Personalizar detalhes do alerta no Microsoft Sentinel
Este artigo explica como substituir as propriedades padrão dos alertas com o conteúdo dos resultados da consulta subjacente.
No processo de criação de uma regra de análise agendada, como primeira etapa, defina um nome e uma descrição para a regra e atribua a ela uma gravidade e táticas MITRE ATT&CK. Todos os alertas gerados por uma determinada regra (e todos os incidentes criados como resultado) herdarão o nome, a descrição, a severidade e as táticas definidas na regra, sem levar em conta o determinado conteúdo de uma instância específica do alerta.
Com o recurso de detalhes do alerta, você pode substituir essas e outras propriedades padrão de alertas de duas maneiras:
Crie nomes e descrições variados e personalizados para seus alertas. Você pode selecionar campos na saída de consulta do alerta cujo conteúdo pode ser incluído no nome ou na descrição de cada instância do alerta. Se o campo selecionado não tiver nenhum valor em uma determinada instância, os detalhes do alerta dessa instância serão revertidos para os padrões especificados na primeira página do assistente.
Personalize a severidade, as táticas e outras propriedades de uma determinada instância de um alerta (confira a lista completa de propriedades abaixo) com os valores de todos os campos relevantes da saída da consulta. Se os campos selecionados estiverem vazios ou tiverem valores que não correspondam ao tipo de dados de campo, as respectivas propriedades do alerta serão revertidas para os padrões (para táticas e severidade, os especificados na primeira página do assistente).
Importante
- Algumas personalizações de detalhes do alerta (veja os indicadas abaixo) estão em VERSÃO PRÉVIA no momento. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
- O Microsoft Sentinel agora está disponível para todos na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Siga o procedimento detalhado abaixo para usar o recurso de detalhes do alerta. Essas etapas fazem parte do assistente de criação de regras de análise, mas são abordadas aqui de modo independente para abordar o cenário de adição ou alteração de detalhes do alerta em uma regra de análise existente.
Como personalizar os detalhes do alerta
Entre na página Análise no portal através do qual você acessa o Microsoft Sentinel:
Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.
Selecione uma regra de consulta agendada e clique em Editar. Ou crie uma regra clicando em Criar > Regra de consulta agendada na parte superior da tela.
Selecione a guiaConjunto de lógica de regra.
Na seção Enriquecimento de alerta, expanda Detalhes do alerta.
Na seção Detalhes do alerta agora expandida, adicione um texto livre que inclua propriedades correspondentes aos detalhes que você deseja exibir no alerta:
No campo Formato do nome do alerta, insira o texto que devem aparecer como o nome do alerta (o texto do alerta) e inclua, entre chaves duplas, todos os campos de saída de consulta que devem fazer parte do texto do alerta.
Exemplo:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.
Faça o mesmo com o campo Formato de Descrição do Alerta.
Observação
Atualmente, você está limitado a três parâmetros cada nos campos Formato de Nome de Alerta e Formato de Descrição de Alerta.
Para substituir outras propriedades padrão, selecione uma propriedade do alerta na lista suspensa Propriedade do alerta. Depois, nos resultados da consulta, na lista suspensa Valor, selecione o campo cujo conteúdo deverá preencher a propriedade de alerta.
Para substituir mais propriedades padrão, selecione + Adicionar novo e repita a etapa anterior. As seguintes propriedades podem ser substituídas:
Nome Descrição AlertName String Descrição String AlertSeverity Um dos seguintes valores:
- Informativo
- Baixa
- Médio
- AltoTáticas Um dos seguintes valores:
- Reconhecimento
- ResourceDevelopment
- InitialAccess
- Execução
- Persistência
- PrivilegeEscalation
- Evasão de defesa
- CredentialAccess
- Discovery
- LateralMovement
- Coleção
- Exfiltração
- CommandAndControl
- Impacto
- PreAttack
- ImpairProcessControl
- InhibitResponseFunctionTechniques (Versão prévia) Uma cadeia de caracteres que corresponde à seguinte expressão regular: ^T(?<Digits>\d{4})$
.
Por exemplo: T1234AlertLink (Versão prévia) String ConfidenceLevel (Versão prévia) Um dos seguintes valores:
- Baixa
- Alto
- DesconhecidoConfidenceScore (Versão prévia) Inteiro, entre 0-1 (inclusivo) ExtendedLinks (Versão prévia) String ProductComponentName (Versão prévia) String ProductName (Versão prévia)
Consulte a observação após esta tabelaString ProviderName (Versão prévia) String RemediationSteps (Versão prévia) String Observação
Se você integrou ao Microsoft Sentinel à plataforma de operações de segurança unificada, não personalizeo campo ProductName para alertas de fontes da Microsoft. Isso fará com que esses alertas sejam removidos do Microsoft Defender XDR e nenhum incidente seja criado.
Se você mudar de ideia ou cometer um erro, poderá remover um detalhe de alerta clicando no ícone de Lixeira ao lado do par Propriedade do alerta/Valor ou excluir o texto livre dos campos Nome do Alerta/Formato da Descrição.
Quando tiver terminado de personalizar os detalhes do alerta, se estiver criando a regra agora, prossiga para a próxima guia no assistente. Se você estiver editando uma regra existente, clique na guia Examinar e criar. Depois que a validação da regra for bem-sucedida, clique em Salvar.
Limites de serviço
- Você pode substituir um campo por até 50 valores em uma única consulta. Quando sua consulta exceder 50 valores personalizados, todos os valores personalizados serão descartados, e em todos os resultados da consulta o campo reverterá para seu valor padrão. Ajuste sua consulta para suspender no máximo 50 valores para garantir que nenhum valor personalizado seja descartado.
- O limite de tamanho para o campo
AlertName
, e qualquer outra propriedade não coleção, é 256 bytes. - O limite de tamanho para o campo
Description
, e qualquer outra propriedade de coleção, é 5 KB. - Os valores que excedem os limites de tamanho são eliminados.
Próximas etapas
Neste documento, você aprendeu a personalizar detalhes de alerta nas regras de análise do Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos:
- Explore as outras maneiras de enriquecer seus alertas:
- Obtenha a imagem completa nasregras de análise de consulta agendada.
- Saiba mais sobre entidades no Microsoft Sentinel.