Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica como substituir as propriedades padrão de alertas por conteúdo dos resultados da consulta subjacente.
No processo de criação de uma regra de análise agendada, como primeira etapa, você define um nome e uma descrição para a regra e atribui a ela uma severidade e táticas MITRE ATT&CK. Todos os alertas gerados por uma determinada regra - e todos os incidentes criados como resultado - herdarão o nome, a descrição, a gravidade e as táticas definidas na regra, independentemente do conteúdo específico de uma instância específica do alerta.
Com o recurso de detalhes do alerta , você pode substituir essas e outras propriedades padrão dos alertas de duas maneiras:
Crie nomes e descrições personalizados e variáveis para os seus alertas. Você pode selecionar campos na saída de consulta do alerta cujo conteúdo pode ser incluído no nome ou na descrição de cada instância do alerta. Se o campo selecionado não tiver valor em uma determinada instância, os detalhes do alerta para essa instância serão revertidos para os padrões especificados na primeira página do assistente.
Personalize a gravidade, as táticas e outras propriedades de uma determinada instância de um alerta (consulte a lista completa de propriedades abaixo) com os valores de quaisquer campos relevantes da saída da consulta. Se os campos selecionados estiverem vazios ou tiverem valores que não correspondam ao tipo de dados do campo, as respetivas propriedades de alerta serão revertidas para seus padrões (para táticas e gravidade, as especificadas na primeira página do assistente).
Importante
- A personalização de alguns detalhes do alerta (veja os indicados abaixo) está atualmente em VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
- A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos usuários também são automaticamente integrados e redirecionados do portal do Azure para o portal do Defender. Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Siga o procedimento detalhado abaixo para usar o recurso de detalhes do alerta. Essas etapas fazem parte do assistente de criação de regras de análise, mas são abordadas aqui de forma independente para abordar o cenário de adicionar ou alterar detalhes de alerta em uma regra de análise existente.
Como personalizar os detalhes do alerta
Entre na página do Google Analytics no portal através do qual você acessa o Microsoft Sentinel:
Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Analytics.
Selecione uma regra de consulta agendada e selecione Editar. Ou crie uma nova regra selecionando Criar > regra de consulta agendada na parte superior da tela.
Selecione a guia Definir lógica da regra .
Expanda os Detalhes do alerta na seção Enriquecimento de alerta.
Na seção Detalhes do alerta agora expandida, adicione texto livre que inclua propriedades correspondentes aos detalhes que você deseja exibir no alerta:
No campo Formato do Nome do Alerta , insira o texto que você deseja que apareça como o nome do alerta (o texto do alerta) e inclua, entre colchetes duplos, todos os campos de saída de consulta que você deseja que façam parte do texto do alerta.
Exemplo:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.Faça o mesmo com o campo Formato da Descrição do Alerta .
Nota
Atualmente, você está limitado a três parâmetros cada nos campos Formato do nome do alerta e Formato da descrição do alerta .
Para substituir outras propriedades predefinidas, selecione uma propriedade de alerta na lista suspensa Propriedade de alerta. Em seguida, selecione o campo nos resultados da consulta cujo conteúdo deve preencher a propriedade de alerta na lista suspensa Valor.
Para substituir mais propriedades padrão, selecione + Adicionar novo e repita a etapa anterior. As seguintes propriedades podem ser substituídas:
Nome Descrição Nome do alerta Cadeia Suporta apenas texto simples. Descrição Cadeia Suporta apenas texto sem formatação, se o Microsoft Sentinel estiver integrado ao portal do Defender. AlertSeverity Um dos seguintes valores:
- Informativo
- Baixo
- Média
- AltoTáticas Um dos seguintes valores:
- Reconhecimento
- Desenvolvimento de Recursos
- InitialAccess
- Execução
- Persistência
- Escalonamento de Privilégios
- DefesaEvasão
- CredentialAccess
- Descoberta
- Movimento Lateral
- Coleção
- Exfiltração
- ComandoAndControl
- Impacto
- Pré-ataque
- ImpairProcessControl
- InhibitResponseFunctionTécnicas (Pré-visualização) Uma cadeia de caracteres que corresponde à seguinte expressão regular: ^T(?<Digits>\d{4})$.
Por exemplo: T1234AlertLink (Pré-visualização) Cordão ConfidenceLevel (Pré-visualização) Um dos seguintes valores:
- Baixo
- Alto
- DesconhecidoConfidenceScore (Pré-visualização) Inteiro, entre 0-1 (inclusive) ExtendedLinks (Pré-visualização) Cordão ProductComponentName (Pré-visualização)
* Ver Notas de precaução a seguir a esta tabelaCordão ProductName (Pré-visualização)
* Ver Notas de precaução a seguir a esta tabelaCordão ProviderName (Pré-visualização)
* Ver Notas de precaução a seguir a esta tabelaCordão RemediationSteps (Pré-visualização) Cordão Atenção
Se você integrou o Microsoft Sentinel ao portal do Microsoft Defender:
Não personalize o campo ProductName para alertas de fontes da Microsoft. Isso resultará na eliminação desses alertas do Microsoft Defender XDR e na criação de nenhum incidente.
Os campos ProductComponentName e ProviderName não estão mais disponíveis para personalização.
Se alguma dessas personalizações já existir em qualquer uma das suas regras, remova-as para manter a compatibilidade e evitar resultados inesperados.
Se mudar de ideias ou se tiver cometido um erro, pode remover um detalhe do alerta clicando no ícone do caixote do lixo, junto ao par de propriedade/Valor do alerta, ou eliminar o texto livre dos campos Nome do alerta/Formato da descrição.
Quando terminar de personalizar os detalhes do alerta, se estiver criando a regra, vá para a próxima guia do assistente. Se estiver a editar uma regra existente, selecione o separador Rever e criar . Quando a validação da regra for bem-sucedida, selecione Salvar.
Limites de serviço
- Você pode substituir um campo com até 50 valores em uma única consulta. Quando a consulta excede 50 valores personalizados, todos os valores personalizados são descartados e, em todos os resultados da consulta, o campo é revertido para o valor padrão. Ajuste sua consulta para produzir não mais de 50 valores para garantir que nenhum valor personalizado seja descartado.
- O limite de tamanho para o
AlertNamecampo e quaisquer outras propriedades que não sejam de coleta é de 256 bytes. - O limite de tamanho para o campo
Descriptione quaisquer outras propriedades da coleção é 5 KB. - Os valores que excedem os limites de tamanho são descartados.
Próximos passos
Neste documento, você aprendeu como personalizar detalhes de alerta nas regras de análise do Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Explore outras formas de enriquecer os seus alertas:
- Obtenha uma visão completa das regras de análise de consultas agendadas.
- Saiba mais sobre entidades no Microsoft Sentinel.