Surface-anpassad händelseinformation i aviseringar i Microsoft Sentinel
Schemalagda frågeanalysregler analyserar händelser från datakällor som är anslutna till Microsoft Sentinel och skapar aviseringar när innehållet i dessa händelser är betydande ur ett säkerhetsperspektiv. Dessa aviseringar analyseras ytterligare, grupperas och filtreras av Microsoft Sentinels olika motorer och destilleras till incidenter som motiverar soc-analytikerns uppmärksamhet. Men när analytikern ser incidenten visas endast egenskaperna för själva komponentaviseringar direkt. Att komma till det faktiska innehållet - informationen som finns i händelserna - kräver att du gräver.
Med hjälp av funktionen anpassad information i guiden för analysregler kan du visa händelsedata i aviseringarna som skapas från dessa händelser, vilket gör händelsedata till en del av aviseringsegenskaperna. I själva verket ger detta dig omedelbar synlighet för händelseinnehåll i dina incidenter, så att du kan sortera, undersöka, dra slutsatser och svara med mycket högre hastighet och effektivitet.
Proceduren som beskrivs nedan är en del av guiden för att skapa analysregler. Den behandlas här oberoende av varandra för att hantera scenariot med att lägga till eller ändra anpassad information i en befintlig analysregel.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Så här visar du anpassad händelseinformation
Ange sidan Analys i portalen där du får åtkomst till Microsoft Sentinel:
I avsnittet Konfiguration på Microsoft Sentinel-navigeringsmenyn väljer du Analys.
Välj en schemalagd frågeregel och klicka på Redigera. Eller skapa en ny regel genom att klicka på Skapa > schemalagd frågeregel överst på skärmen.
Klicka på fliken Ange regellogik .
I avsnittet Aviseringsberikning expanderar du Anpassad information.
I det nu expanderade avsnittet Anpassad information lägger du till nyckel/värde-par som motsvarar den information som du vill visa:
I fältet Nyckel anger du ett namn som ska visas som fältnamn i aviseringar.
I fältet Värde väljer du den händelseparameter som du vill visa i aviseringarna i listrutan. Den här listan fylls i med värden som motsvarar fälten i tabellerna som är föremål för regelfrågan.
Klicka på Lägg till ny för att visa mer information och upprepa de sista stegen för att definiera nyckel/värde-par.
Om du ändrar dig, eller om du har gjort ett misstag, kan du ta bort en anpassad detalj genom att klicka på papperskorgsikonen bredvid listrutan Värde för den informationen.
När du har definierat anpassad information klickar du på fliken Granska och skapa . När verifieringen av regeln har slutförts klickar du på Spara.
Kommentar
Tjänstbegränsningar
Du kan definiera upp till 20 anpassade uppgifter i en enda analysregel. Varje anpassad information kan innehålla upp till 50 värden.
Den kombinerade storleksgränsen för all anpassad information och deras värden i en enda avisering är 2 KB. Värden som överskrider den här gränsen tas bort.
Nästa steg
I det här dokumentet har du lärt dig hur du visar anpassad information i aviseringar med hjälp av Microsoft Sentinel-analysregler. Mer information om Microsoft Sentinel finns i följande artiklar:
- Utforska de andra sätten att utöka dina aviseringar:
- Hämta hela bilden på schemalagda frågeanalysregler.
- Läs mer om entiteter i Microsoft Sentinel.