Szczegóły zdarzenia niestandardowego urządzenia Surface w alertach w usłudze Microsoft Sentinel

Wprowadzenie

Reguły analizy zaplanowanych zapytań analizują zdarzenia ze źródeł danych połączonych z usługą Microsoft Sentinel i generują alerty , gdy zawartość tych zdarzeń jest znacząca z perspektywy zabezpieczeń. Te alerty są dalej analizowane, grupowane i filtrowane przez różne aparaty usługi Microsoft Sentinel i destylowane w zdarzenia , które uzasadniają uwagę analityka SOC. Jednak gdy analityk zobaczy incydent, widoczne są natychmiast tylko właściwości alertów składników. Dotarcie do rzeczywistej zawartości - informacje zawarte w zdarzeniach - wymaga kopania.

Korzystając z funkcji szczegółów niestandardowych w kreatorze reguł analizy, można wyświetlić dane zdarzeń w alertach utworzonych na podstawie tych zdarzeń, dzięki czemu dane zdarzenia są częścią właściwości alertu. W efekcie zapewnia to natychmiastową widoczność zawartości zdarzeń w zdarzeniach, umożliwiając klasyfikację, badanie, wyciąganie wniosków i reagowanie przy znacznie większej szybkości i wydajności.

Procedura opisana poniżej jest częścią kreatora tworzenia reguł analizy. Jest ona traktowana niezależnie, aby rozwiązać problem ze scenariuszem dodawania lub zmieniania niestandardowych szczegółów w istniejącej regule analizy.

Jak wyświetlić niestandardowe szczegóły zdarzenia

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Wybierz regułę zaplanowanego zapytania i kliknij przycisk Edytuj. Możesz też utworzyć nową regułę, klikając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.

  3. Kliknij kartę Ustaw logikę reguły .

  4. W sekcji Wzbogacanie alertów rozwiń węzeł Szczegóły niestandardowe.

    Znajdowanie i wybieranie szczegółów niestandardowych

  5. W teraz rozwiniętej sekcji Szczegóły niestandardowe dodaj pary klucz-wartość odpowiadające szczegółom, które chcesz wyświetlić:

    1. W polu Klucz wprowadź nazwę wybranego pola, która będzie wyświetlana jako nazwa pola w alertach.

    2. W polu Wartość wybierz parametr zdarzenia, który chcesz wyświetlić w alertach z listy rozwijanej. Ta lista zostanie wypełniona wartościami odpowiadającymi polam w tabelach, które są tematem zapytania reguły.

      Dodawanie szczegółów niestandardowych

  6. Kliknij pozycję Dodaj nowy , aby wyświetlić więcej szczegółów, powtarzając ostatnie kroki, aby zdefiniować pary klucz-wartość.

    Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć szczegóły niestandardowe, klikając ikonę kosza obok listy rozwijanej Wartość dla tych szczegółów.

  7. Po zakończeniu definiowania szczegółów niestandardowych kliknij kartę Przeglądanie i tworzenie . Po pomyślnym zakończeniu walidacji reguły kliknij przycisk Zapisz.

    Uwaga

    Limity usługi

    • W jednej regule analizy można zdefiniować maksymalnie 20 niestandardowych szczegółów .

    • Limit rozmiaru dla wszystkich szczegółów niestandardowych, łącznie, wynosi 2 KB.

Następne kroki

W tym dokumencie przedstawiono sposób tworzenia niestandardowych szczegółów w alertach przy użyciu reguł analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: