Szczegóły zdarzenia niestandardowego urządzenia Surface w alertach w usłudze Microsoft Sentinel
Reguły analizy zaplanowanych zapytań analizują zdarzenia ze źródeł danych połączonych z usługą Microsoft Sentinel i generują alerty , gdy zawartość tych zdarzeń jest znacząca z punktu widzenia zabezpieczeń. Te alerty są dalej analizowane, pogrupowane i filtrowane przez różne aparaty usługi Microsoft Sentinel i destylowane w zdarzenia , które uzasadniają uwagę analityka SOC. Jednak gdy analityk wyświetla zdarzenie, widoczne są natychmiast tylko właściwości alertów składników. Dotarcie do rzeczywistej zawartości — informacji zawartych w zdarzeniach — wymaga kopania.
Korzystając z funkcji szczegółów niestandardowych w kreatorze reguł analizy, można wyświetlić dane zdarzeń w alertach utworzonych na podstawie tych zdarzeń, dzięki czemu dane zdarzenia są częścią właściwości alertu. W efekcie zapewnia to natychmiastową widoczność zawartości zdarzeń w zdarzeniach, umożliwiając klasyfikację, badanie, wyciąganie wniosków i reagowanie z znacznie większą szybkością i wydajnością.
Poniższa procedura jest częścią kreatora tworzenia reguł analizy. Jest ona traktowana niezależnie od scenariusza dodawania lub zmieniania szczegółów niestandardowych w istniejącej regule analizy.
Ważne
Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Jak wyświetlić niestandardowe szczegóły zdarzenia
Wprowadź stronę Analiza w portalu, za pomocą której uzyskujesz dostęp do usługi Microsoft Sentinel:
W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.
Wybierz regułę zaplanowanego zapytania i kliknij przycisk Edytuj. Możesz też utworzyć nową regułę, klikając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.
Kliknij kartę Ustaw logikę reguły.
W sekcji Wzbogacanie alertów rozwiń węzeł Szczegóły niestandardowe.
W teraz rozwiniętej sekcji Szczegóły niestandardowe dodaj pary klucz-wartość odpowiadające szczegółom, które chcesz wyświetlić:
W polu Klucz wprowadź nazwę wybranego pola, która będzie wyświetlana jako nazwa pola w alertach.
W polu Wartość wybierz parametr zdarzenia, który chcesz wyświetlić na liście rozwijanej alertów. Ta lista zostanie wypełniona wartościami odpowiadającymi polam w tabelach, które są tematem zapytania reguły.
Kliknij przycisk Dodaj nowy , aby wyświetlić więcej szczegółów, powtarzając ostatnie kroki, aby zdefiniować pary klucz-wartość.
Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć szczegóły niestandardowe, klikając ikonę kosza obok listy rozwijanej Wartość dla tego szczegółu.
Po zakończeniu definiowania szczegółów niestandardowych kliknij kartę Przeglądanie i tworzenie . Po pomyślnym zakończeniu walidacji reguły kliknij przycisk Zapisz.
Uwaga
Limity usługi
W jednej regule analizy można zdefiniować maksymalnie 20 szczegółów niestandardowych. Każdy szczegół niestandardowy może zawierać maksymalnie 50 wartości.
Łączny limit rozmiaru dla wszystkich szczegółów niestandardowych i ich wartości w jednym alercie wynosi 2 KB. Wartości przekraczające ten limit są porzucane.
Następne kroki
W tym dokumencie przedstawiono sposób tworzenia niestandardowych szczegółów w alertach przy użyciu reguł analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Zapoznaj się z innymi sposobami wzbogacania alertów:
- Uzyskaj pełny obraz dla zaplanowanych reguł analizy zapytań.
- Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel.