Sdílet prostřednictvím


Podrobnosti o vlastních událostech surface v upozorněních v Microsoft Sentinelu

Plánovaná pravidla analýzy dotazů analyzují události ze zdrojů dat připojených k Microsoft Sentinelu a vytvářejí výstrahy , když jsou obsah těchto událostí z hlediska zabezpečení významný. Tyto výstrahy jsou dále analyzovány, seskupené a filtrované různými moduly Microsoft Sentinelu a destilovány do incidentů , které vyžadují pozornost analytika SOC. Když ale analytik zobrazí incident, zobrazí se okamžitě pouze vlastnosti samotných výstrah komponent. Získání skutečného obsahu – informací obsažených v událostech – vyžaduje, aby se něco prokopával.

Pomocí funkce vlastních podrobností v průvodci analytickým pravidlem můžete zobrazit data událostí v upozorněních vytvořených z těchto událostí a vytvořit tak datovou část událostí vlastností výstrahy. Díky tomu získáte okamžitý přehled o obsahu událostí ve vašich incidentech, abyste mohli zkoumat, zkoumat, vyvozovat závěry a reagovat mnohem větší rychlostí a efektivitou.

Níže uvedený postup je součástí průvodce vytvořením analytického pravidla. Sem se zachází nezávisle na řešení scénáře přidání nebo změny vlastních podrobností v existujícím analytickém pravidle.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Jak zobrazit podrobnosti o vlastních událostech

  1. Na portálu zadejte stránku Analýza , přes kterou přistupujete k Microsoft Sentinelu:

    V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

  2. Vyberte pravidlo naplánovaného dotazu a klikněte na Upravit. Nebo můžete vytvořit nové pravidlo kliknutím na vytvořit > pravidlo naplánovaného dotazu v horní části obrazovky.

  3. Klikněte na kartu Nastavit logiku pravidla.

  4. V části Rozšiřování výstrah rozbalte vlastní podrobnosti.

    Vyhledání a výběr vlastních podrobností

  5. V nově rozbalené části Vlastní podrobnosti přidejte páry klíč-hodnota odpovídající podrobnostem, které chcete zobrazit:

    1. Do pole Klíč zadejte název vašeho výběru, který se zobrazí jako název pole v upozorněních.

    2. V poli Hodnota zvolte parametr události, který chcete zobrazit v upozorněních z rozevíracího seznamu. Tento seznam bude naplněn hodnotami odpovídajícími polím v tabulkách, které jsou předmětem dotazu pravidla.

      Přidání vlastních podrobností

  6. Kliknutím na Přidat nové zobrazíte další podrobnosti a opakujte poslední kroky pro definování párů klíč-hodnota.

    Pokud si to rozmyslíte nebo uděláte chybu, můžete vlastní podrobnosti odebrat kliknutím na ikonu koše vedle rozevíracího seznamu Hodnota pro tento detail.

  7. Po dokončení definování vlastních podrobností klikněte na kartu Revize a vytvořit . Po úspěšném ověření pravidla klikněte na Uložit.

    Poznámka:

    Omezení služby

    • V jednom analytickém pravidlu můžete definovat až 20 vlastních podrobností . Každý vlastní detail může obsahovat až 50 hodnot.

    • Kombinovaný limit velikosti pro všechny vlastní podrobnosti a jejich hodnoty v jedné výstraze je 2 kB. Hodnoty nad rámec tohoto limitu se zahodí.

Další kroky

V tomto dokumentu jste zjistili, jak zobrazit vlastní podrobnosti v upozorněních pomocí analytických pravidel služby Microsoft Sentinel. Další informace o službě Microsoft Sentinel najdete v následujících článcích: