Waarschuwingsdetails aanpassen in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel wordt uitgelegd hoe u de standaardeigenschappen van waarschuwingen overschrijft met inhoud uit de onderliggende queryresultaten.

Tijdens het maken van een geplande analyseregel definieert u als eerste stap een naam en beschrijving voor de regel en wijst u deze toe aan een ernst en MITRE ATT&CK-tactiek. Alle waarschuwingen die door een bepaalde regel worden gegenereerd, en alle incidenten die als gevolg hiervan zijn gemaakt, nemen de naam, beschrijving, ernst en tactiek over die in de regel zijn gedefinieerd, zonder rekening te houden met de specifieke inhoud van een specifiek exemplaar van de waarschuwing.

Met de functie waarschuwingsdetails kunt u deze en andere standaardeigenschappen van waarschuwingen op twee manieren overschrijven:

• Maak aangepaste namen en beschrijvingen van variabelen voor uw waarschuwingen. U kunt velden selecteren in de query-uitvoer van uw waarschuwing waarvan de inhoud kan worden opgenomen in de naam of beschrijving van elk exemplaar van de waarschuwing. Als het geselecteerde veld geen waarde heeft in een bepaald exemplaar, worden de waarschuwingsgegevens voor dat exemplaar teruggezet naar de standaardwaarden die zijn opgegeven op de eerste pagina van de wizard.

• Pas de ernst, tactieken en andere eigenschappen van een bepaald exemplaar van een waarschuwing aan (zie de volledige lijst met onderstaande eigenschappen) met de waarden van relevante velden uit de queryuitvoer. Als de geselecteerde velden leeg zijn of waarden bevatten die niet overeenkomen met het gegevenstype van het veld, worden de bijbehorende waarschuwingseigenschappen teruggezet naar de standaardwaarden (voor tactieken en ernst, die zijn opgegeven op de eerste pagina van de wizard).

Belangrijk

• De aanpasbaarheid van sommige waarschuwingsdetails (zie de details die hieronder worden aangegeven) zijn momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
• Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Volg de onderstaande procedure om de functie waarschuwingsdetails te gebruiken. Deze stappen maken deel uit van de wizard voor het maken van analyseregels, maar ze worden hier onafhankelijk behandeld om het scenario van het toevoegen of wijzigen van waarschuwingsdetails in een bestaande analyseregel aan te pakken.

Waarschuwingsdetails aanpassen

1. Voer de analytics-pagina in de portal in waarmee u Toegang hebt tot Microsoft Sentinel:

   Azure-portal

   Selecteer Analytics in de sectie Configuratie van het navigatiemenu van Microsoft Sentinel.

   Defender-portal

   Vouw In het navigatiemenu van Microsoft Defender Microsoft Sentinel en vervolgens Configuratie uit. Selecteer Analyses.

2. Selecteer een geplande queryregel en selecteer Bewerken. U kunt ook een nieuwe regel maken door boven aan het scherm een regel voor geplande query's maken te selecteren.>

3. Selecteer het tabblad Regellogica instellen.

4. Vouw in de sectie Waarschuwingsverrijking details uit.

   

5. Voeg in de sectie met nu uitgevouwen waarschuwingsdetails vrije tekst toe die eigenschappen bevat die overeenkomen met de details die u in de waarschuwing wilt weergeven:

   1. Voer in het veld Indeling van waarschuwingsnaam de tekst in die u wilt weergeven als de naam van de waarschuwing (de waarschuwingstekst) en neem alle queryuitvoervelden op die u wilt gebruiken als onderdeel van de waarschuwingstekst.

      Voorbeeld: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Doe hetzelfde met het veld Beschrijving van waarschuwing.

      Notitie

      U bent momenteel beperkt tot drie parameters in de velden Indeling waarschuwingsnaam en Beschrijving van waarschuwing .

   3. Als u andere standaardeigenschappen wilt overschrijven, selecteert u een waarschuwingseigenschap in de vervolgkeuzelijst waarschuwingseigenschappen . Selecteer vervolgens het veld in de queryresultaten, waarvan u de inhoud van de waarschuwingseigenschap wilt vullen, in de vervolgkeuzelijst Waarde .

   4. Als u meer standaardeigenschappen wilt overschrijven, selecteert u + Nieuwe toevoegen en herhaalt u de vorige stap. De volgende eigenschappen kunnen worden overschreven:

      Name	Beschrijving
      AlertName	String
      Beschrijving	String
      AlertSeverity	Een van de volgende waarden: - Informatieve - Laag - Gemiddeld - Hoog
      Tactiek	Een van de volgende waarden: - Verkenning - ResourceOntwikkeling - Initial Access (Initiële toegang) - Uitvoering - Volharding - Privilege Escalation (Verhoging van bevoegdheden) - Defense Evasion (Omzeilen van verdediging) - Credential Access (Toegang tot referenties) - Discovery (Detectie) - Lateral Movement (Zijdelingse verplaatsing) - Verzameling - Exfiltration (Exfiltratie) - Command and Control - Impact - PreAttack (Voorbereiding) - ImpairProcessControl - InhibitResponseFunction
      Technieken (preview)	Een tekenreeks die overeenkomt met de volgende reguliere expressie: ^T(?<Digits>\d{4})$. Bijvoorbeeld: T1234
      AlertLink (preview)	String
      ConfidenceLevel (preview)	Een van de volgende waarden: - Laag - Hoog - Onbekend
      ConfidenceScore (preview)	Geheel getal, tussen 0-1 (inclusief)
      ExtendedLinks (preview)	String
      ProductComponentName (preview)	String
      ProductName (preview) * Zie opmerking na deze tabel	String
      ProviderName (preview)	String
      RemediationSteps (preview)	String

      Notitie

      Als u Microsoft Sentinel hebt toegevoegd aan de Microsoft Defender-portal, past u het veld ProductName niet aan voor waarschuwingen van Microsoft-bronnen. Als u dit doet, worden deze waarschuwingen verwijderd uit Microsoft Defender XDR en wordt er geen incident gemaakt.

   Als u van gedachten verandert of als u een fout hebt gemaakt, kunt u een waarschuwingsdetails verwijderen door te klikken op het prullenbakpictogram naast de eigenschap/waardepaar Van waarschuwing of de vrije tekst uit de velden Waarschuwingsnaam/Beschrijving opmaken te verwijderen.

6. Wanneer u klaar bent met het aanpassen van de waarschuwingsgegevens, gaat u verder met het volgende tabblad in de wizard als u de regel maakt. Als u een bestaande regel bewerkt, selecteert u het tabblad Controleren en maken . Zodra de regelvalidatie is geslaagd, selecteert u Opslaan.

Servicelimieten

• U kunt een veld met maximaal 50 waarden in één query overschrijven. Wanneer uw query meer dan 50 aangepaste waarden overschrijdt, worden alle aangepaste waarden verwijderd en in alle queryresultaten wordt het veld teruggezet naar de standaardwaarde. Stem uw query af om maximaal 50 waarden op te geven om ervoor te zorgen dat er geen aangepaste waarden worden verwijderd.
• De groottelimiet voor het AlertName veld en eventuele andere niet-verzamelingseigenschappen is 256 bytes.
• De groottelimiet voor het Description veld en eventuele andere verzamelingseigenschappen is 5 kB.
• Waarden die de groottelimieten overschrijden, worden verwijderd.

Volgende stappen

In dit document hebt u geleerd hoe u waarschuwingsdetails kunt aanpassen in microsoft Sentinel-analyseregels. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Verken de andere manieren om uw waarschuwingen te verrijken:
  • Gegevensvelden toewijzen aan entiteiten in Microsoft Sentinel
  • Aangepaste gebeurtenisdetails van Surface in waarschuwingen in Microsoft Sentinel
• Haal de volledige afbeelding op voor geplande queryanalyseregels.
• Meer informatie over entiteiten in Microsoft Sentinel.