Personalización de los detalles de la alerta de Azure Sentinel
En este artículo se explica cómo invalidar las propiedades predeterminadas de las alertas con contenido de los resultados de la consulta subyacente.
Durante el proceso de creación de una regla de análisis programada, deberá definir como primer paso un nombre y una descripción para la regla y asignarle una gravedad y tácticas de MITRE ATT&CK. Todas las alertas generadas por una regla determinada (y los incidentes creados como resultado) heredarán el nombre, la descripción, la gravedad y las tácticas definidas en la regla, sin tener en cuenta el contenido concreto de una instancia específica de la alerta.
Con la característica de detalles de alerta, puede invalidar estas y otras propiedades predeterminadas de las alertas de dos maneras:
Cree descripciones y nombres de variables personalizados para las alertas. Tiene la posibilidad de seleccionar campos en la salida de la consulta de la alerta cuyo contenido se podría incluir en el nombre o la descripción de cada instancia de la alerta. Si el campo seleccionado no tiene un valor en una instancia determinada, los detalles de la alerta para esa instancia volverán a ser los valores predeterminados especificados en la primera página del asistente.
Personalice la gravedad, las tácticas y otras propiedades para una instancia determinada de una alerta (consulte la lista completa de propiedades a continuación) con los valores de los campos pertinentes de la salida de la consulta. Si los campos seleccionados están vacíos o tienen valores que no coinciden con el tipo de datos de campo, las respectivas propiedades de alerta volverán a adoptar los valores predeterminados (para las tácticas y la gravedad, serán los especificados en la primera página del asistente).
Importante
- Algunas opciones de personalización de detalles de alertas (consulte las que se indican a continuación) se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
- Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Siga el procedimiento que se detalla a continuación para usar la característica de detalles de alertas. Estos pasos forman parte del asistente para la creación de reglas de análisis, pero se abordan aquí de forma independiente para abordar el escenario que permite agregar o cambiar los detalles de alerta en una regla de análisis existente.
Personalización de los detalles de la alerta
Acceda en la página de Análisis en el portal a través del cual accede a Microsoft Sentinel:
En la sección Configuración del menú de navegación de Microsoft Sentinel, seleccione Análisis.
Seleccione una regla de consulta programada y Editar. O bien cree una nueva regla seleccionando Create > Scheduled query rule en la parte superior de la pantalla.
Haga clic en la pestaña Establecer la lógica de la regla.
En la sección Alert enrichment (Enriquecimiento de alertas), expanda Detalles de la alerta.
En la sección Detalles de la alerta que se ha expandido, agregue el texto que desee con los parámetros correspondientes para los detalles que quiere mostrar en la alerta:
En el campo Formato del nombre de la alerta, escriba el texto que quiere que aparezca como nombre de la alerta (el texto de la alerta) e incluya, entre llaves, los campos de salida de la consulta que integrar en el texto de la alerta.
Ejemplo:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.
Haga lo mismo con el campo Formato de la descripción de la alerta.
Nota
Actualmente está limitado a tres parámetros cada uno en los campos Formato del nombre de la alerta y Formato de la descripción de la alerta.
Para invalidar otras propiedades predeterminadas, seleccione una propiedad de alerta en la lista desplegable de propiedad de alerta. A continuación, seleccione el campo de los resultados de la consulta, cuyo contenido desea rellenar la propiedad de alerta, en la lista desplegable del valor.
Para invalidar más propiedades predeterminadas, seleccione + Agregar nuevo y repita el paso anterior. Las siguientes propiedades de alerta se pueden invalidar:
Nombre Descripción AlertName String Descripción Cadena AlertSeverity Uno de los siguientes valores:
- Informativo
- Baja
- media
- AltaTácticas Uno de los siguientes valores:
- Reconocimiento
- ResourceDevelopment
- InitialAccess
- Ejecución
- Persistencia
- PrivilegeEscalation
- DefenseEvasion
- CredentialAccess
- Detección
- LateralMovement
- Colección
- Exfiltración
- CommandAndControl
- Impacto
- PreAttack
- ImpairProcessControl
- InhibitResponseFunctionTechniques (versión preliminar) Cadena que coincide con la siguiente expresión regular: ^T(?<Digits>\d{4})$
.
Por ejemplo: T1234.AlertLink (versión preliminar) Cadena ConfidenceLevel (versión preliminar) Uno de los siguientes valores:
- Baja
- Alta
- UnknownConfidenceScore (versión preliminar) Un entero comprendido entre 0-1 (ambos incluidos). ExtendedLinks (versión preliminar) Cadena ProductComponentName (versión preliminar) Cadena ProductName (versión preliminar)
* Vea la nota que sigue a esta tablaCadena ProviderName (versión preliminar) Cadena RemediationSteps (versión preliminar) Cadena Nota:
Si ha incorporado Microsoft Sentinel al portal de Microsoft Defender, no personalice el campo ProductName para las alertas de orígenes de Microsoft. Si lo hace, estas alertas se quitarán de XDR de Microsoft Defender y no se creará ningún incidente.
Si cambia de opinión o comete algún error, puede quitar un detalle de la alerta haciendo clic en el icono de la papelera situado junto a los campos Alert property/Value o eliminar el texto libre de los campos Alert Name/Description Format.
Cuando termine de personalizar los detalles de alerta, y si está creando la alerta, continúe con la pestaña siguiente del asistente. Si está editando una regla existente, haga clic en la pestaña Revisar y crear. Una vez que la regla se haya validado correctamente, haga clic en Guardar.
Límites de servicio
- Puede invalidar un campo con hasta 50 valores en una sola consulta. Cuando la consulta supera los 50 valores personalizados, se quitan todos los valores personalizados y en todos los resultados de la consulta, el campo vuelve a su valor predeterminado. Ajuste la consulta para que no genere más de 50 valores para asegurarse de que no se quitan valores personalizados.
- El límite de tamaño del campo
AlertName
y cualquier otra propiedad que no sea de colección es 256 bytes. - El límite de tamaño para el campo
Description
y cualquier otra propiedad de colección es 5 KB. - Se quitan los valores que superan los límites de tamaño.
Pasos siguientes
En este documento, ha aprendido a personalizar los detalles de las alertas en las reglas de análisis de Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:
- Explore las otras formas de enriquecer las alertas:
- Obtenga una visión completa de las reglas de análisis de consultas programadas.
- Obtenga más información sobre las entidades en Microsoft Sentinel.