Personalizzare i dettagli degli avvisi in Microsoft Sentinel
Questo articolo illustra come eseguire l'override delle proprietà predefinite degli avvisi con contenuto dai risultati della query sottostante.
Nel processo di creazione di una regola di analisi pianificata, come primo passaggio si definisce un nome e una descrizione per la regola e si assegna una gravità e tattiche MITRE ATT&CK. Tutti gli avvisi generati da una determinata regola e tutti gli eventi imprevisti creati di conseguenza erediteranno il nome, la descrizione, la gravità e le tattiche definite nella regola, senza considerare il contenuto specifico di un'istanza specifica dell'avviso.
Con la funzionalità dei dettagli dell'avviso, è possibile eseguire l'override di queste e altre proprietà predefinite degli avvisi in due modi:
Creare nomi personalizzati, variabili e descrizioni per gli avvisi. È possibile selezionare i campi nell'output della query dell'avviso il cui contenuto può essere incluso nel nome o nella descrizione di ogni istanza dell'avviso. Se il campo selezionato non ha alcun valore in una determinata istanza, i dettagli dell'avviso per tale istanza verranno ripristinati i valori predefiniti specificati nella prima pagina della procedura guidata.
Personalizzare la gravità, le tattiche e altre proprietà di una determinata istanza di un avviso (vedere l'elenco completo delle proprietà seguenti) con i valori di tutti i campi pertinenti dall'output della query. Se i campi selezionati sono vuoti o hanno valori che non corrispondono al tipo di dati del campo, le rispettive proprietà di avviso verranno ripristinate le impostazioni predefinite (per tattiche e gravità, quelle specificate nella prima pagina della procedura guidata).
Importante
- La personalizzazione di alcuni dettagli dell'avviso (vedere quelle indicate di seguito) è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
- Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Seguire la procedura descritta di seguito per usare la funzionalità dei dettagli dell'avviso. Questi passaggi fanno parte della creazione guidata delle regole di analisi, ma vengono risolti in modo indipendente per affrontare lo scenario di aggiunta o modifica dei dettagli degli avvisi in una regola di analisi esistente.
Come personalizzare i dettagli degli avvisi
Immettere la pagina Analisi nel portale tramite cui si accede a Microsoft Sentinel:
Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analisi.
Selezionare una regola di query pianificata e selezionare Modifica. In alternativa, creare una nuova regola selezionando Crea > regola di query pianificata nella parte superiore della schermata.
Selezionare la scheda Imposta logica delle regole.
Nella sezione Arricchimento avvisi espandere Dettagli avviso.
Nella sezione Dettagli avviso ora espansa aggiungere testo libero che include proprietà corrispondenti ai dettagli da visualizzare nell'avviso:
Nel campo Formato nome avviso immettere il testo che si desidera visualizzare come nome dell'avviso (il testo dell'avviso) e includere, tra parentesi graffe doppie, tutti i campi di output della query che si desidera far parte del testo dell'avviso.
Esempio:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.
Eseguire la stessa operazione con il campo Formato descrizione avviso.
Nota
Attualmente sono disponibili tre parametri ciascuno nei campi Formato nome avviso e Formato descrizione avviso.
Per eseguire l'override di altre proprietà predefinite, selezionare una proprietà di avviso dall'elenco a discesa Proprietà avviso . Selezionare quindi il campo dai risultati della query, il cui contenuto si desidera popolare la proprietà di avviso, dall'elenco a discesa Valore .
Per eseguire l'override di altre proprietà predefinite, selezionare + Aggiungi nuovo e ripetere il passaggio precedente. È possibile eseguire l'override delle proprietà seguenti:
Nome Descrizione AlertName String Descrizione Stringa AlertSeverity Uno dei valori seguenti:
- Informativo
- Basso
- Medium
- AltoTattiche Uno dei valori seguenti:
- Ricognizione
- ResourceDevelopment
- Accesso iniziale
- Esecuzione
- Persistenza
- Escalation dei privilegi
- Evasione delle difese
- Accesso alle credenziali
- Individuazione
- Spostamento laterale
- Raccolta
- Esfiltrazione
- Comando e controllo
- Impatto
- Pre-attacco
- ImpairProcessControl
- InhibitResponseFunctionTecniche (anteprima) Stringa che corrisponde all'espressione regolare seguente: ^T(?<Digits>\d{4})$
.
Ad esempio: T1234AlertLink (anteprima) String ConfidenceLevel (anteprima) Uno dei valori seguenti:
- Basso
- Alto
- UnknownConfidenceScore (anteprima) Intero compreso tra 0-1 (incluso) ExtendedLinks (anteprima) String ProductComponentName (anteprima) String ProductName (anteprima) String ProviderName (anteprima) String RemediationSteps (anteprima) String
Se si cambia idea o si è commesso un errore, è possibile rimuovere un dettaglio dell'avviso facendo clic sull'icona del cestino accanto alla coppia proprietà Avviso/Valore oppure eliminare il testo libero dai campi Formato nome avviso/descrizione.
Dopo aver completato la personalizzazione dei dettagli dell'avviso, se si sta creando la regola, continuare con la scheda successiva della procedura guidata. Se si sta modificando una regola esistente, selezionare la scheda Rivedi e crea . Al termine della convalida della regola, selezionare Salva.
Nota
Limiti del servizio
- Il limite combinato di dimensioni per tutti i dettagli dell'avviso e i dettagli personalizzati, collettivamente, è di 64 KB.
Passaggi successivi
In questo documento si è appreso come personalizzare i dettagli degli avvisi nelle regole di analisi di Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Esplorare gli altri modi per arricchire gli avvisi:
- Ottenere l'immagine completa sulle regole di analisi delle query pianificate.
- Altre informazioni sulle entità in Microsoft Sentinel.