共用方式為

在 Microsoft Sentinel 中自訂警示詳細資料

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文説明如何使用基礎查詢結果中的內容覆寫警示的預設屬性。

在建立排程的分析規則之流程中,作為第一步,您定義規則的名稱和説明,並為其指派嚴重性和 MITRE ATT&CK 策略。 指定規則產生的所有警示以及由此建立的所有事件都將繼承規則中定義的名稱、説明、嚴重性和策略,而不考慮警示的特定執行個體的特定內容。

藉由警示詳細資料功能,您可以透過兩種方式覆寫警示的這些和其他預設屬性:

  • 為您的警示建立自訂的變數名稱和説明。 您可以在警示的査詢輸出中選取欄位,這些欄位的內容可以包含在警示的每個執行個體之名稱或説明中。 如果所選欄位在指定執行個體中沒有值,則該執行個體的警示詳細資料將還原至精靈第一頁中指定的預設值。

  • 使用査詢輸出中任何相關欄位的值自訂執行警示執行個體的嚴重性、策略和其他屬性 (請參閱下方的完整屬性清單)。 如果所選欄位為空或其值與欄位資料類型不相符,則相應的警示屬性將還原為預設值 (對於策略和嚴重性,則為精靈第一頁中指定的值)。

重要

  • 一些警示詳細資料的可自訂性 (見下方所示) 目前正在預覽中。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
  • Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

遵循以下詳細説明之程序使用警示詳細資料功能。 這些步驟是分析規則建立精靈的一部分,但它們在此處獨立處理,以解决在現有分析規則中新增或變更警示詳細資料的案例。

如何自訂警示詳細資料

  1. 進入入口網站中的 [分析] 頁面,您可以透過此頁面存取 Microsoft Sentinel:

    從 Microsoft Sentinel 導覽功能表的 [設定] 區段中,選取 [分析]

  2. 選取排程的查詢規則,然後選取 [編輯]。 或選取畫面頂端的 [建立 > 排程的查詢規則] 來建立新的規則。

  3. 選取 [設定規則邏輯] 索引標籤。

  4. [警示擴充] 區段中,展開 [警示詳細資料]

    自訂警示詳細資料

  5. 在立即展開的 [警示詳細資料] 區段中,新增任意文字並包含屬性 (對應至警示要顯示的詳細資料):

    1. [警示名稱格式] 欄位中,輸入要顯示為警示名稱的文字 (警示文字),並以雙大括弧括住要作為警示文字部分的查詢輸入欄位。

      範例: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. [警示描述格式] 欄位執行相同動作。

      注意

      您目前僅限使用 [警示名稱格式][警示描述格式] 欄位中的三個參數

    3. 若要覆寫其他預設屬性,請從 [警示屬性] 下拉式清單中選取警示屬性。 然後從查詢結果中的 [值] 下拉式清單中選取要填入警示屬性的欄位。

    4. 若要覆寫更多預設屬性,請選取 [+ 新增],然後重複上一步。 可以覆寫以下屬性:

      名稱 描述
      AlertName String
      說明 String
      AlertSeverity 下列其中一個值:
      - Informational
      -
      -
      -
      策略 下列其中一個值:
      - Reconnaissance
      - ResourceDevelopment
      - InitialAccess
      - 執行
      - 持續性
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - 探索
      - LateralMovement
      - 集合
      - Exfiltration
      - CommandAndControl
      - 影響
      - PreAttack
      - ImpairProcessControl
      - InhibitResponseFunction
      Techniques (預覽) 符合下列規則運算式的字串:^T(?<Digits>\d{4})$
      例如:T1234
      AlertLink (預覽) String
      ConfidenceLevel (預覽) 下列其中一個值:
      -
      -
      - Unknown
      ConfidenceScore (預覽) 介於 - (含) 間的整數
      ExtendedLinks (預覽) String
      ProductComponentName (預覽) String
      ProductName (預覽)
      * 請詳閱此表之後的備註      		 String
      ProviderName (預覽) String
      RemediationSteps (預覽) String

      注意

      如果您已將 Sentinel 上線 Microsoft 至 Microsoft Defender 入口網站 ,請勿針對來自Microsoft來源的警示自定義 ProductName 字段。 這樣做會導致這些警示從 Microsoft Defender 全面偵測回應卸除,而且不會建立任何事件。

    若改變心意或誤選,則可按一下 [警示屬性/值] 組旁的垃圾桶圖示來移除警示詳細資料,或從 [警示名稱/説明格式] 欄位刪除任意文字。

  6. 自訂完警示詳細資料後,如果現在正在建立規則,請繼續精靈中的下一個索引標籤。 如果您正在編輯現有規則,請選取 [檢閱並建立] 索引標籤。規則驗證成功後,請選取 [儲存]

服務限制

  • 您可以在單一查詢中覆 寫最多 50 個值的 欄位。 當查詢超過 50 個自定義值時, 會卸除所有 自定義值,而且在所有查詢結果中,欄位會還原為其預設值。 微調您的查詢,以產生不超過50個值,以確保不會捨棄任何自定義值。
  • 欄位的大小限制 AlertName ,以及任何其他非集合屬性,是 256 個字節
  • 欄位的大小限制 Description ,以及任何其他集合屬性,是 5 KB
  • 超出大小限制的值會遭到捨棄。

下一步

在本文件中,您已了解如何使用 Microsoft Sentinel 分析規則,以自訂警示詳細資料。 若要深入了解 Microsoft Sentinel,請參閱下列文章: