Udostępnij za pośrednictwem


Szczegóły zdarzenia niestandardowego urządzenia Surface w alertach w usłudze Microsoft Sentinel

Reguły analizy zaplanowanych zapytań analizują zdarzenia ze źródeł danych połączonych z usługą Microsoft Sentinel i generują alerty , gdy zawartość tych zdarzeń jest znacząca z punktu widzenia zabezpieczeń. Te alerty są dalej analizowane, pogrupowane i filtrowane przez różne aparaty usługi Microsoft Sentinel i destylowane w zdarzenia , które uzasadniają uwagę analityka SOC. Jednak gdy analityk wyświetla zdarzenie, widoczne są natychmiast tylko właściwości alertów składników. Dotarcie do rzeczywistej zawartości — informacji zawartych w zdarzeniach — wymaga kopania.

Korzystając z funkcji szczegółów niestandardowych w kreatorze reguł analizy, można wyświetlić dane zdarzeń w alertach utworzonych na podstawie tych zdarzeń, dzięki czemu dane zdarzenia są częścią właściwości alertu. W efekcie zapewnia to natychmiastową widoczność zawartości zdarzeń w zdarzeniach, umożliwiając klasyfikację, badanie, wyciąganie wniosków i reagowanie z znacznie większą szybkością i wydajnością.

Poniższa procedura jest częścią kreatora tworzenia reguł analizy. Jest ona traktowana niezależnie od scenariusza dodawania lub zmieniania szczegółów niestandardowych w istniejącej regule analizy.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Jak wyświetlić niestandardowe szczegóły zdarzenia

  1. Wprowadź stronę Analiza w portalu, za pomocą której uzyskujesz dostęp do usługi Microsoft Sentinel:

    W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Wybierz regułę zaplanowanego zapytania i kliknij przycisk Edytuj. Możesz też utworzyć nową regułę, klikając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.

  3. Kliknij kartę Ustaw logikę reguły.

  4. W sekcji Wzbogacanie alertów rozwiń węzeł Szczegóły niestandardowe.

    Znajdowanie i wybieranie szczegółów niestandardowych

  5. W teraz rozwiniętej sekcji Szczegóły niestandardowe dodaj pary klucz-wartość odpowiadające szczegółom, które chcesz wyświetlić:

    1. W polu Klucz wprowadź nazwę wybranego pola, która będzie wyświetlana jako nazwa pola w alertach.

    2. W polu Wartość wybierz parametr zdarzenia, który chcesz wyświetlić na liście rozwijanej alertów. Ta lista zostanie wypełniona wartościami odpowiadającymi polam w tabelach, które są tematem zapytania reguły.

      Dodawanie szczegółów niestandardowych

  6. Kliknij przycisk Dodaj nowy , aby wyświetlić więcej szczegółów, powtarzając ostatnie kroki, aby zdefiniować pary klucz-wartość.

    Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć szczegóły niestandardowe, klikając ikonę kosza obok listy rozwijanej Wartość dla tego szczegółu.

  7. Po zakończeniu definiowania szczegółów niestandardowych kliknij kartę Przeglądanie i tworzenie . Po pomyślnym zakończeniu walidacji reguły kliknij przycisk Zapisz.

    Uwaga

    Limity usługi

    • W jednej regule analizy można zdefiniować maksymalnie 20 szczegółów niestandardowych. Każdy szczegół niestandardowy może zawierać maksymalnie 50 wartości.

    • Łączny limit rozmiaru dla wszystkich szczegółów niestandardowych i ich wartości w jednym alercie wynosi 2 KB. Wartości przekraczające ten limit są porzucane.

Następne kroki

W tym dokumencie przedstawiono sposób tworzenia niestandardowych szczegółów w alertach przy użyciu reguł analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: