Compartilhar via


Personalizar detalhes do alerta no Microsoft Sentinel

Este artigo explica como substituir as propriedades padrão dos alertas com o conteúdo dos resultados da consulta subjacente.

No processo de criação de uma regra de análise agendada, como primeira etapa, defina um nome e uma descrição para a regra e atribua a ela uma gravidade e táticas MITRE ATT&CK. Todos os alertas gerados por uma determinada regra (e todos os incidentes criados como resultado) herdarão o nome, a descrição, a severidade e as táticas definidas na regra, sem levar em conta o determinado conteúdo de uma instância específica do alerta.

Com o recurso de detalhes do alerta, você pode substituir essas e outras propriedades padrão de alertas de duas maneiras:

  • Crie nomes e descrições variados e personalizados para seus alertas. Você pode selecionar campos na saída de consulta do alerta cujo conteúdo pode ser incluído no nome ou na descrição de cada instância do alerta. Se o campo selecionado não tiver nenhum valor em uma determinada instância, os detalhes do alerta dessa instância serão revertidos para os padrões especificados na primeira página do assistente.

  • Personalize a severidade, as táticas e outras propriedades de uma determinada instância de um alerta (confira a lista completa de propriedades abaixo) com os valores de todos os campos relevantes da saída da consulta. Se os campos selecionados estiverem vazios ou tiverem valores que não correspondam ao tipo de dados de campo, as respectivas propriedades do alerta serão revertidas para os padrões (para táticas e severidade, os especificados na primeira página do assistente).

Importante

  • Algumas personalizações de detalhes do alerta (veja os indicadas abaixo) estão em VERSÃO PRÉVIA no momento. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
  • O Microsoft Sentinel agora está disponível para todos na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Siga o procedimento detalhado abaixo para usar o recurso de detalhes do alerta. Essas etapas fazem parte do assistente de criação de regras de análise, mas são abordadas aqui de modo independente para abordar o cenário de adição ou alteração de detalhes do alerta em uma regra de análise existente.

Como personalizar os detalhes do alerta

  1. Entre na página Análise no portal através do qual você acessa o Microsoft Sentinel:

    Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.

  2. Selecione uma regra de consulta agendada e clique em Editar. Ou crie uma regra clicando em Criar > Regra de consulta agendada na parte superior da tela.

  3. Selecione a guiaConjunto de lógica de regra.

  4. Na seção Enriquecimento de alerta, expanda Detalhes do alerta.

    Personalizar os detalhes do alerta

  5. Na seção Detalhes do alerta agora expandida, adicione um texto livre que inclua propriedades correspondentes aos detalhes que você deseja exibir no alerta:

    1. No campo Formato do nome do alerta, insira o texto que devem aparecer como o nome do alerta (o texto do alerta) e inclua, entre chaves duplas, todos os campos de saída de consulta que devem fazer parte do texto do alerta.

      Exemplo: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. Faça o mesmo com o campo Formato de Descrição do Alerta.

      Observação

      Atualmente, você está limitado a três parâmetros cada nos campos Formato de Nome de Alerta e Formato de Descrição de Alerta.

    3. Para substituir outras propriedades padrão, selecione uma propriedade do alerta na lista suspensa Propriedade do alerta. Depois, nos resultados da consulta, na lista suspensa Valor, selecione o campo cujo conteúdo deverá preencher a propriedade de alerta.

    4. Para substituir mais propriedades padrão, selecione + Adicionar novo e repita a etapa anterior. As seguintes propriedades podem ser substituídas:

      Nome Descrição
      AlertName String
      Descrição String
      AlertSeverity Um dos seguintes valores:
      - Informativo
      - Baixa
      - Médio
      - Alto
      Táticas Um dos seguintes valores:
      - Reconhecimento
      - ResourceDevelopment
      - InitialAccess
      - Execução
      - Persistência
      - PrivilegeEscalation
      - Evasão de defesa
      - CredentialAccess
      - Discovery
      - LateralMovement
      - Coleção
      - Exfiltração
      - CommandAndControl
      - Impacto
      - PreAttack
      - ImpairProcessControl
      - InhibitResponseFunction
      Techniques (Versão prévia) Uma cadeia de caracteres que corresponde à seguinte expressão regular: ^T(?<Digits>\d{4})$.
      Por exemplo: T1234
      AlertLink (Versão prévia) String
      ConfidenceLevel (Versão prévia) Um dos seguintes valores:
      - Baixa
      - Alto
      - Desconhecido
      ConfidenceScore (Versão prévia) Inteiro, entre 0-1 (inclusivo)
      ExtendedLinks (Versão prévia) String
      ProductComponentName (Versão prévia) String
      ProductName (Versão prévia)
      Consulte a observação após esta tabela
      String
      ProviderName (Versão prévia) String
      RemediationSteps (Versão prévia) String

      Observação

      Se você integrou ao Microsoft Sentinel à plataforma de operações de segurança unificada, não personalizeo campo ProductName para alertas de fontes da Microsoft. Isso fará com que esses alertas sejam removidos do Microsoft Defender XDR e nenhum incidente seja criado.

    Se você mudar de ideia ou cometer um erro, poderá remover um detalhe de alerta clicando no ícone de Lixeira ao lado do par Propriedade do alerta/Valor ou excluir o texto livre dos campos Nome do Alerta/Formato da Descrição.

  6. Quando tiver terminado de personalizar os detalhes do alerta, se estiver criando a regra agora, prossiga para a próxima guia no assistente. Se você estiver editando uma regra existente, clique na guia Examinar e criar. Depois que a validação da regra for bem-sucedida, clique em Salvar.

    Observação

    Limites de serviço

    • Você pode substituir um campo com até 50 valores. Valores além do 50º são eliminados.
    • O limite de tamanho para o campo AlertName e quaisquer outras propriedades que não sejam da coleção é 256 bytes.
    • O limite de tamanho para o campo Descrição e quaisquer outras propriedades da coleção é 5 KB.
    • Os valores que excedem os limites de tamanho são eliminados.

Próximas etapas

Neste documento, você aprendeu a personalizar detalhes de alerta nas regras de análise do Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos: