Surface custom event details in alerts in Microsoft Sentinel

Uwaga

Azure Sentinel nosi teraz nazwę Microsoft Sentinel i w najbliższych tygodniach będziemy aktualizować te strony. Dowiedz się więcej o najnowszych ulepszeniach zabezpieczeń firmy Microsoft.

Ważne

  • Funkcja szczegółów niestandardowych jest dostępna w wersji zapoznawczej. Aby uzyskać dodatkowe warunki prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane, zobacz Uzupełniające warunki użytkowania dotyczące wersji zapoznawczych usługi Microsoft Azure.

Wprowadzenie

Reguły analizy zaplanowanych zapytańanalizują zdarzenia ze źródeł danych połączonych z usługą Microsoft Sentinel i tworzyć alerty, gdy zawartość tych zdarzeń jest istotna z punktu widzenia zabezpieczeń. Te alerty są dalej analizowane, grupowane i filtrowane według różnych aparatów usługi Microsoft Sentinel i przefiltrowane w zdarzenia, które wymagają uwagi analityka SOC. Jednak gdy analityk widzi zdarzenie, natychmiast widoczne są tylko właściwości samych alertów składnika. Aby uzyskać dostęp do rzeczywistej zawartości — informacji zawartych w zdarzeniach — wymagane jest poszukanie informacji.

Za pomocą funkcji szczegółów niestandardowych w kreatorze reguł analizy można na powierzchni danych zdarzeń w alertach, które są konstruowane z tych zdarzeń, dzięki czemu dane zdarzenia są częścią właściwości alertu. W efekcie zapewnia to natychmiastowy wgląd w zawartość zdarzeń w zdarzeniach, umożliwiając znacznie większą szybkość i wydajność, a także na ich badanie, wyciągnie wniosków i reagowanie na nie.

Procedura szczegółowo poniżej jest częścią kreatora tworzenia reguł analizy. Jest ona traktowana w tym miejscu niezależnie w celu rozwiązania scenariusza dodawania lub zmieniania niestandardowych szczegółów w istniejącej regułę analizy.

Jak powierzchnię szczegółów zdarzenia niestandardowego

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Wybierz zaplanowaną regułę zapytania i kliknij pozycję Edytuj. Możesz też utworzyć nową regułę, klikając pozycję Utwórz regułę zaplanowanego zapytania w górnej części ekranu.

  3. Kliknij kartę Ustaw logikę reguły.

  4. W sekcji Wzbogacanie alertów (wersja zapoznawcza) rozwiń sekcję Szczegóły niestandardowe.

    Find and select custom details

  5. W rozwiniętej sekcji Szczegóły niestandardowe dodaj pary klucz-wartość odpowiadające szczegółom, które chcesz pokazać:

    1. W polu Klucz wprowadź nazwę, która będzie wyświetlana jako nazwa pola w alertach.

    2. W polu Wartość wybierz parametr zdarzenia, który chcesz wyświetlić w alertach z listy rozwijanej. Ta lista zostanie wypełniona wartościami odpowiadającymi polam w tabelach, które są tematem zapytania reguły.

      Add custom details

  6. Kliknij pozycję Dodaj nowe, aby uzyskać więcej szczegółów, powtarzając ostatnie kroki w celu zdefiniowania par klucz-wartość.

    Jeśli zmienisz zdanie lub jeśli popełnisz błąd, możesz usunąć szczegóły niestandardowe, klikając ikonę kosza obok listy rozwijanej Wartość dla tych szczegółów.

  7. Po zakończeniu definiowania niestandardowych szczegółów kliknij kartę Przeglądanie i tworzenie. Po pomyślnym zakończeniu walidacji reguły kliknij przycisk Zapisz.

    Uwaga

    Limity usługi

    • Jedną regułę analizy można zdefiniować maksymalnie 20 niestandardowych szczegółów.

    • Limit rozmiaru wszystkich niestandardowych szczegółów łącznie wynosi 2 KB.

Następne kroki

W tym dokumencie opisano sposób powierzchni niestandardowych szczegółów w alertach przy użyciu reguł analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej na temat usługi Microsoft Sentinel, zobacz następujące artykuły: