Compartilhar via


Detalhes do evento personalizado da superfície em alertas no Microsoft Azure Sentinel

As regras de análise de consulta agendadas analisam eventos de fontes de dados conectadas ao Microsoft Azure Sentinel e geram alertas quando o conteúdo desses eventos é significativo de uma perspectiva de segurança. Esses alertas são analisados, agrupados e filtrados por vários mecanismos do Microsoft Azure Sentinel e são ainda diferentes em incidentes que garantem a atenção de um analista de SOC. No entanto, quando o analista exibe o incidente, somente as propriedades dos próprios alertas do componente ficam visíveis imediatamente. Obtendo o conteúdo real – as informações contidas nos eventos – requer alguma ação.

Usando o recurso de detalhes personalizados no Assistente de regra de análise, você pode listar dados de evento nos alertas construídos a partir desses eventos, tornando os dados de evento das propriedades do alerta. Na verdade, isso oferece visibilidade imediata do conteúdo do evento em seus incidentes, permitindo que você faça a triagem, investigue, desenhe conclusões e responda com muito mais velocidade e eficiência.

O procedimento detalhado abaixo faz parte do assistente de criação de regras da análise. É tratado aqui de forma independente para endereçar o cenário de adição ou alteração dos detalhes personalizados numa regra de análise existente.

Importante

O Microsoft Sentinel agora está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Como mostrar detalhes do evento personalizado

  1. Entre na página Análise no portal em que você acessa o Microsoft Sentinel:

    Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.

  2. Selecione uma regra de consulta agendada e clique em Edição. Ou crie uma regra clicando em Criar > regra de consulta agendada na parte superior da tela.

  3. Clique na guiaConjunto de lógica de regra.

  4. Na seção Enriquecimento de alerta, expanda Detalhes personalizados.

    Localizar e selecionar detalhes personalizados

  5. Na seção Detalhes personalizados agora expandidos, adicione pares de chave-valor correspondentes aos detalhes que você deseja exibir:

    1. No campo Chave, insira um nome de sua escolha que será exibido como o nome do campo em alertas.

    2. No campo Valor, escolha o parâmetro de evento que você deseja exibir nos alertas da lista suspensa. Essa lista será preenchida por valores correspondentes aos campos nas tabelas que são o assunto da consulta de regra.

      Adicionar detalhes personalizados

  6. Clique em Adicionar novo para aparecer mais detalhes, repetindo as últimas etapas para definir pares chave-valor.

    Se você mudar de ideia ou se cometer um erro, poderá remover um detalhe personalizado clicando no ícone lixeira ao lado da lista suspensa Valor para cada detalhe.

  7. Quando terminar de mapear as entidades, clique na guiaRevisar e criar. Uma vez que a validação da regra for bem-sucedida, clique emSalvar.

    Observação

    Limites de serviço

    • Você pode definir até 20 detalhes personalizados em uma única regra de análise. Cada detalhe personalizado pode conter até 50 valores.

    • O limite de tamanho combinado para todos os detalhes personalizados e seus valores em um único alerta é de 2 KB. Valores acima desse limite são descartados.

Próximas etapas

Neste documento, você aprendeu a exibir detalhes personalizados em alertas usando as regras de análise do Microsoft Azure Sentinel. Para saber mais sobre o Microsoft Azure Sentinel, confira os seguintes artigos: