametri ciascuno nei campi Formato nome avviso e Formato descrizione avviso.

   3. Per eseguire l'override di altre proprietà predefinite, selezionare una proprietà di avviso dall'elenco a discesa Proprietà avviso . Selezionare quindi il campo dai risultati della query, il cui contenuto si desidera popolare la proprietà di avviso, dall'elenco a discesa Valore .

   4. Per eseguire l'override di altre proprietà predefinite, selezionare + Aggiungi nuovo e ripetere il passaggio precedente. È possibile eseguire l'override delle proprietà seguenti:

      Nome	Descrizione
      AlertName	String
      Descrizione	Stringa
      AlertSeverity	Uno dei valori seguenti: - Informativo - Basso - Medium - Alto
      Tattiche	Uno dei valori seguenti: - Ricognizione - ResourceDevelopment - Accesso iniziale - Esecuzione - Persistenza - Escalation dei privilegi - Evasione delle difese - Accesso alle credenziali - Individuazione - Spostamento laterale - Raccolta - Esfiltrazione - Comando e controllo - Impatto - Pre-attacco - ImpairProcessControl - InhibitResponseFunction
      Tecniche (anteprima)	Stringa che corrisponde all'espressione regolare seguente: ^T(?<Digits>\d{4})$. Ad esempio: T1234
      AlertLink (anteprima)	String
      ConfidenceLevel (anteprima)	Uno dei valori seguenti: - Basso - Alto - Unknown
      ConfidenceScore (anteprima)	Intero compreso tra 0-1 (incluso)
      ExtendedLinks (anteprima)	String
      ProductComponentName (anteprima)	String
      ProductName (anteprima)	String
      ProviderName (anteprima)	String
      RemediationSteps (anteprima)	String

   Se si cambia idea o si è commesso un errore, è possibile rimuovere un dettaglio dell'avviso facendo clic sull'icona del cestino accanto alla coppia proprietà Avviso/Valore oppure eliminare il testo libero dai campi Formato nome avviso/descrizione.

6. Dopo aver completato la personalizzazione dei dettagli dell'avviso, se si sta creando la regola, continuare con la scheda successiva della procedura guidata. Se si sta modificando una regola esistente, selezionare la scheda Rivedi e crea . Al termine della convalida della regola, selezionare Salva.

   Nota

   Limiti del servizio

   • Il limite combinato di dimensioni per tutti i dettagli dell'avviso e i dettagli personalizzati, collettivamente, è di 64 KB.

Passaggi successivi

In questo documento si è appreso come personalizzare i dettagli degli avvisi nelle regole di analisi di Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Esplorare gli altri modi per arricchire gli avvisi:
  • Eseguire il mapping dei campi dati alle entità in Microsoft Sentinel
  • Dettagli dell'evento personalizzato di Surface negli avvisi in Microsoft Sentinel
• Ottenere l'immagine completa sulle regole di analisi delle query pianificate.
• Altre informazioni sulle entità in Microsoft Sentinel.