Personalizar detalhes de alerta no Microsoft Sentinel
Este artigo explica como substituir as propriedades padrão de alertas por conteúdo dos resultados da consulta subjacente.
No processo de criação de uma regra de análise agendada, como primeira etapa, você define um nome e uma descrição para a regra e atribui a ela uma severidade e táticas MITRE ATT&CK. Todos os alertas gerados por uma determinada regra - e todos os incidentes criados como resultado - herdarão o nome, a descrição, a gravidade e as táticas definidas na regra, independentemente do conteúdo específico de uma instância específica do alerta.
Com o recurso de detalhes do alerta, você pode substituir essas e outras propriedades padrão dos alertas de duas maneiras:
Crie nomes e descrições personalizados e variáveis para os seus alertas. Você pode selecionar campos na saída de consulta do alerta cujo conteúdo pode ser incluído no nome ou na descrição de cada instância do alerta. Se o campo selecionado não tiver valor em uma determinada instância, os detalhes do alerta para essa instância serão revertidos para os padrões especificados na primeira página do assistente.
Personalize a gravidade, as táticas e outras propriedades de uma determinada instância de um alerta (consulte a lista completa de propriedades abaixo) com os valores de quaisquer campos relevantes da saída da consulta. Se os campos selecionados estiverem vazios ou tiverem valores que não correspondam ao tipo de dados do campo, as respetivas propriedades de alerta serão revertidas para seus padrões (para táticas e gravidade, as especificadas na primeira página do assistente).
Importante
- A personalização de alguns detalhes do alerta (veja os indicados abaixo) está atualmente em VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
- O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Siga o procedimento detalhado abaixo para usar o recurso de detalhes do alerta. Essas etapas fazem parte do assistente de criação de regras de análise, mas são abordadas aqui de forma independente para abordar o cenário de adicionar ou alterar detalhes de alerta em uma regra de análise existente.
Como personalizar os detalhes do alerta
Entre na página do Google Analytics no portal através do qual você acessa o Microsoft Sentinel:
Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Analytics.
Selecione uma regra de consulta agendada e selecione Editar. Ou crie uma nova regra selecionando Criar > regra de consulta agendada na parte superior da tela.
Selecione a guia Definir lógica da regra.
Na seção Enriquecimento de alerta, expanda Detalhes do alerta.
Na seção Detalhes do alerta agora expandida, adicione texto livre que inclua propriedades correspondentes aos detalhes que você deseja exibir no alerta:
No campo Formato do Nome do Alerta , insira o texto que você deseja que apareça como o nome do alerta (o texto do alerta) e inclua, entre colchetes duplos, todos os campos de saída de consulta que você deseja que façam parte do texto do alerta.
Exemplo:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.
Faça o mesmo com o campo Formato da Descrição do Alerta .
Nota
Atualmente, você está limitado a três parâmetros cada nos campos Formato do nome do alerta e Formato da descrição do alerta.
Para substituir outras propriedades padrão, selecione uma propriedade de alerta na lista suspensa Propriedade de alerta. Em seguida, selecione o campo nos resultados da consulta, cujo conteúdo você deseja preencher a propriedade alert, na lista suspensa Valor .
Para substituir mais propriedades padrão, selecione + Adicionar novo e repita a etapa anterior. As seguintes propriedades podem ser substituídas:
Nome Descrição Nome do alerta String Descrição String AlertSeverity Um dos seguintes valores:
- Informativo
- Baixo
- Medium
- AltoTáticas Um dos seguintes valores:
- Reconhecimento
- Desenvolvimento de Recursos
- InitialAccess
- Execução
- Persistência
- PrivilegeEscalation
- DefesaEvasão
- CredentialAccess
- Descoberta
- Movimento Lateral
- Coleção
- Exfiltração
- ComandoAndControl
- Impacto
- Pré-ataque
- ImpairProcessControl
- InhibitResponseFunctionTécnicas (Pré-visualização) Uma cadeia de caracteres que corresponde à seguinte expressão regular: ^T(?<Digits>\d{4})$
.
Por exemplo: T1234AlertLink (Pré-visualização) String ConfidenceLevel (Pré-visualização) Um dos seguintes valores:
- Baixo
- Alto
- DesconhecidoConfidenceScore (Pré-visualização) Inteiro, entre 0-1 (inclusive) ExtendedLinks (Pré-visualização) String ProductComponentName (Pré-visualização) String ProductName (Pré-visualização)
* Ver nota seguinte a esta tabelaString ProviderName (Pré-visualização) String RemediationSteps (Pré-visualização) String Nota
Se você integrou o Microsoft Sentinel ao portal do Microsoft Defender, não personalize o campo ProductName para alertas de fontes da Microsoft. Isso resultará na eliminação desses alertas do Microsoft Defender XDR e na criação de nenhum incidente.
Se mudar de ideias ou se tiver cometido um erro, pode remover um detalhe de alerta clicando no ícone da reciclagem, junto ao par propriedade/Valor do alerta, ou eliminar o texto livre dos campos Nome do alerta/Formato da descrição.
Quando terminar de personalizar os detalhes do alerta, se estiver criando a regra, vá para a próxima guia do assistente. Se estiver a editar uma regra existente, selecione o separador Rever e criar . Quando a validação da regra for bem-sucedida, selecione Salvar.
Limites de serviço
- Você pode substituir um campo com até 50 valores em uma única consulta. Quando a consulta excede 50 valores personalizados, todos os valores personalizados são descartados e, em todos os resultados da consulta, o campo é revertido para o valor padrão. Ajuste sua consulta para produzir não mais de 50 valores para garantir que nenhum valor personalizado seja descartado.
- O limite de tamanho para o
AlertName
campo e quaisquer outras propriedades que não sejam de coleta é de 256 bytes. - O limite de tamanho para o campo e quaisquer outras propriedades de
Description
coleção é 5 KB. - Os valores que excedem os limites de tamanho são descartados.
Próximos passos
Neste documento, você aprendeu como personalizar detalhes de alerta nas regras de análise do Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Explore outras formas de enriquecer os seus alertas:
- Obtenha uma visão completa das regras de análise de consultas agendadas.
- Saiba mais sobre entidades no Microsoft Sentinel.