Surface-anpassad händelseinformation i aviseringar i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Schemalagda frågeanalysregler analyserar händelser från datakällor som är anslutna till Microsoft Sentinel och skapar aviseringar när innehållet i dessa händelser är betydande ur ett säkerhetsperspektiv. Dessa aviseringar analyseras ytterligare, grupperas och filtreras av Microsoft Sentinels olika motorer och destilleras till incidenter som motiverar soc-analytikerns uppmärksamhet. Men när analytikern ser incidenten visas endast egenskaperna för själva komponentaviseringar direkt. Att komma till det faktiska innehållet - informationen som finns i händelserna - kräver att du gräver.

Med hjälp av funktionen anpassad information i guiden för analysregler kan du visa händelsedata i aviseringarna som skapas från dessa händelser, vilket gör händelsedata till en del av aviseringsegenskaperna. I själva verket ger detta dig omedelbar synlighet för händelseinnehåll i dina incidenter, så att du kan sortera, undersöka, dra slutsatser och svara med mycket högre hastighet och effektivitet.

Proceduren som beskrivs nedan är en del av guiden för att skapa analysregler. Den behandlas här oberoende av varandra för att hantera scenariot med att lägga till eller ändra anpassad information i en befintlig analysregel.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Så här visar du anpassad händelseinformation

1. Ange sidan Analys i portalen där du får åtkomst till Microsoft Sentinel:

   Azure-portalen

   I avsnittet Konfiguration på Microsoft Sentinel-navigeringsmenyn väljer du Analys.

   Defender-portalen

   Från navigeringsmenyn i Microsoft Defender expanderar du Microsoft Sentinel och sedan Konfiguration. Välj analys.

2. Välj en schemalagd frågeregel och klicka på Redigera. Eller skapa en ny regel genom att klicka på Skapa > schemalagd frågeregel överst på skärmen.

3. Klicka på fliken Ange regellogik .

4. I avsnittet Aviseringsberikning expanderar du Anpassad information.

   

5. I det nu expanderade avsnittet Anpassad information lägger du till nyckel/värde-par som motsvarar den information som du vill visa:

   1. I fältet Nyckel anger du ett namn som ska visas som fältnamn i aviseringar.

   2. I fältet Värde väljer du den händelseparameter som du vill visa i aviseringarna i listrutan. Den här listan fylls i med värden som motsvarar fälten i tabellerna som är föremål för regelfrågan.

      

6. Klicka på Lägg till ny för att visa mer information och upprepa de sista stegen för att definiera nyckel/värde-par.

   Om du ändrar dig, eller om du har gjort ett misstag, kan du ta bort en anpassad detalj genom att klicka på papperskorgsikonen bredvid listrutan Värde för den informationen.

7. När du har definierat anpassad information klickar du på fliken Granska och skapa . När verifieringen av regeln har slutförts klickar du på Spara.

   Kommentar

   Tjänstbegränsningar

   • Du kan definiera upp till 20 anpassade uppgifter i en enda analysregel.

   • Den kombinerade storleksgränsen för all anpassad information och aviseringsinformation är tillsammans 64 KB.

Nästa steg

I det här dokumentet har du lärt dig hur du visar anpassad information i aviseringar med hjälp av Microsoft Sentinel-analysregler. Mer information om Microsoft Sentinel finns i följande artiklar:

• Utforska de andra sätten att utöka dina aviseringar:
  • Mappa datafält till entiteter i Microsoft Sentinel
  • Anpassa aviseringsinformation i Microsoft Sentinel
• Hämta hela bilden på schemalagda frågeanalysregler.
• Läs mer om entiteter i Microsoft Sentinel.