分享方式:


在 Microsoft Sentinel 呈現警示中的自訂事件詳細資料

排程查詢分析規則會分析來自資料來源 (已連線至 Microsoft Sentinel) 的事件,並從安全性觀點來看,當這些事件的內容很重要時,便會產生警示。 這些警示會由 Microsoft Sentinel 的各種引擎進一步分析、分組及篩選,並提取成保證 SOC 分析師注意的事件。 不過,當分析師檢視事件時,只會立即看到元件警示本身的屬性。 取得實際內容 (事件中包含的資訊) 需要執行一些挖掘。

使用分析規則精靈中的自訂詳細資料功能,您可以呈現這些事件所建構警示中的事件詳細資料,讓事件資料成為警示屬性的一部分。 實際上,這可讓您立即看到事件中的事件內容,讓您能夠分級、調查、得出結論,並以更高的速度和效率回應。

以下所述的程序是分析規則建立精靈的一部分。 這裡會單獨處理,以解決在現有分析規則中新增或變更自訂詳細資料的案例。

重要

Microsoft Sentinel 可做為 Microsoft Defender 入口網站中統一安全性作業平台的一部分。 現在支援 Defender 入口網站中的 Microsoft Sentinel 供實際執行環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

如何呈現自訂事件詳細資料

  1. 進入入口網站中的 [分析] 頁面,您可以透過此頁面存取 Microsoft Sentinel:

    從 Microsoft Sentinel 導覽功能表的 [設定] 區段中,選取 [分析]

  2. 選取排程的查詢規則,然後按一下 [編輯]。 或按一下畫面頂端的 [建立 > 排程的查詢規則] 來建立新的規則。

  3. 按一下 [設定規則邏輯] 索引標籤。

  4. 在 [警示擴充] 區段中,展開 [自訂詳細資料]

    尋找並選取自訂詳細資料

  5. 在現在展開的 [自訂詳細資料] 區段中,新增對應至您所要呈現詳細資料的機碼值組:

    1. 在 [機碼] 欄位中,輸入您選擇的名稱,該名稱會顯示為警示中的欄位名稱。

    2. 在 [值] 欄位中,從下拉式清單中選擇您想要在警示中呈現的事件參數。 此清單會在作為規則查詢主體的資料表中填入對應至欄位的值。

      新增自訂詳細資料

  6. 按一下 [新增] 以呈現更多詳細資料,重複最後一個步驟以定義機碼值組。

    如果改變心意,或如果犯錯誤,您可以移除自訂詳細資料,方法是按一下該詳細資料的 [值] 下拉式清單旁邊的垃圾桶圖示。

  7. 當您完成了定義自訂詳細資料時,請按一下 [檢閱並建立] 索引標籤。一旦規則驗證成功,請按一下 [儲存]

    注意

    服務限制

    • 您可以在單一分析規則中定義最多 20 個自訂詳細資料。 每個自訂詳細資料可以包含 [最多 50 個值]

    • 單一警示中所有自訂詳細資料及其值的組合大小限制為 2 KB。 超出此限制的值會遭到捨棄。

下一步

在本文件中,您已了解如何使用 Microsoft Sentinel 分析規則,呈現警示中的自訂詳細資料。 若要深入了解 Microsoft Sentinel,請參閱下列文章: