Přizpůsobení podrobností výstrah v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek vysvětluje, jak přepsat výchozí vlastnosti výstrah s obsahem z výsledků podkladového dotazu.

Při vytváření naplánovaného analytického pravidla jako prvního kroku definujete název a popis pravidla a přiřadíte mu závažnost a taktiku MITRE ATT&CK. Všechna upozornění generovaná daným pravidlem a všechny incidenty vytvořené v důsledku toho zdědí název, popis, závažnost a taktiku definovanou v pravidle bez ohledu na konkrétní obsah konkrétní instance výstrahy.

Pomocí funkce podrobností výstrah můžete tyto a další výchozí vlastnosti výstrah přepsat dvěma způsoby:

• Vytvořte pro upozornění vlastní názvy proměnných a jejich popisy. Ve výstupu dotazu upozornění můžete vybrat pole, jejichž obsah může být zahrnut do názvu nebo popisu každé instance výstrahy. Pokud vybrané pole nemá v dané instanci žádnou hodnotu, podrobnosti výstrahy pro danou instanci se vrátí k výchozím hodnotám zadaným na první stránce průvodce.

• Přizpůsobte závažnost, taktiku a další vlastnosti dané instance výstrahy (podívejte se na úplný seznam vlastností níže) s hodnotami všech relevantních polí z výstupu dotazu. Pokud jsou vybraná pole prázdná nebo mají hodnoty, které neodpovídají datovému typu pole, vrátí se příslušné vlastnosti upozornění na výchozí hodnoty (pro taktiku a závažnost, ty zadané na první stránce průvodce).

Důležité

• Některé podrobnosti o upozornění jsou v současné době ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
• Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Pokud chcete použít funkci podrobností výstrahy, postupujte podle níže uvedených pokynů. Tyto kroky jsou součástí průvodce vytvořením analytického pravidla, ale řeší se tady nezávisle na řešení scénáře přidání nebo změny podrobností upozornění v existujícím analytickém pravidle.

Přizpůsobení podrobností výstrah

1. Na portálu zadejte stránku Analýza , přes kterou přistupujete k Microsoft Sentinelu:

   Azure Portal

   V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

   Portál Defenderu

   V navigační nabídce v programu Microsoft Defender rozbalte Položku Microsoft Sentinel a pak Konfiguraci. Vyberte Analýza.

2. Vyberte pravidlo naplánovaného dotazu a vyberte Upravit. Nebo vytvořte nové pravidlo výběrem možnosti Vytvořit > naplánované pravidlo dotazu v horní části obrazovky.

3. Vyberte kartu Nastavit logiku pravidla.

4. V části Rozšiřování výstrah rozbalte podrobnosti výstrahy.

   

5. V nově rozbalené části Podrobnosti výstrahy přidejte volný text, který obsahuje vlastnosti odpovídající podrobnostem, které chcete zobrazit v upozornění:

   1. Do pole Formát názvu upozornění zadejte text, který se má zobrazit jako název výstrahy (text výstrahy) a vložte do dvojitých složených závorek všechna výstupní pole dotazu, která chcete být součástí textu upozornění.

      Příklad: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Totéž proveďte s polem Formát popisu výstrahy.

      Poznámka:

      V polích Formát názvu výstrahy a Formát popisu výstrahy jsou aktuálně omezeny na tři parametry.

   3. Chcete-li přepsat další výchozí vlastnosti, vyberte vlastnost výstrahy z rozevíracího seznamu Vlastností výstrahy. Potom v rozevíracím seznamu Hodnota vyberte pole z výsledků dotazu, jehož obsah chcete vyplnit vlastnost výstrahy.

   4. Pokud chcete přepsat více výchozích vlastností, vyberte + Přidat nový a opakujte předchozí krok. Lze přepsat následující vlastnosti:

      Název	Popis
      AlertName	String
      Popis	String
      Výstrahy bez ohledu na to	Jedna z následujících hodnot: - Informační - Nízký - Medium - Vysoko
      Taktika	Jedna z následujících hodnot: - Průzkum - ResourceDevelopment - InitialAccess - Spuštění - Uchování - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Zjišťování - LateralMovement - Kolekce - Exfiltrace - CommandAndControl - Dopad - Předběžné připojení - NarušovatprocessControl - InhibiceResponseFunction
      Techniky (Preview)	Řetězec, který odpovídá následujícímu regulárnímu výrazu: ^T(?<Digits>\d{4})$. Příklad: T1234
      AlertLink (Preview)	String
      ConfidenceLevel (Preview)	Jedna z následujících hodnot: - Nízký - Vysoko - Neznámý
      ConfidenceScore (Preview)	Celé číslo v rozmezí 0-1 (včetně)
      ExtendedLinks (Preview)	String
      ProductComponentName (Preview)	String
      ProductName (Preview) * Viz poznámka následující v této tabulce	String
      ProviderName (Preview)	String
      Nápravné kroky (Preview)	String

      Poznámka:

      Pokud jste microsoft Sentinel nasadili na portál Microsoft Defender, nepřizpůsobte pole ProductName pro výstrahy ze zdrojů Microsoftu. Výsledkem tohoto postupu bude vyřazení těchto výstrah z XDR v programu Microsoft Defender a nevytvořil se žádný incident.

   Pokud si to rozmyslíte nebo uděláte chybu, můžete podrobnosti výstrahy odebrat kliknutím na ikonu koše vedle páru Vlastnosti Výstraha nebo Hodnota nebo z polí Formát popisu výstrahy odstranit volný text.

6. Až dokončíte přizpůsobení podrobností upozornění, pokračujte v průvodci na další kartu. Pokud upravujete existující pravidlo, vyberte kartu Revize a vytvořit . Po úspěšném ověření pravidla vyberte Uložit.

Omezení služby

• Pole můžete přepsat až o 50 hodnot v jednom dotazu. Když dotaz překročí 50 přizpůsobených hodnot, všechny přizpůsobené hodnoty se zahodí a ve všech výsledcích dotazu se pole vrátí na výchozí hodnotu. Vylaďte dotaz tak, aby nepřinesl více než 50 hodnot, abyste zajistili, že se nezahodí žádné přizpůsobené hodnoty.
• Omezení velikosti pro AlertName pole a všechny ostatní vlastnosti mimo kolekci je 256 bajtů.
• Omezení velikosti pro Description pole a všechny ostatní vlastnosti kolekce je 5 kB.
• Hodnoty překračující limity velikosti se zahodí.

Další kroky

V tomto dokumentu jste zjistili, jak přizpůsobit podrobnosti upozornění v analytických pravidlech Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Prozkoumejte další způsoby, jak rozšířit upozornění:
  • Mapování datových polí na entity v Microsoft Sentinelu
  • Podrobnosti o vlastních událostech surface v upozorněních v Microsoft Sentinelu
• Získejte úplný obrázek o pravidlech analýzy naplánovaných dotazů.
• Přečtěte si další informace o entitách v Microsoft Sentinelu.