Detalhes de eventos personalizados do Surface em alertas no Microsoft Sentinel
As regras de análise de consulta agendada analisam eventos de fontes de dados conectadas ao Microsoft Sentinel e produzem alertas quando o conteúdo desses eventos é significativo do ponto de vista da segurança. Esses alertas são analisados, agrupados e filtrados pelos vários mecanismos do Microsoft Sentinel e destilados em incidentes que merecem a atenção de um analista SOC. No entanto, quando o analista visualiza o incidente, apenas as propriedades dos próprios alertas do componente são imediatamente visíveis. Chegar ao conteúdo real - as informações contidas nos eventos - requer fazer algumas escavações.
Usando o recurso de detalhes personalizados no assistente de regra de análise, você pode exibir dados de eventos nos alertas criados a partir desses eventos, tornando os dados de eventos parte das propriedades de alerta. Na verdade, isso lhe dá visibilidade imediata do conteúdo do evento em seus incidentes, permitindo que você faça triagem, investigue, tire conclusões e responda com muito mais velocidade e eficiência.
O procedimento detalhado abaixo faz parte do assistente de criação de regras de análise. Ele é tratado aqui de forma independente para abordar o cenário de adicionar ou alterar detalhes personalizados em uma regra de análise existente.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Como exibir detalhes personalizados do evento
Entre na página do Google Analytics no portal através do qual você acessa o Microsoft Sentinel:
Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Analytics.
Selecione uma regra de consulta agendada e clique em Editar. Ou crie uma nova regra clicando em Criar > regra de consulta agendada na parte superior da tela.
Clique na guia Definir lógica da regra.
Na seção Enriquecimento de alerta, expanda Detalhes personalizados.
Na seção Detalhes personalizados, agora expandida, adicione pares chave-valor correspondentes aos detalhes que você deseja exibir:
No campo Chave, insira um nome de sua escolha que aparecerá como o nome do campo nos alertas.
No campo Valor, escolha o parâmetro de evento que deseja exibir nos alertas da lista suspensa. Esta lista será preenchida por valores correspondentes aos campos nas tabelas que são o assunto da consulta de regras.
Clique em Adicionar novo para apresentar mais detalhes, repetindo as últimas etapas para definir pares chave-valor.
Se mudar de ideias ou se tiver cometido um erro, pode remover um detalhe personalizado clicando no ícone da reciclagem, junto à lista pendente Valor desse detalhe.
Quando terminar de definir os detalhes personalizados, clique na guia Revisar e criar . Quando a validação da regra for bem-sucedida, clique em Salvar.
Nota
Limites do serviço
Você pode definir até 20 detalhes personalizados em uma única regra de análise. Cada detalhe personalizado pode conter até 50 valores.
O limite de tamanho combinado para todos os detalhes personalizados e seus valores em um único alerta é de 2 KB. Os valores que excedam este limite são eliminados.
Próximos passos
Neste documento, você aprendeu como exibir detalhes personalizados em alertas usando regras de análise do Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Explore outras formas de enriquecer os seus alertas:
- Obtenha uma visão completa das regras de análise de consultas agendadas.
- Saiba mais sobre entidades no Microsoft Sentinel.