共用方式為

在 Microsoft Sentinel 中自訂警示詳細資料

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文説明如何使用基礎查詢結果中的內容覆寫警示的預設屬性。

在建立 排程分析規則的過程中,當您定義規則的名稱和描述的第一個步驟時,您會為其指派嚴重性和 MITRE ATT&CK 策略。 指定規則產生的所有警示以及由此建立的所有事件都將繼承規則中定義的名稱、説明、嚴重性和策略,而不考慮警示的特定執行個體的特定內容。

藉由警示詳細資料功能,您可以透過兩種方式覆寫警示的這些和其他預設屬性:

  • 為您的警示建立自訂的變數名稱和説明。 您可以在警示的査詢輸出中選取欄位,這些欄位的內容可以包含在警示的每個執行個體之名稱或説明中。 如果所選欄位在指定執行個體中沒有值,則該執行個體的警示詳細資料將還原至精靈第一頁中指定的預設值。

  • 使用査詢輸出中任何相關欄位的值自訂執行警示執行個體的嚴重性、策略和其他屬性 (請參閱下方的完整屬性清單)。 如果所選欄位為空或其值與欄位資料類型不相符,則相應的警示屬性將還原為預設值 (對於策略和嚴重性,則為精靈第一頁中指定的值)。

重要

  • 一些警示詳細資料的可自訂性 (見下方所示) 目前正在預覽中。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
  • Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

遵循以下詳細説明之程序使用警示詳細資料功能。 這些步驟是分析規則建立精靈的一部分,但它們在此處獨立處理,以解决在現有分析規則中新增或變更警示詳細資料的案例。

如何自訂警示詳細資料

  1. 在您存取 Microsoft Sentinel 的入口網站中輸入 Analytics 頁面:

    從 Microsoft Sentinel 導覽功能表的 [設定] 區段,選取 [分析]。

  2. 選取排程的查詢規則,然後選取 [編輯]。 或選取畫面頂端的 [建立 > 排程的查詢規則] 來建立新的規則。

  3. 選取 [設定規則邏輯] 索引標籤。

  4. [警示擴充] 區段中,展開 [警示詳細資料]

    自訂警示詳細數據

  5. 在立即展開的 [警示詳細資料] 區段中,新增任意文字並包含屬性 (對應至警示要顯示的詳細資料):

    1. [警示名稱格式] 欄位中,輸入要顯示為警示名稱的文字 (警示文字),並以雙大括弧括住要作為警示文字部分的查詢輸入欄位。

      範例: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. [警示描述格式] 欄位執行相同動作。

      注意

      您目前僅限使用 [警示名稱格式][警示描述格式] 欄位中的三個參數

    3. 若要覆寫其他預設屬性,請從 [警示屬性] 下拉式清單中選取警示屬性。 然後從查詢結果中的 [值] 下拉式清單中選取要填入警示屬性的欄位。

    4. 若要覆寫更多預設屬性,請選取 [+ 新增],然後重複上一步。 可以覆寫下列屬性:

      名稱 描述
      AlertName String
      說明 String
      AlertSeverity 下列其中一個值:
      - Informational
      -
      -
      -
      策略 下列其中一個值:
      - 偵察
      - ResourceDevelopment
      - InitialAccess
      - 執行
      - 持續性
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - 探索
      - LateralMovement
      - 集合
      - 外洩
      - CommandAndControl
      - 影響
      - PreAttack
      - ImpairProcessControl
      - CtionResponseFunction
      技術 (預覽) 符合下列正則表達式的字串: ^T(?<Digits>\d{4})$
      例如: T1234
      AlertLink (預覽) String
      ConfidenceLevel (預覽) 下列其中一個值:
      -
      -
      - Unknown
      ConfidenceScore (預覽) 整數,介於 0-1 之間(含)
      ExtendedLinks (預覽) String
      ProductComponentName (預覽) String
      ProductName (預覽) String
      ProviderName (預覽) String
      RemediationSteps (預覽) String

    若改變心意或誤選,則可按一下 [警示屬性/值] 組旁的垃圾桶圖示來移除警示詳細資料,或從 [警示名稱/説明格式] 欄位刪除任意文字。

  6. 自訂完警示詳細資料後,如果現在正在建立規則,請繼續精靈中的下一個索引標籤。 如果您正在編輯現有規則,請選取 [檢閱並建立] 索引標籤。規則驗證成功後,請選取 [儲存]

    注意

    服務限制

下一步

在本文件中,您已了解如何使用 Microsoft Sentinel 分析規則,以自訂警示詳細資料。 若要深入了解 Microsoft Sentinel,請參閱下列文章: