Dela via


Anpassa aviseringsinformation i Microsoft Sentinel

Den här artikeln beskriver hur du åsidosätter standardegenskaperna för aviseringar med innehåll från de underliggande frågeresultaten.

När du skapar en schemalagd analysregel definierar du som första steg ett namn och en beskrivning för regeln och tilldelar den en allvarlighetsgrad och MITRE ATT&CK-taktik. Alla aviseringar som genereras av en viss regel – och alla incidenter som skapas som ett resultat – ärver namnet, beskrivningen, allvarlighetsgraden och taktiken som definieras i regeln, utan hänsyn till det specifika innehållet i en specifik instans av aviseringen.

Med funktionen aviseringsinformation kan du åsidosätta dessa och andra standardegenskaper för aviseringar på två sätt:

  • Skapa anpassade, variabelnamn och beskrivningar för dina aviseringar. Du kan välja fält i aviseringens frågeutdata vars innehåll kan inkluderas i namnet eller beskrivningen av varje instans av aviseringen. Om det valda fältet inte har något värde i en viss instans återgår aviseringsinformationen för den instansen till standardvärdena som anges på den första sidan i guiden.

  • Anpassa allvarlighetsgrad, taktik och andra egenskaper för en viss instans av en avisering (se den fullständiga listan med egenskaper nedan) med värdena för alla relevanta fält från frågeutdata. Om de markerade fälten är tomma eller har värden som inte matchar fältdatatypen återgår respektive aviseringsegenskaper till standardvärdena (för taktik och allvarlighetsgrad återgår de som anges på den första sidan i guiden).

Viktigt!

  • Vissa aviseringsinformationens anpassningsmöjligheter (se de som anges nedan) är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
  • Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Följ proceduren nedan för att använda aviseringsinformationsfunktionen. De här stegen är en del av guiden för att skapa analysregler, men de hanteras här separat för att hantera scenariot med att lägga till eller ändra aviseringsinformation i en befintlig analysregel.

Anpassa aviseringsinformation

  1. Ange sidan Analys i portalen där du får åtkomst till Microsoft Sentinel:

    I avsnittet Konfiguration på Microsoft Sentinel-navigeringsmenyn väljer du Analys.

  2. Välj en schemalagd frågeregel och välj Redigera. Eller skapa en ny regel genom att välja Skapa > schemalagd frågeregel överst på skärmen.

  3. Välj fliken Ange regellogik .

  4. I avsnittet Aviseringsberikning expanderar du Aviseringsinformation.

    Anpassa aviseringsinformation

  5. I det nu expanderade avsnittet Aviseringsinformation lägger du till fritext som innehåller egenskaper som motsvarar den information som du vill visa i aviseringen:

    1. I fältet Format för aviseringsnamn anger du den text som du vill ska visas som namnet på aviseringen (aviseringstexten) och inkluderar, inom dubbla klammerparenteser, alla frågeutdatafält som du vill ska ingå i aviseringstexten.

      Exempel: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. Gör samma sak med fältet Format för aviseringsbeskrivning.

      Kommentar

      Du är för närvarande begränsad till tre parametrar vardera i fälten Format för aviseringsnamn och Aviseringsbeskrivningsformat .

    3. Om du vill åsidosätta andra standardegenskaper väljer du en aviseringsegenskap i listrutan Aviseringsegenskap . Välj sedan fältet från frågeresultatet, vars innehåll du vill fylla i aviseringsegenskapen i listrutan Värde .

    4. Om du vill åsidosätta fler standardegenskaper väljer du + Lägg till ny och upprepar föregående steg. Följande egenskaper kan åsidosättas:

      Name beskrivning
      AlertName String
      Beskrivning String
      AlertSeverity Något av följande värden:
      - Informativt
      - Låg
      - Medel
      - Hög
      Taktik Något av följande värden:
      - Spaning
      - ResourceDevelopment
      - InitialAccess
      - Avrättning
      - Ståndaktighet
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - Upptäckt
      - LateralMovement
      - Samling
      - Exfiltrering
      - CommandAndControl
      - Påverkan
      - PreAttack
      - ImpairProcessControl
      - InhibitResponseFunction
      Tekniker (förhandsversion) En sträng som matchar följande reguljära uttryck: ^T(?<Digits>\d{4})$.
      Exempel: T1234
      AlertLink (förhandsversion) String
      ConfidenceLevel (förhandsversion) Något av följande värden:
      - Låg
      - Hög
      - Okänd
      ConfidenceScore (förhandsversion) Heltal, mellan 0-1 (inklusive)
      ExtendedLinks (förhandsversion) String
      ProductComponentName (förhandsversion) String
      ProductName (förhandsversion)
      * Se kommentaren efter den här tabellen
      String
      ProviderName (förhandsversion) String
      RemediationSteps (förhandsversion) String

      Kommentar

      Om du har registrerat Microsoft Sentinel på Microsoft Defender-portalen ska du inte anpassa fältet ProductName för aviseringar från Microsoft-källor. Om du gör det kommer aviseringarna att tas bort från Microsoft Defender XDR och ingen incident skapas.

    Om du ändrar dig, eller om du har gjort ett misstag, kan du ta bort en aviseringsinformation genom att klicka på papperskorgsikonen bredvid aviseringsegenskapen/värdeparet eller ta bort den kostnadsfria texten från fälten Aviseringsnamn/Beskrivningsformat.

  6. Om du nu skapar regeln fortsätter du till nästa flik i guiden när du är klar med att anpassa aviseringsinformationen. Om du redigerar en befintlig regel väljer du fliken Granska och skapa . När verifieringen av regeln har slutförts väljer du Spara.

Tjänstbegränsningar

  • Du kan åsidosätta ett fält med upp till 50 värden i en enda fråga. När frågan överskrider 50 anpassade värden tas alla anpassade värden bort och i alla frågeresultat återgår fältet till standardvärdet. Justera frågan så att den ger högst 50 värden för att säkerställa att inga anpassade värden tas bort.
  • Storleksgränsen för fältet AlertName och andra egenskaper som inte är samlingsegenskaper är 256 byte.
  • Storleksgränsen för fältet Description och andra samlingsegenskaper är 5 KB.
  • Värden som överskrider storleksgränserna tas bort.

Nästa steg

I det här dokumentet har du lärt dig hur du anpassar aviseringsinformation i Microsoft Sentinel-analysregler. Mer information om Microsoft Sentinel finns i följande artiklar: