Dostosowywanie szczegółów alertu w usłudze Microsoft Sentinel

W tym artykule wyjaśniono, jak zastąpić domyślne właściwości alertów zawartością z wyników zapytania bazowego.

W procesie tworzenia reguły zaplanowanej analizy jako pierwszy krok zdefiniujesz nazwę i opis reguły, a następnie przypiszesz jej ważność i taktykę MITRE ATT&CK. Wszystkie alerty generowane przez daną regułę — i wszystkie zdarzenia utworzone w wyniku — dziedziczą nazwę, opis, ważność i taktykę zdefiniowaną w regule bez względu na konkretną zawartość określonego wystąpienia alertu.

Dzięki funkcji szczegółów alertu można zastąpić te i inne domyślne właściwości alertów na dwa sposoby:

  • Utwórz niestandardowe nazwy zmiennych i opisy dla alertów. Możesz wybrać pola w danych wyjściowych zapytania alertu, których zawartość może być uwzględniona w nazwie lub opisie każdego wystąpienia alertu. Jeśli wybrane pole nie ma wartości w danym wystąpieniu, szczegóły alertu dla tego wystąpienia zostaną przywrócone do wartości domyślnych określonych na pierwszej stronie kreatora.

  • Dostosuj ważność, taktykę i inne właściwości danego wystąpienia alertu (zobacz pełną listę właściwości poniżej) z wartościami wszelkich odpowiednich pól z danych wyjściowych zapytania. Jeśli wybrane pola są puste lub mają wartości, które nie są zgodne z typem danych pola, odpowiednie właściwości alertu zostaną przywrócone do wartości domyślnych (w przypadku taktyki i ważności określone na pierwszej stronie kreatora).

Ważne

Możliwość dostosowywania niektórych szczegółów alertu (zobacz te, jak pokazano poniżej) są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Postępuj zgodnie z procedurą opisaną poniżej, aby użyć funkcji szczegółów alertu. Te kroki są częścią kreatora tworzenia reguł analizy, ale są one rozwiązane niezależnie w celu rozwiązania scenariusza dodawania lub zmieniania szczegółów alertu w istniejącej regule analizy.

Jak dostosować szczegóły alertu

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Wybierz regułę zaplanowanego zapytania i wybierz pozycję Edytuj. Możesz też utworzyć nową regułę, wybierając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.

  3. Wybierz kartę Ustaw logikę reguły.

  4. W sekcji Wzbogacanie alertów rozwiń węzeł Szczegóły alertu.

    Customize alert details

  5. W teraz rozwiniętej sekcji Szczegóły alertu dodaj bezpłatny tekst zawierający właściwości odpowiadające szczegółom, które mają być wyświetlane w alercie:

    1. W polu Format nazwy alertu wprowadź tekst, który chcesz wyświetlić jako nazwę alertu (tekst alertu) i uwzględnij w podwójnych nawiasach klamrowych wszystkie pola danych wyjściowych zapytania, które mają być częścią tekstu alertu.

      Przykład: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. Zrób to samo w polu Format opisu alertu.

      Uwaga

      Obecnie w polach Format nazwy alertu i Format opisu alertu są obecnie ograniczone do trzech parametrów.

    3. Aby zastąpić inne właściwości domyślne, wybierz właściwość alertu z listy rozwijanej Właściwość alertu. Następnie wybierz pole z wyników zapytania, którego zawartość ma zostać wypełniona właściwością alertu, z listy rozwijanej Wartość .

    4. Aby zastąpić więcej właściwości domyślnych, wybierz pozycję + Dodaj nowy i powtórz poprzedni krok. Następujące właściwości można zastąpić:

      Nazwa/nazwisko opis
      Nazwa alertu String
      Opis String
      Zależnie od alertów Jedna z następujących wartości:
      - Informacyjne
      - Niska
      - Medium
      - Wysoka
      Taktyki Jedna z następujących wartości:
      - Rozpoznania
      - ResourceDevelopment
      - InitialAccess
      - Wykonanie
      - Trwałość
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - Odnajdywanie
      - LateralMovement (Owement poprzeczny)
      - Kolekcja
      - Eksfiltracja
      - CommandAndControl
      - Wpływ
      - Atak wstępny
      - ImpairProcessControl
      - HamujResponseFunction
      Techniki (wersja zapoznawcza) Ciąg zgodny z następującym wyrażeniem regularnym: ^T(?<Digits>\d{4})$.
      Na przykład: T1234
      AlertLink (wersja zapoznawcza) String
      ConfidenceLevel (wersja zapoznawcza) Jedna z następujących wartości:
      - Niska
      - Wysoka
      - Nieznane
      ConfidenceScore (wersja zapoznawcza) Liczba całkowita z zakresu od 0-do 1 (włącznie)
      ExtendedLinks (wersja zapoznawcza) String
      ProductComponentName (wersja zapoznawcza) String
      ProductName (wersja zapoznawcza) String
      ProviderName (wersja zapoznawcza) String
      RemediationSteps (wersja zapoznawcza) String

    Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć szczegóły alertu, klikając ikonę kosza obok pary Właściwości/wartości alertu lub usuń dowolny tekst z pól Nazwa alertu/Format opisu.

  6. Po zakończeniu dostosowywania szczegółów alertu, jeśli tworzysz regułę, przejdź do następnej karty w kreatorze. Jeśli edytujesz istniejącą regułę, wybierz kartę Przeglądanie i tworzenie . Po pomyślnym zakończeniu walidacji reguły wybierz pozycję Zapisz.

    Uwaga

    Limity usługi

    • Łączny limit rozmiaru dla wszystkich szczegółów alertu i szczegółów niestandardowych, łącznie, wynosi 64 KB.

Następne kroki

W tym dokumencie przedstawiono sposób dostosowywania szczegółów alertu w regułach analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: