Dostosowywanie szczegółów alertu w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jak zastąpić domyślne właściwości alertów zawartością z wyników zapytania bazowego.

W procesie tworzenia reguły zaplanowanej analizy jako pierwszy krok zdefiniujesz nazwę i opis reguły, a następnie przypiszesz jej ważność i taktykę MITRE ATT&CK. Wszystkie alerty generowane przez daną regułę — i wszystkie zdarzenia utworzone w wyniku — dziedziczą nazwę, opis, ważność i taktykę zdefiniowaną w regule bez względu na konkretną zawartość określonego wystąpienia alertu.

Dzięki funkcji szczegółów alertu można zastąpić te i inne domyślne właściwości alertów na dwa sposoby:

• Utwórz niestandardowe nazwy zmiennych i opisy dla alertów. Możesz wybrać pola w danych wyjściowych zapytania alertu, których zawartość może być uwzględniona w nazwie lub opisie każdego wystąpienia alertu. Jeśli wybrane pole nie ma wartości w danym wystąpieniu, szczegóły alertu dla tego wystąpienia zostaną przywrócone do wartości domyślnych określonych na pierwszej stronie kreatora.

• Dostosuj ważność, taktykę i inne właściwości danego wystąpienia alertu (zobacz pełną listę właściwości poniżej) z wartościami wszelkich odpowiednich pól z danych wyjściowych zapytania. Jeśli wybrane pola są puste lub mają wartości, które nie są zgodne z typem danych pola, odpowiednie właściwości alertu zostaną przywrócone do wartości domyślnych (w przypadku taktyki i ważności określone na pierwszej stronie kreatora).

Ważne

• Możliwość dostosowywania niektórych szczegółów alertu (zobacz te, jak pokazano poniżej) są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
• Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Postępuj zgodnie z procedurą opisaną poniżej, aby użyć funkcji szczegółów alertu. Te kroki są częścią kreatora tworzenia reguł analizy, ale są one rozwiązane niezależnie w celu rozwiązania scenariusza dodawania lub zmieniania szczegółów alertu w istniejącej regule analizy.

Jak dostosować szczegóły alertu

1. Wprowadź stronę Analiza w portalu, za pomocą której uzyskujesz dostęp do usługi Microsoft Sentinel:

   Witryna Azure Portal

   W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

   Portal usługi Defender

   Z menu nawigacji usługi Microsoft Defender rozwiń węzeł Microsoft Sentinel, a następnie pozycję Konfiguracja. Wybierz pozycję Analizy.

2. Wybierz regułę zaplanowanego zapytania i wybierz pozycję Edytuj. Możesz też utworzyć nową regułę, wybierając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.

3. Wybierz kartę Ustaw logikę reguły.

4. W sekcji Wzbogacanie alertów rozwiń węzeł Szczegóły alertu.

   

5. W teraz rozwiniętej sekcji Szczegóły alertu dodaj bezpłatny tekst zawierający właściwości odpowiadające szczegółom, które mają być wyświetlane w alercie:

   1. W polu Format nazwy alertu wprowadź tekst, który chcesz wyświetlić jako nazwę alertu (tekst alertu) i uwzględnij w podwójnych nawiasach klamrowych wszystkie pola danych wyjściowych zapytania, które mają być częścią tekstu alertu.

      Przykład: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Zrób to samo w polu Format opisu alertu.

      Uwaga

      Obecnie w polach Format nazwy alertu i Format opisu alertu są obecnie ograniczone do trzech parametrów.

   3. Aby zastąpić inne właściwości domyślne, wybierz właściwość alertu z listy rozwijanej Właściwość alertu. Następnie wybierz pole z wyników zapytania, którego zawartość ma zostać wypełniona właściwością alertu, z listy rozwijanej Wartość .

   4. Aby zastąpić więcej właściwości domyślnych, wybierz pozycję + Dodaj nowy i powtórz poprzedni krok. Następujące właściwości można zastąpić:

      Nazwa/nazwisko	opis
      Nazwa alertu	Struna. Obsługuje tylko zwykły tekst.
      Opis	Struna. Obsługuje tylko zwykły tekst, jeśli usługa Microsoft Sentinel jest dołączona do portalu usługi Defender.
      Zależnie od alertów	Jedna z następujących wartości: - Informacyjne - Niski - Śred. - Wys.
      Taktyka	Jedna z następujących wartości: - Rekonesans - ResourceDevelopment - InitialAccess - Wykonanie - Trwałość - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Odnajdywanie - LateralMovement (Owement poprzeczny) - Kolekcja - Eksfiltracja - CommandAndControl - Wpływ - Atak wstępny - ImpairProcessControl - HamujResponseFunction
      Techniki (wersja zapoznawcza)	Ciąg zgodny z następującym wyrażeniem regularnym: ^T(?<Digits>\d{4})$. Na przykład: T1234
      AlertLink (wersja zapoznawcza)	String
      ConfidenceLevel (wersja zapoznawcza)	Jedna z następujących wartości: - Niski - Wys. - Nieznane
      ConfidenceScore (wersja zapoznawcza)	Liczba całkowita z zakresu od 0-do 1 (włącznie)
      ExtendedLinks (wersja zapoznawcza)	String
      ProductComponentName (wersja zapoznawcza) * Zobacz Uwagi dotyczące ostrożności zgodnie z tą tabelą	String
      ProductName (wersja zapoznawcza) * Zobacz Uwagi dotyczące ostrożności zgodnie z tą tabelą	String
      ProviderName (wersja zapoznawcza) * Zobacz Uwagi dotyczące ostrożności zgodnie z tą tabelą	String
      RemediationSteps (wersja zapoznawcza)	String

      Uwaga

      W przypadku dołączenia usługi Microsoft Sentinel do portalu usługi Microsoft Defender:

      • Nie dostosujpola ProductName dla alertów ze źródeł firmy Microsoft. Spowoduje to usunięcie tych alertów z usługi Microsoft Defender XDR i brak tworzonego zdarzenia.

      • Pola ProductComponentName i ProviderName nie są już dostępne do dostosowania.

      Jeśli którekolwiek z tych dostosowań już istnieją w żadnej z reguł, usuń dostosowania, aby zachować zgodność i uniknąć nieoczekiwanych wyników.

   Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć szczegóły alertu, klikając ikonę kosza obok pary Właściwości/wartości alertu lub usuń dowolny tekst z pól Nazwa alertu/Format opisu.

6. Po zakończeniu dostosowywania szczegółów alertu, jeśli tworzysz regułę, przejdź do następnej karty w kreatorze. Jeśli edytujesz istniejącą regułę, wybierz kartę Przeglądanie i tworzenie . Po pomyślnym zakończeniu walidacji reguły wybierz pozycję Zapisz.

Limity usługi

• Pole można zastąpić maksymalnie 50 wartościami w jednym zapytaniu. Gdy zapytanie przekroczy 50 dostosowanych wartości, wszystkie dostosowane wartości zostaną porzucone, a we wszystkich wynikach zapytania pole powróci do wartości domyślnej. Dostosuj zapytanie, aby uzyskać nie więcej niż 50 wartości, aby upewnić się, że nie usunięto dostosowanych wartości.
• Limit rozmiaru AlertName pola i innych właściwości innych niż kolekcja wynosi 256 bajtów.
• Limit rozmiaru Description pola i innych właściwości kolekcji wynosi 5 KB.
• Wartości przekraczające limity rozmiaru są porzucane.

Następne kroki

W tym dokumencie przedstawiono sposób dostosowywania szczegółów alertu w regułach analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Zapoznaj się z innymi sposobami wzbogacania alertów:
  • Mapowanie pól danych na jednostki w usłudze Microsoft Sentinel
  • Szczegóły zdarzenia niestandardowego urządzenia Surface w alertach w usłudze Microsoft Sentinel
• Uzyskaj pełny obraz dla zaplanowanych reguł analizy zapytań.
• Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel.