Partilhar via

Detalhes de eventos personalizados do Surface em alertas no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

As regras de análise de consulta agendada analisam eventos de fontes de dados conectadas ao Microsoft Sentinel e produzem alertas quando o conteúdo desses eventos é significativo do ponto de vista da segurança. Esses alertas são analisados, agrupados e filtrados pelos vários mecanismos do Microsoft Sentinel e destilados em incidentes que merecem a atenção de um analista SOC. No entanto, quando o analista visualiza o incidente, apenas as propriedades dos próprios alertas do componente são imediatamente visíveis. Chegar ao conteúdo real - as informações contidas nos eventos - requer fazer algumas escavações.

Usando o recurso de detalhes personalizados no assistente de regra de análise, você pode exibir dados de eventos nos alertas criados a partir desses eventos, tornando os dados de eventos parte das propriedades de alerta. Na verdade, isso lhe dá visibilidade imediata do conteúdo do evento em seus incidentes, permitindo que você faça triagem, investigue, tire conclusões e responda com muito mais velocidade e eficiência.

O procedimento detalhado abaixo faz parte do assistente de criação de regras de análise. Ele é tratado aqui de forma independente para abordar o cenário de adicionar ou alterar detalhes personalizados em uma regra de análise existente.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usarem o portal do Azure serão redirecionados automaticamente.

Recomendamos que todos os clientes que usam o Microsoft Sentinel no Azure comecem a planejar a transição para o portal do Defender para obter a experiência completa de operações de segurança unificadas oferecida pelo Microsoft Defender. Para obter mais informações, consulte Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel.

Como exibir detalhes personalizados do evento

  1. Entre na página do Google Analytics no portal através do qual você acessa o Microsoft Sentinel:

    No menu de navegação do Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Analytics.

  2. Selecione uma regra de consulta agendada e clique em Editar. Ou crie uma nova regra clicando em Criar > regra de consulta agendada na parte superior da tela.

  3. Clique na guia Definir lógica da regra .

  4. Na secção Enriquecimento de alerta, expanda Detalhes personalizados.

    Localizar e selecionar detalhes personalizados

  5. Na seção Detalhes personalizados , agora expandida, adicione pares chave-valor correspondentes aos detalhes que você deseja exibir:

    1. No campo Chave , insira um nome de sua escolha que aparecerá como o nome do campo nos alertas.

    2. No campo Valor, escolha o parâmetro de evento que deseja mostrar nos alertas da lista suspensa. Esta lista será preenchida por valores correspondentes aos campos nas tabelas que são o assunto da consulta de regras.

      Adicionar detalhes personalizados

  6. Clique em Adicionar novo para apresentar mais detalhes, repetindo as últimas etapas para definir pares chave-valor.

    Se mudar de ideias ou se tiver cometido um erro, pode remover um detalhe personalizado clicando no ícone de caixote do lixo, junto à lista pendente Valor desse detalhe.

  7. Quando terminar de definir os detalhes personalizados, clique na guia Revisar e criar . Quando a validação da regra for bem-sucedida, clique em Salvar.

    Nota

    Limites de serviço

    • Você pode definir até 20 detalhes personalizados em uma única regra de análise. Cada detalhe personalizado pode conter até 50 valores.

    • O limite de tamanho combinado para todos os detalhes personalizados e seus valores em um único alerta é de 2 KB. Os valores que excedam este limite são eliminados.

Próximos passos

Neste documento, você aprendeu como exibir detalhes personalizados em alertas usando regras de análise do Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: