Aangepaste gebeurtenisdetails van Surface in waarschuwingen in Microsoft Sentinel
Geplande queryanalyseregels analyseren gebeurtenissen uit gegevensbronnen die zijn verbonden met Microsoft Sentinel en produceren waarschuwingen wanneer de inhoud van deze gebeurtenissen belangrijk is vanuit beveiligingsperspectief. Deze waarschuwingen worden verder geanalyseerd, gegroepeerd en gefilterd op de verschillende engines van Microsoft Sentinel en gedestilleerd in incidenten die de aandacht van een SOC-analist rechtvaardigen. Wanneer de analist echter het incident bekijkt, zijn alleen de eigenschappen van de onderdeelwaarschuwingen zelf onmiddellijk zichtbaar. Voor het ophalen van de werkelijke inhoud , de informatie in de gebeurtenissen, moet u wat graven.
Met behulp van de functie voor aangepaste details in de wizard Analyseregels kunt u gebeurtenisgegevens weergeven in de waarschuwingen die zijn samengesteld op basis van deze gebeurtenissen, waardoor het onderdeel gebeurtenisgegevens van de waarschuwingseigenschappen wordt gemaakt. Dit geeft u in feite direct inzicht in gebeurtenisinhoud in uw incidenten, zodat u kunt sorteren, onderzoeken, conclusies kunt trekken en met veel meer snelheid en efficiëntie kunt reageren.
De onderstaande procedure maakt deel uit van de wizard voor het maken van analyseregels. Het wordt hier onafhankelijk behandeld om het scenario van het toevoegen of wijzigen van aangepaste details in een bestaande analyseregel aan te pakken.
Belangrijk
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Details van aangepaste gebeurtenissen weergeven
Voer de analytics-pagina in de portal in waarmee u Toegang hebt tot Microsoft Sentinel:
Selecteer Analytics in de sectie Configuratie van het navigatiemenu van Microsoft Sentinel.
Selecteer een geplande queryregel en klik op Bewerken. U kunt ook een nieuwe regel maken door boven aan het scherm op Geplande queryregel maken > te klikken.
Klik op het tabblad Regellogica instellen.
Vouw in de sectie Waarschuwingsverrijking aangepaste details uit.
Voeg in het uitgevouwen gedeelte Aangepaste details sleutel-waardeparen toe die overeenkomen met de details die u wilt weergeven:
Voer in het veld Sleutel een naam in van uw keuze die wordt weergegeven als de veldnaam in waarschuwingen.
Kies in het veld Waarde de gebeurtenisparameter die u wilt weergeven in de waarschuwingen in de vervolgkeuzelijst. Deze lijst wordt ingevuld met waarden die overeenkomen met de velden in de tabellen die het onderwerp van de regelquery zijn.
Klik op Nieuw toevoegen om meer details weer te geven en herhaal de laatste stappen om sleutel-waardeparen te definiëren.
Als u van gedachten verandert of als u een fout hebt gemaakt, kunt u een aangepast detail verwijderen door te klikken op het prullenbakpictogram naast de vervolgkeuzelijst Waarde voor dat detail.
Wanneer u klaar bent met het definiëren van aangepaste details, klikt u op het tabblad Controleren en maken . Zodra de regelvalidatie is geslaagd, klikt u op Opslaan.
Notitie
Servicelimieten
U kunt maximaal 20 aangepaste details definiëren in één analyseregel. Elke aangepaste details kan maximaal 50 waarden bevatten.
De gecombineerde groottelimiet voor alle aangepaste details en de bijbehorende waarden in één waarschuwing is 2 kB. Waarden die boven deze limiet vallen, worden verwijderd.
Volgende stappen
In dit document hebt u geleerd hoe u aangepaste details kunt weergeven in waarschuwingen met behulp van Analyseregels van Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Verken de andere manieren om uw waarschuwingen te verrijken:
- Haal de volledige afbeelding op voor geplande queryanalyseregels.
- Meer informatie over entiteiten in Microsoft Sentinel.