Condividi tramite


Dettagli dell'evento personalizzato di Surface negli avvisi in Microsoft Sentinel

Le regole di analisi delle query pianificate analizzano gli eventi dalle origini dati connesse a Microsoft Sentinel e generano avvisi quando il contenuto di questi eventi è significativo dal punto di vista della sicurezza. Questi avvisi vengono ulteriormente analizzati, raggruppati e filtrati in base ai vari motori di Microsoft Sentinel e distillati in eventi imprevisti che garantiscono l'attenzione di un analista SOC. Tuttavia, quando l'analista visualizza l'evento imprevisto, solo le proprietà degli avvisi del componente sono immediatamente visibili. Per ottenere il contenuto effettivo, ovvero le informazioni contenute negli eventi, è necessario eseguire alcune operazioni di scavamento.

Usando la funzionalità dettagli personalizzati nella procedura guidata delle regole di analisi, è possibile visualizzare i dati degli eventi negli avvisi creati da tali eventi, rendendo i dati dell'evento parte delle proprietà dell'avviso. In effetti, ciò consente di ottenere visibilità immediata dei contenuti degli eventi negli eventi imprevisti, consentendo di valutare, analizzare, trarre conclusioni e rispondere con maggiore velocità ed efficienza.

La procedura descritta di seguito fa parte della creazione guidata delle regole di analisi. Viene trattato in modo indipendente per affrontare lo scenario di aggiunta o modifica di dettagli personalizzati in una regola di analisi esistente.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Come visualizzare i dettagli dell'evento personalizzato

  1. Immettere la pagina Analisi nel portale tramite cui si accede a Microsoft Sentinel:

    Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analytics.

  2. Selezionare una regola di query pianificata e fare clic su Modifica. In alternativa, creare una nuova regola facendo clic su Crea regola di query pianificata > nella parte superiore della schermata.

  3. Fare clic sulla scheda Imposta logica delle regole.

  4. Nella sezione di arricchimento degli avvisi espandere Dettagli personalizzati.

    Trovare e selezionare dettagli personalizzati

  5. Nella sezione Dettagli personalizzati ora espansa aggiungere coppie chiave-valore corrispondenti ai dettagli da visualizzare:

    1. Nel campo Chiave immettere un nome che verrà visualizzato come nome del campo negli avvisi.

    2. Nel campo Valore scegliere il parametro evento da visualizzare negli avvisi dall'elenco a discesa. Questo elenco verrà popolato da valori corrispondenti ai campi delle tabelle oggetto della query della regola.

      Aggiungere dettagli personalizzati

  6. Fare clic su Aggiungi nuovo per visualizzare altri dettagli, ripetendo gli ultimi passaggi per definire coppie chiave-valore.

    Se si cambia idea o si è commesso un errore, è possibile rimuovere un dettaglio personalizzato facendo clic sull'icona del cestino accanto all'elenco a discesa Valore per tale dettaglio.

  7. Al termine della definizione dei dettagli personalizzati, fare clic sulla scheda Rivedi e crea. Al termine della convalida della regola, fare clic su Salva.

    Nota

    Limiti del servizio

    • È possibile definire fino a 20 dettagli personalizzati in una singola regola di analisi. Ogni dettaglio personalizzato può contenere fino a 50 valori.

    • Il limite di dimensioni combinate per tutti i dettagli personalizzati e i relativi valori in un singolo avviso è di 2 KB. I valori in eccesso a questo limite vengono eliminati.

Passaggi successivi

In questo documento si è appreso come visualizzare i dettagli personalizzati negli avvisi usando le regole di analisi di Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: