Настройка деталей оповещений в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье объясняется, как переопределить свойства оповещений по умолчанию с содержимым из базовых результатов запроса.

В процессе создания правила запланированной аналитики в качестве первого шага вы определяете имя и описание правила, а также назначаете его серьезность и тактику MITRE ATT&CK. Все оповещения, созданные заданным правилом, и все инциденты, созданные в результате, наследуют имя, описание, серьезность и тактику, определенную в правиле, без учета определенного содержимого конкретного экземпляра оповещения.

С помощью функции сведений об оповещении можно переопределить эти и другие свойства оповещений по умолчанию двумя способами:

• Создайте пользовательские, переменные и описания для оповещений. Вы можете выбрать поля в выходных данных запроса оповещения, содержимое которого можно включить в имя или описание каждого экземпляра оповещения. Если выбранное поле не имеет значения в данном экземпляре, сведения об оповещении для этого экземпляра будут отменить изменения по умолчанию, указанным на первой странице мастера.

• Настройте серьезность, тактику и другие свойства заданного экземпляра оповещения (см. полный список свойств ниже) со значениями любых соответствующих полей из выходных данных запроса. Если выбранные поля пусты или имеют значения, которые не соответствуют типу данных поля, соответствующие свойства оповещений будут отменить изменения по умолчанию (для тактики и серьезности, указанные на первой странице мастера).

Внимание

• Настройка некоторых сведений о оповещении (см. указанные ниже) в настоящее время доступна в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
• Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Выполните описанную ниже процедуру, чтобы использовать функцию сведений об оповещении. Эти шаги являются частью мастера создания правил аналитики, но они рассматриваются здесь независимо для решения сценария добавления или изменения сведений об оповещении в существующем правиле аналитики.

Настройка деталей оповещения

1. Введите страницу аналитики на портале, с помощью которого вы обращаетесь к Microsoft Sentinel:

   Портал Azure

   В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".

   Портал Defender

   В меню навигации Microsoft Defender разверните узел Microsoft Sentinel, а затем — "Конфигурация". Выберите Аналитика.

2. Выберите правило запланированного запроса и нажмите кнопку "Изменить". Или создайте новое правило, нажав кнопку "Создать > правило запланированного запроса" в верхней части экрана.

3. Перейдите на вкладку Задать логику правила.

4. В разделе Обогащение оповещений разверните пункт Детали оповещения.

   

5. В развернутом разделе сведений об оповещении добавьте бесплатный текст, содержащий свойства, соответствующие сведениям, которые необходимо отобразить в оповещении:

   1. В поле "Формат имени генерации оповещений" введите текст, который вы хотите показать как имя оповещения (текст оповещения) и включите в двойные фигурные скобки, все поля выходных данных запроса, которые вы хотите включить в текст оповещения.

      Пример: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Повторите то же самое с полем Формат описания оповещения.

      Примечание.

      В настоящее время для каждого из полей Формат имени оповещения и Формат описания оповещения можно задать не более трех параметров.

   3. Чтобы переопределить другие свойства по умолчанию, выберите свойство генерации оповещений из раскрывающегося списка оповещений. Затем выберите поле из результатов запроса, содержимое которого нужно заполнить свойство оповещения, в раскрывающемся списке "Значение ".

   4. Чтобы переопределить дополнительные свойства по умолчанию, нажмите кнопку +Добавить новый и повторите предыдущий шаг. Можно переопределить следующие свойства:

      Имя	Описание
      AlertName	Строка
      Description	Строка
      AlertSeverity	Одно из следующих значений: - Информация - Низкая - Средний - Высокий уровень
      Тактики	Одно из следующих значений: - Разведки - ResourceDevelopment - InitialAccess - Выполнение - Сохраняемость - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Обнаружение - LateralMovement - Коллекция - Извлечение - CommandAndControl - Воздействие - PreAttack - ImpairProcessControl - ПодавлениеResponseFunction
      Методы (предварительная версия)	Строка, которая соответствует следующему регулярному выражению: ^T(?<Digits>\d{4})$ Например: T1234
      AlertLink (предварительная версия)	Строка
      ConfidenceLevel (предварительная версия)	Одно из следующих значений: - Низкая - Высокий уровень - Unknown
      ConfidenceScore (предварительная версия)	Целое число от 0-1 (включительно)
      ExtendedLinks (предварительная версия)	Строка
      ProductComponentName (предварительная версия)	Строка
      ProductName (предварительная версия)	Строка
      ProviderName (предварительная версия)	Строка
      ИсправлениеSteps (предварительная версия)	Строка

   Если вы изменили свое мнение или если вы сделали ошибку, вы можете удалить подробные сведения об оповещении, щелкнув значок корзины рядом с парой "Оповещение" или "Значение ", или удалить свободный текст из полей "Имя или описание оповещения".

6. Завершив настройку сведений о оповещении, если вы создаете правило, перейдите на следующую вкладку мастера. Если вы редактировать существующее правило, выберите вкладку "Рецензирование" и "Создать ". После успешной проверки правила нажмите кнопку "Сохранить".

   Примечание.

   Ограничения службы

   • Совокупное ограничение размера для всех сведений об оповещении и пользовательских сведений в совокупности составляет 64 КБ.

Следующие шаги

В этом документе вы узнали, как настроить детали оповещения с помощью правил аналитики Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Ознакомьтесь с другими способами обогащения оповещений:
  • Сопоставление полей данных с сущностями в Microsoft Sentinel
  • Сведения о пользовательском событии Surface в оповещениях в Microsoft Sentinel
• Получите полное представление о правилах с помощью запланированных запросов.
• Подробнее о сущностях в Microsoft Sentinel.