在 Microsoft Sentinel 呈現警示中的自訂事件詳細資料
排程查詢分析規則會分析來自資料來源 (已連線至 Microsoft Sentinel) 的事件,並從安全性觀點來看,當這些事件的內容很重要時,便會產生警示。 這些警示會由 Microsoft Sentinel 的各種引擎進一步分析、分組及篩選,並提取成保證 SOC 分析師注意的事件。 不過,當分析師檢視事件時,只會立即看到元件警示本身的屬性。 取得實際內容 (事件中包含的資訊) 需要執行一些挖掘。
使用分析規則精靈中的自訂詳細資料功能,您可以呈現這些事件所建構警示中的事件詳細資料,讓事件資料成為警示屬性的一部分。 實際上,這可讓您立即看到事件中的事件內容,讓您能夠分級、調查、得出結論,並以更高的速度和效率回應。
以下所述的程序是分析規則建立精靈的一部分。 這裡會單獨處理,以解決在現有分析規則中新增或變更自訂詳細資料的案例。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如何呈現自訂事件詳細資料
進入入口網站中的 [分析] 頁面,您可以透過此頁面存取 Microsoft Sentinel:
從 Microsoft Sentinel 導覽功能表的 [設定] 區段中,選取 [分析]。
選取排程的查詢規則,然後按一下 [編輯]。 或按一下畫面頂端的 [建立 > 排程的查詢規則] 來建立新的規則。
按一下 [設定規則邏輯] 索引標籤。
在 [警示擴充] 區段中,展開 [自訂詳細資料]。
在現在展開的 [自訂詳細資料] 區段中,新增對應至您所要呈現詳細資料的機碼值組:
在 [機碼] 欄位中,輸入您選擇的名稱,該名稱會顯示為警示中的欄位名稱。
在 [值] 欄位中,從下拉式清單中選擇您想要在警示中呈現的事件參數。 此清單會在作為規則查詢主體的資料表中填入對應至欄位的值。
按一下 [新增] 以呈現更多詳細資料,重複最後一個步驟以定義機碼值組。
如果改變心意,或如果犯錯誤,您可以移除自訂詳細資料,方法是按一下該詳細資料的 [值] 下拉式清單旁邊的垃圾桶圖示。
當您完成了定義自訂詳細資料時,請按一下 [檢閱並建立] 索引標籤。一旦規則驗證成功,請按一下 [儲存]。
注意
服務限制
您可以在單一分析規則中定義最多 20 個自訂詳細資料。 每個自訂詳細資料可以包含 [最多 50 個值]。
單一警示中所有自訂詳細資料及其值的組合大小限制為 2 KB。 超出此限制的值會遭到捨棄。
下一步
在本文件中,您已了解如何使用 Microsoft Sentinel 分析規則,呈現警示中的自訂詳細資料。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 探索豐富警示的其他方法:
- 取得排程查詢分析規則的全貌。
- 深入了解 Microsoft Sentinel 中的實體。