Detalhes do evento personalizado da superfície em alertas no Microsoft Azure Sentinel
As regras de análise de consulta agendadas analisam eventos de fontes de dados conectadas ao Microsoft Azure Sentinel e geram alertas quando o conteúdo desses eventos é significativo de uma perspectiva de segurança. Esses alertas são analisados, agrupados e filtrados por vários mecanismos do Microsoft Azure Sentinel e são ainda diferentes em incidentes que garantem a atenção de um analista de SOC. No entanto, quando o analista exibe o incidente, somente as propriedades dos próprios alertas do componente ficam visíveis imediatamente. Obtendo o conteúdo real – as informações contidas nos eventos – requer alguma ação.
Usando o recurso de detalhes personalizados no Assistente de regra de análise, você pode listar dados de evento nos alertas construídos a partir desses eventos, tornando os dados de evento das propriedades do alerta. Na verdade, isso oferece visibilidade imediata do conteúdo do evento em seus incidentes, permitindo que você faça a triagem, investigue, desenhe conclusões e responda com muito mais velocidade e eficiência.
O procedimento detalhado abaixo faz parte do assistente de criação de regras da análise. É tratado aqui de forma independente para endereçar o cenário de adição ou alteração dos detalhes personalizados numa regra de análise existente.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Como mostrar detalhes do evento personalizado
Entre na página Análise no portal em que você acessa o Microsoft Sentinel:
Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.
Selecione uma regra de consulta agendada e clique em Edição. Ou crie uma regra clicando em Criar > regra de consulta agendada na parte superior da tela.
Clique na guiaConjunto de lógica de regra.
Na seção Enriquecimento de alerta, expanda Detalhes personalizados.
Na seção Detalhes personalizados agora expandidos, adicione pares de chave-valor correspondentes aos detalhes que você deseja exibir:
No campo Chave, insira um nome de sua escolha que será exibido como o nome do campo em alertas.
No campo Valor, escolha o parâmetro de evento que você deseja exibir nos alertas da lista suspensa. Essa lista será preenchida por valores correspondentes aos campos nas tabelas que são o assunto da consulta de regra.
Clique em Adicionar novo para aparecer mais detalhes, repetindo as últimas etapas para definir pares chave-valor.
Se você mudar de ideia ou se cometer um erro, poderá remover um detalhe personalizado clicando no ícone lixeira ao lado da lista suspensa Valor para cada detalhe.
Quando terminar de mapear as entidades, clique na guiaRevisar e criar. Uma vez que a validação da regra for bem-sucedida, clique emSalvar.
Observação
Limites de serviço
Você pode definir até 20 detalhes personalizados em uma única regra de análise. Cada detalhe personalizado pode conter até 50 valores.
O limite de tamanho combinado para todos os detalhes personalizados e seus valores em um único alerta é de 2 KB. Valores acima desse limite são descartados.
Próximas etapas
Neste documento, você aprendeu a exibir detalhes personalizados em alertas usando as regras de análise do Microsoft Azure Sentinel. Para saber mais sobre o Microsoft Azure Sentinel, confira os seguintes artigos:
- Explore as outras maneiras de enriquecer seus alertas:
- Obtenha a imagem completa nasregras de análise de consulta agendada.
- Saiba mais sobre entidades no Microsoft Sentinel.