Szczegóły zdarzenia niestandardowego urządzenia Surface w alertach w usłudze Microsoft Sentinel

Wprowadzenie

Reguły analizy zaplanowanych zapytań analizują zdarzenia ze źródeł danych połączonych z usługą Microsoft Sentinel i generują alerty , gdy zawartość tych zdarzeń jest znacząca z punktu widzenia zabezpieczeń. Te alerty są dalej analizowane, pogrupowane i filtrowane przez różne aparaty usługi Microsoft Sentinel i destylowane w zdarzenia , które uzasadniają uwagę analityka SOC. Jednak gdy analityk wyświetla zdarzenie, widoczne są natychmiast tylko właściwości alertów składników. Dotarcie do rzeczywistej zawartości — informacji zawartych w zdarzeniach — wymaga kopania.

Korzystając z funkcji szczegółów niestandardowych w kreatorze reguł analizy, można wyświetlić dane zdarzeń w alertach utworzonych na podstawie tych zdarzeń, dzięki czemu dane zdarzenia są częścią właściwości alertu. W efekcie zapewnia to natychmiastową widoczność zawartości zdarzeń w zdarzeniach, umożliwiając klasyfikację, badanie, wyciąganie wniosków i reagowanie z znacznie większą szybkością i wydajnością.

Poniższa procedura jest częścią kreatora tworzenia reguł analizy. Jest ona traktowana niezależnie od scenariusza dodawania lub zmieniania szczegółów niestandardowych w istniejącej regule analizy.

Jak wyświetlić niestandardowe szczegóły zdarzenia

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Wybierz regułę zaplanowanego zapytania i kliknij przycisk Edytuj. Możesz też utworzyć nową regułę, klikając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.

  3. Kliknij kartę Ustaw logikę reguły.

  4. W sekcji Wzbogacanie alertów rozwiń węzeł Szczegóły niestandardowe.

    Find and select custom details

  5. W teraz rozwiniętej sekcji Szczegóły niestandardowe dodaj pary klucz-wartość odpowiadające szczegółom, które chcesz wyświetlić:

    1. W polu Klucz wprowadź nazwę wybranego pola, która będzie wyświetlana jako nazwa pola w alertach.

    2. W polu Wartość wybierz parametr zdarzenia, który chcesz wyświetlić na liście rozwijanej alertów. Ta lista zostanie wypełniona wartościami odpowiadającymi polam w tabelach, które są tematem zapytania reguły.

      Add custom details

  6. Kliknij przycisk Dodaj nowy , aby wyświetlić więcej szczegółów, powtarzając ostatnie kroki, aby zdefiniować pary klucz-wartość.

    Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć szczegóły niestandardowe, klikając ikonę kosza obok listy rozwijanej Wartość dla tego szczegółu.

  7. Po zakończeniu definiowania szczegółów niestandardowych kliknij kartę Przeglądanie i tworzenie . Po pomyślnym zakończeniu walidacji reguły kliknij przycisk Zapisz.

    Uwaga

    Limity usługi

    • W jednej regule analizy można zdefiniować maksymalnie 20 szczegółów niestandardowych.

    • Łączny limit rozmiaru dla wszystkich szczegółów niestandardowych i szczegółów alertu łącznie wynosi 64 KB.

Następne kroki

W tym dokumencie przedstawiono sposób tworzenia niestandardowych szczegółów w alertach przy użyciu reguł analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: