Dostosowywanie szczegółów alertu w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jak zastąpić domyślne właściwości alertów zawartością z wyników zapytania bazowego.

W procesie tworzenia reguły zaplanowanej analizy jako pierwszy krok zdefiniujesz nazwę i opis reguły, a następnie przypiszesz jej ważność i taktykę MITRE ATT&CK. Wszystkie alerty generowane przez daną regułę — i wszystkie zdarzenia utworzone w wyniku — dziedziczą nazwę, opis, ważność i taktykę zdefiniowaną w regule bez względu na konkretną zawartość określonego wystąpienia alertu.

Dzięki funkcji szczegółów alertu można zastąpić te i inne domyślne właściwości alertów na dwa sposoby:

• Utwórz niestandardowe nazwy zmiennych i opisy dla alertów. Możesz wybrać pola w danych wyjściowych zapytania alertu, których zawartość może być uwzględniona w nazwie lub opisie każdego wystąpienia alertu. Jeśli wybrane pole nie ma wartości w danym wystąpieniu, szczegóły alertu dla tego wystąpienia zostaną przywrócone do wartości domyślnych określonych na pierwszej stronie kreatora.

• Dostosuj ważność, taktykę i inne właściwości danego wystąpienia alertu (zobacz pełną listę właściwości poniżej) z wartościami wszelkich odpowiednich pól z danych wyjściowych zapytania. Jeśli wybrane pola są puste lub mają wartości, które nie są zgodne z typem danych pola, odpowiednie właściwości alertu zostaną przywrócone do wartości domyślnych (w przypadku taktyki i ważności określone na pierwszej stronie kreatora).

Ważne

• Możliwość dostosowywania niektórych szczegółów alertu (zobacz te, jak pokazano poniżej) są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
• Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Postępuj zgodnie z procedurą opisaną poniżej, aby użyć funkcji szczegółów alertu. Te kroki są częścią kreatora tworzenia reguł analizy, ale są one rozwiązane niezależnie w celu rozwiązania scenariusza dodawania lub zmieniania szczegółów alertu w istniejącej regule analizy.

Jak dostosować szczegóły alertu

1. Wprowadź stronę Analiza w portalu, za pomocą której uzyskujesz dostęp do usługi Microsoft Sentinel:

   Witryna Azure Portal

   W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

   Portal usługi Defender

   Z menu nawigacji usługi Microsoft Defender rozwiń węzeł Microsoft Sentinel, a następnie pozycję Konfiguracja. Wybierz pozycję Analizy.

2. Wybierz regułę zaplanowanego zapytania i wybierz pozycję Edytuj. Możesz też utworzyć nową regułę, wybierając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.

3. Wybierz kartę Ustaw logikę reguły.

4. W sekcji Wzbogacanie alertów rozwiń węzeł Szczegóły alertu.

   

5. W teraz rozwiniętej sekcji Szczegóły alertu dodaj bezpłatny tekst zawierający właściwości odpowiadające szczegółom, które mają być wyświetlane w alercie:

   1. W polu Format nazwy alertu wprowadź tekst, który chcesz wyświetlić jako nazwę alertu (tekst alertu) i uwzględnij w podwójnych nawiasach klamrowych wszystkie pola danych wyjściowych zapytania, które mają być częścią tekstu alertu.

      Przykład: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Zrób to samo w polu Format opisu alertu.

      Uwaga

      Obecnie w polach Format nazwy alertu i Format opisu alertu są obecnie ograniczone do trzech parametrów.

   3. Aby zastąpić inne właściwości domyślne, wybierz właściwość alertu z listy rozwijanej Właściwość alertu. Następnie wybierz pole z wyników zapytania, którego zawartość ma zostać wypełniona właściwością alertu, z listy rozwijanej Wartość .

   4. Aby zastąpić więcej właściwości domyślnych, wybierz pozycję + Dodaj nowy i powtórz poprzedni krok. Następujące właściwości można zastąpić:

      Nazwa/nazwisko	opis
      Nazwa alertu	String
      Opis	String
      Zależnie od alertów	Jedna z następujących wartości: - Informacyjne - Niska - Medium - Wysoka
      Taktyka	Jedna z następujących wartości: - Rekonesans - ResourceDevelopment - InitialAccess - Wykonanie - Trwałość - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Odnajdywanie - LateralMovement (Owement poprzeczny) - Kolekcja - Eksfiltracja - CommandAndControl - Wpływ - Atak wstępny - ImpairProcessControl - HamujResponseFunction
      Techniki (wersja zapoznawcza)	Ciąg zgodny z następującym wyrażeniem regularnym: ^T(?<Digits>\d{4})$. Na przykład: T1234
      AlertLink (wersja zapoznawcza)	String
      ConfidenceLevel (wersja zapoznawcza)	Jedna z następujących wartości: - Niska - Wysoka - Nieznane
      ConfidenceScore (wersja zapoznawcza)	Liczba całkowita z zakresu od 0-do 1 (włącznie)
      ExtendedLinks (wersja zapoznawcza)	String
      ProductComponentName (wersja zapoznawcza)	String
      ProductName (wersja zapoznawcza) * Zobacz notatkę poniżej tej tabeli	String
      ProviderName (wersja zapoznawcza)	String
      RemediationSteps (wersja zapoznawcza)	String

      Uwaga

      Jeśli dołączono usługę Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń, nie dostosuj pola ProductName dla alertów ze źródeł firmy Microsoft. Spowoduje to usunięcie tych alertów z usługi Microsoft Defender XDR i brak tworzonego zdarzenia.

   Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć szczegóły alertu, klikając ikonę kosza obok pary Właściwości/wartości alertu lub usuń dowolny tekst z pól Nazwa alertu/Format opisu.

6. Po zakończeniu dostosowywania szczegółów alertu, jeśli tworzysz regułę, przejdź do następnej karty w kreatorze. Jeśli edytujesz istniejącą regułę, wybierz kartę Przeglądanie i tworzenie . Po pomyślnym zakończeniu walidacji reguły wybierz pozycję Zapisz.

Limity usługi

• Pole można zastąpić maksymalnie 50 wartościami w jednym zapytaniu. Gdy zapytanie przekroczy 50 dostosowanych wartości, wszystkie dostosowane wartości zostaną porzucone, a we wszystkich wynikach zapytania pole powróci do wartości domyślnej. Dostosuj zapytanie, aby uzyskać nie więcej niż 50 wartości, aby upewnić się, że nie usunięto dostosowanych wartości.
• Limit rozmiaru AlertName pola i innych właściwości innych niż kolekcja wynosi 256 bajtów.
• Limit rozmiaru Description pola i innych właściwości kolekcji wynosi 5 KB.
• Wartości przekraczające limity rozmiaru są porzucane.

Następne kroki

W tym dokumencie przedstawiono sposób dostosowywania szczegółów alertu w regułach analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Zapoznaj się z innymi sposobami wzbogacania alertów:
  • Mapowanie pól danych na jednostki w usłudze Microsoft Sentinel
  • Szczegóły zdarzenia niestandardowego urządzenia Surface w alertach w usłudze Microsoft Sentinel
• Uzyskaj pełny obraz dla zaplanowanych reguł analizy zapytań.
• Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel.