在 Microsoft Sentinel 呈現警示中的自訂事件詳細資料

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

排程查詢分析規則會分析來自資料來源 (已連線至 Microsoft Sentinel) 的事件，並從安全性觀點來看，當這些事件的內容很重要時，便會產生警示。 這些警示會由 Microsoft Sentinel 的各種引擎進一步分析、分組及篩選，並提取成保證 SOC 分析師注意的事件。 不過，當分析師檢視事件時，只會立即看到元件警示本身的屬性。 取得實際內容 (事件中包含的資訊) 需要執行一些挖掘。

使用分析規則精靈中的自訂詳細資料功能，您可以呈現這些事件所建構警示中的事件詳細資料，讓事件資料成為警示屬性的一部分。 實際上，這可讓您立即看到事件中的事件內容，讓您能夠分級、調查、得出結論，並以更高的速度和效率回應。

以下所述的程序是分析規則建立精靈的一部分。 這裡會單獨處理，以解決在現有分析規則中新增或變更自訂詳細資料的案例。

重要

Microsoft Sentinel 可做為 Microsoft Defender 入口網站中統一安全性作業平台的一部分。 現在支援 Defender 入口網站中的 Microsoft Sentinel 供實際執行環境使用。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

如何呈現自訂事件詳細資料

1. 進入入口網站中的 [分析] 頁面，您可以透過此頁面存取 Microsoft Sentinel：

   Azure 入口網站

   從 Microsoft Sentinel 導覽功能表的 [設定] 區段中，選取 [分析]。

   Defender 入口網站

   從 [Microsoft Defender] 導覽功能表中，展開 [Microsoft Sentinel]，然後展開 [設定]。 選取分析。

2. 選取排程的查詢規則，然後按一下 [編輯]。 或按一下畫面頂端的 [建立 > 排程的查詢規則] 來建立新的規則。

3. 按一下 [設定規則邏輯] 索引標籤。

4. 在 [警示擴充] 區段中，展開 [自訂詳細資料]。

   

5. 在現在展開的 [自訂詳細資料] 區段中，新增對應至您所要呈現詳細資料的機碼值組：

   1. 在 [機碼] 欄位中，輸入您選擇的名稱，該名稱會顯示為警示中的欄位名稱。

   2. 在 [值] 欄位中，從下拉式清單中選擇您想要在警示中呈現的事件參數。 此清單會在作為規則查詢主體的資料表中填入對應至欄位的值。

      

6. 按一下 [新增] 以呈現更多詳細資料，重複最後一個步驟以定義機碼值組。

   如果改變心意，或如果犯錯誤，您可以移除自訂詳細資料，方法是按一下該詳細資料的 [值] 下拉式清單旁邊的垃圾桶圖示。

7. 當您完成了定義自訂詳細資料時，請按一下 [檢閱並建立] 索引標籤。一旦規則驗證成功，請按一下 [儲存]。

   注意

   服務限制

   • 您可以在單一分析規則中定義最多 20 個自訂詳細資料。 每個自訂詳細資料可以包含 [最多 50 個值]。

   • 單一警示中所有自訂詳細資料及其值的組合大小限制為 2 KB。 超出此限制的值會遭到捨棄。

下一步

在本文件中，您已了解如何使用 Microsoft Sentinel 分析規則，呈現警示中的自訂詳細資料。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 探索豐富警示的其他方法：
  • 將資料欄位對應至 Microsoft Sentinel 中的實體
  • 在 Microsoft Sentinel 中自訂警示詳細資料
• 取得排程查詢分析規則的全貌。
• 深入了解 Microsoft Sentinel 中的實體。