Microsoft Sentinel 警示中的 Surface 自定義事件詳細數據
排程的查詢分析規則會分析連線至 Microsoft Sentinel 之數據源的事件,並在這些事件的內容從安全性觀點來看相當重要時產生警示。 這些警示會進一步分析、分組和篩選由 Microsoft Sentinel 的各種引擎篩選,並擷取成 值得 SOC 分析師注意的事件 。 不過,當分析師檢視事件時,只會立即顯示元件警示本身的屬性。 取得實際內容 - 事件中包含的資訊 - 需要進行一些挖掘。
使用分析規則精靈中的自定義詳細數據功能,您可以在從這些事件建構的警示中呈現事件數據,讓事件數據成為警示屬性的一部分。 實際上,這可讓您立即在事件中檢視事件內容,讓您以更高的速度和效率來分級、調查、得出結論和回應。
以下詳述的程式是分析規則建立精靈的一部分。 這裡將單獨處理,以解決在現有分析規則中新增或變更自定義詳細數據的案例。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如何呈現自定義事件詳細數據
在您存取 Microsoft Sentinel 的入口網站中輸入 Analytics 頁面:
從 Microsoft Sentinel 導覽功能表的 [設定] 區段,選取 [分析]。
選取排程的查詢規則,然後按下 [ 編輯]。 或單擊畫面頂端的 [ 建立 > 排程查詢規則] 來建立新的規則 。
按兩下 [ 設定規則邏輯 ] 索引標籤。
在 [警示擴充] 區段中,展開 [自定義詳細數據]。
在 [現在展開 的自定義詳細數據 ] 區段中,新增對應至您想要呈現之詳細數據的索引鍵/值組:
在 [ 金鑰 ] 字段中,輸入您選擇的名稱,該名稱會顯示為警示中的功能變數名稱。
在 [ 值] 字段中,從下拉式清單中選擇您想要顯示在警示中的事件參數。 此清單會以對應至規則查詢主體數據表中欄位的值填入。
按兩下 [ 新增 ] 以顯示更多詳細數據,重複最後一個步驟來定義索引鍵/值組。
如果您改變主意,或如果您犯了錯誤,您可以按兩下 「值」 下拉式清單旁的垃圾桶圖示來移除自定義詳細數據。
當您完成定義自定義詳細數據之後,請按兩下 [ 檢閱並建立] 索引標籤。一旦規則驗證成功,請按兩下 [ 儲存]。
下一步
在本檔中,您已瞭解如何使用 Microsoft Sentinel 分析規則在警示中呈現自定義詳細數據。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 探索擴充警示的其他方式:
- 取得排程查詢分析規則的完整圖片。
- 深入瞭解 Microsoft Sentinel 中的實體。