在 Microsoft Sentinel 中自定義警示詳細數據

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文說明如何使用基礎查詢結果中的內容來覆寫警示的默認屬性。

在建立 排程分析規則的過程中,當您定義規則的名稱和描述的第一個步驟時,您會為其指派嚴重性和 MITRE ATT&CK 策略。 由指定規則所產生的所有警示,以及所有以結果建立的事件,都會繼承規則中定義的名稱、描述、嚴重性和策略,而不考慮警示特定實例的特定內容。

透過警示詳細資料功能,您可以透過兩種方式覆寫這些警示和其他預設屬性:

  • 為您的警示建立自定義、變數名稱和描述。 您可以在警示的查詢輸出中選取欄位,其內容可以包含在警示每個實例的名稱或描述中。 如果選取的欄位在指定的實例中沒有值,該實例的警示詳細數據將會還原為精靈第一頁中指定的預設值。

  • 使用查詢輸出中任何相關欄位的值,自定義指定警示實例的嚴重性、策略和其他屬性(請參閱下面的屬性完整清單)。 如果選取的欄位是空的,或有不符合欄位數據類型的值,則個別的警示屬性會還原為其預設值(針對策略和嚴重性,精靈第一頁中指定的值)。

重要

  • 某些警示詳細數據的可自定義性(請參閱以下所示的自定義性)目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
  • Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

請遵循下面詳述的程式,以使用警示詳細數據功能。 這些步驟是分析規則建立精靈一部分,但這裡會獨立解決在現有分析規則中新增或變更警示詳細數據的案例。

如何自定義警示詳細數據

  1. 在您存取 Microsoft Sentinel 的入口網站中輸入 Analytics 頁面:

    從 Microsoft Sentinel 導覽功能表的 [設定] 區段,選取 [分析]。

  2. 選取排程的查詢規則,然後選取 [ 編輯]。 或者,選取畫面頂端的 [ 建立 > 排程查詢規則],以建立新的規則

  3. 選取 [設定規則邏輯] 索引標籤。

  4. 在 [警示擴充] 區段中,展開 [警示詳細數據]。

    自訂警示詳細數據

  5. 在 [立即展開 的警示詳細數據 ] 區段中,新增包含對應至您要在警示中顯示的詳細數據的屬性自由文字:

    1. 在 [ 警示名稱格式 ] 字段中,輸入您想要顯示為警示名稱的文字(警示文字),並在雙大括號中包含您想要成為警示文字一部分的任何查詢輸出字段。

      範例: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. 使用 [警示描述格式 ] 欄位執行相同的動作。

      注意

      您目前在 [警示名稱格式] 和 [警示描述格式] 欄位中各有三個參數。

    3. 若要覆寫其他預設屬性,請從 [警示屬性] 下拉式清單中選取警示屬性 。 然後,從 [值 ] 下拉式清單中選取要填入警示屬性的查詢結果中的欄位。

    4. 若要覆寫更多預設屬性,請選取 [+ 新增 ] 並重複上一個步驟。 可以覆寫下列屬性:

      名稱 描述
      AlertName String
      說明 String
      AlertSeverity 下列其中一個值:
      - 資訊
      -
      -
      -
      策略 下列其中一個值:
      - 偵察
      - ResourceDevelopment
      - InitialAccess
      - 執行
      - 持續性
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - 探索
      - LateralMovement
      - 集合
      - 外洩
      - CommandAndControl
      - 影響
      - PreAttack
      - ImpairProcessControl
      - CtionResponseFunction
      技術 (預覽) 符合下列正則表達式的字串: ^T(?<Digits>\d{4})$
      例如: T1234
      AlertLink (預覽) String
      ConfidenceLevel (預覽) 下列其中一個值:
      -
      -
      - Unknown
      ConfidenceScore (預覽) 整數,介於 0-1 之間(含)
      ExtendedLinks (預覽) String
      ProductComponentName (預覽) String
      ProductName (預覽) String
      ProviderName (預覽) String
      RemediationSteps (預覽) String

    如果您改變心意,或如果您犯了錯誤,您可以按下警示屬性/值組旁的垃圾桶圖示來移除警示詳細數據,或從 [警示名稱/描述格式] 字段中刪除自由文字。

  6. 當您完成自定義警示詳細數據之後,如果您現在要建立規則,請繼續進行精靈中的下一個索引標籤。 如果您要編輯現有的規則,請選取 [ 檢閱並建立] 索引標籤。一旦規則驗證成功,請選取 [ 儲存]。

    注意

    服務限制

    • 所有警示詳細數據和 自定義詳細數據的組合大小限制是 64 KB

下一步

在本檔中,您已瞭解如何在 Microsoft Sentinel 分析規則中自定義警示詳細數據。 若要深入了解 Microsoft Sentinel,請參閱下列文章: