Anpassa aviseringsinformation i Microsoft Sentinel
Den här artikeln beskriver hur du åsidosätter standardegenskaperna för aviseringar med innehåll från de underliggande frågeresultaten.
När du skapar en schemalagd analysregel definierar du som första steg ett namn och en beskrivning för regeln och tilldelar den en allvarlighetsgrad och MITRE ATT&CK-taktik. Alla aviseringar som genereras av en viss regel – och alla incidenter som skapas som ett resultat – ärver namnet, beskrivningen, allvarlighetsgraden och taktiken som definieras i regeln, utan hänsyn till det specifika innehållet i en specifik instans av aviseringen.
Med funktionen aviseringsinformation kan du åsidosätta dessa och andra standardegenskaper för aviseringar på två sätt:
Skapa anpassade, variabelnamn och beskrivningar för dina aviseringar. Du kan välja fält i aviseringens frågeutdata vars innehåll kan inkluderas i namnet eller beskrivningen av varje instans av aviseringen. Om det valda fältet inte har något värde i en viss instans återgår aviseringsinformationen för den instansen till standardvärdena som anges på den första sidan i guiden.
Anpassa allvarlighetsgrad, taktik och andra egenskaper för en viss instans av en avisering (se den fullständiga listan med egenskaper nedan) med värdena för alla relevanta fält från frågeutdata. Om de markerade fälten är tomma eller har värden som inte matchar fältdatatypen återgår respektive aviseringsegenskaper till standardvärdena (för taktik och allvarlighetsgrad återgår de som anges på den första sidan i guiden).
Viktigt!
- Vissa aviseringsinformationens anpassningsmöjligheter (se de som anges nedan) är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
- Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Följ proceduren nedan för att använda aviseringsinformationsfunktionen. De här stegen är en del av guiden för att skapa analysregler, men de hanteras här separat för att hantera scenariot med att lägga till eller ändra aviseringsinformation i en befintlig analysregel.
Anpassa aviseringsinformation
Ange sidan Analys i portalen där du får åtkomst till Microsoft Sentinel:
I avsnittet Konfiguration på Microsoft Sentinel-navigeringsmenyn väljer du Analys.
Välj en schemalagd frågeregel och välj Redigera. Eller skapa en ny regel genom att välja Skapa > schemalagd frågeregel överst på skärmen.
Välj fliken Ange regellogik .
I avsnittet Aviseringsberikning expanderar du Aviseringsinformation.
I det nu expanderade avsnittet Aviseringsinformation lägger du till fritext som innehåller egenskaper som motsvarar den information som du vill visa i aviseringen:
I fältet Format för aviseringsnamn anger du den text som du vill ska visas som namnet på aviseringen (aviseringstexten) och inkluderar, inom dubbla klammerparenteser, alla frågeutdatafält som du vill ska ingå i aviseringstexten.
Exempel:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.
Gör samma sak med fältet Format för aviseringsbeskrivning.
Kommentar
Du är för närvarande begränsad till tre parametrar vardera i fälten Format för aviseringsnamn och Aviseringsbeskrivningsformat .
Om du vill åsidosätta andra standardegenskaper väljer du en aviseringsegenskap i listrutan Aviseringsegenskap . Välj sedan fältet från frågeresultatet, vars innehåll du vill fylla i aviseringsegenskapen i listrutan Värde .
Om du vill åsidosätta fler standardegenskaper väljer du + Lägg till ny och upprepar föregående steg. Följande egenskaper kan åsidosättas:
Name beskrivning AlertName String Beskrivning String AlertSeverity Något av följande värden:
- Informativt
- Låg
- Medel
- HögTaktik Något av följande värden:
- Spaning
- ResourceDevelopment
- InitialAccess
- Avrättning
- Ståndaktighet
- PrivilegeEscalation
- DefenseEvasion
- CredentialAccess
- Upptäckt
- LateralMovement
- Samling
- Exfiltrering
- CommandAndControl
- Påverkan
- PreAttack
- ImpairProcessControl
- InhibitResponseFunctionTekniker (förhandsversion) En sträng som matchar följande reguljära uttryck: ^T(?<Digits>\d{4})$
.
Exempel: T1234AlertLink (förhandsversion) String ConfidenceLevel (förhandsversion) Något av följande värden:
- Låg
- Hög
- OkändConfidenceScore (förhandsversion) Heltal, mellan 0-1 (inklusive) ExtendedLinks (förhandsversion) String ProductComponentName (förhandsversion) String ProductName (förhandsversion)
* Se kommentaren efter den här tabellenString ProviderName (förhandsversion) String RemediationSteps (förhandsversion) String Kommentar
Om du registrerade Microsoft Sentinel på plattformen för enhetliga säkerhetsåtgärder ska du inte anpassa fältet ProductName för aviseringar från Microsoft-källor. Om du gör det kommer aviseringarna att tas bort från Microsoft Defender XDR och ingen incident skapas.
Om du ändrar dig, eller om du har gjort ett misstag, kan du ta bort en aviseringsinformation genom att klicka på papperskorgsikonen bredvid aviseringsegenskapen/värdeparet eller ta bort den kostnadsfria texten från fälten Aviseringsnamn/Beskrivningsformat.
Om du nu skapar regeln fortsätter du till nästa flik i guiden när du är klar med att anpassa aviseringsinformationen. Om du redigerar en befintlig regel väljer du fliken Granska och skapa . När verifieringen av regeln har slutförts väljer du Spara.
Tjänstbegränsningar
- Du kan åsidosätta ett fält med upp till 50 värden i en enda fråga. När frågan överskrider 50 anpassade värden tas alla anpassade värden bort och i alla frågeresultat återgår fältet till standardvärdet. Justera frågan så att den ger högst 50 värden för att säkerställa att inga anpassade värden tas bort.
- Storleksgränsen för fältet
AlertName
och andra egenskaper som inte är samlingsegenskaper är 256 byte. - Storleksgränsen för fältet
Description
och andra samlingsegenskaper är 5 KB. - Värden som överskrider storleksgränserna tas bort.
Nästa steg
I det här dokumentet har du lärt dig hur du anpassar aviseringsinformation i Microsoft Sentinel-analysregler. Mer information om Microsoft Sentinel finns i följande artiklar:
- Utforska de andra sätten att utöka dina aviseringar:
- Hämta hela bilden på schemalagda frågeanalysregler.
- Läs mer om entiteter i Microsoft Sentinel.