Megosztás a következőn keresztül:

Riasztás részleteinek testreszabása a Microsoft Sentinelben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk bemutatja, hogyan bírálhatja felül a riasztások alapértelmezett tulajdonságait az alapul szolgáló lekérdezési eredmények tartalmával.

Az ütemezett elemzési szabály létrehozásának folyamatában első lépésként meg kell adnia a szabály nevét és leírását, és hozzá kell rendelnie egy súlyossági és MITRE ATT&CK-taktikát. Az adott szabály által generált összes riasztás – és az eredményként létrehozott összes incidens – a riasztás adott példányának adott tartalmára való tekintet nélkül örökli a szabályban meghatározott nevet, leírást, súlyosságot és taktikát.

A riasztás részletei funkcióval kétféleképpen bírálhatja felül ezeket és a riasztások egyéb alapértelmezett tulajdonságait:

  • Egyéni, változóneveket és leírásokat hozhat létre a riasztásokhoz. Kijelölhet olyan mezőket a riasztás lekérdezési kimenetében, amelyek tartalma szerepelhet a riasztás egyes példányainak nevében vagy leírásában. Ha a kijelölt mezőnek nincs értéke egy adott példányban, az adott példány riasztási adatai a varázsló első lapján megadott alapértelmezett értékekre térnek vissza.

  • Testre szabhatja egy riasztás adott példányának súlyosságát, taktikáját és egyéb tulajdonságait (lásd az alábbi tulajdonságok teljes listáját) a lekérdezés kimenetében szereplő összes releváns mező értékével. Ha a kijelölt mezők üresek, vagy olyan értékekkel rendelkeznek, amelyek nem felelnek meg a mező adattípusának, a megfelelő riasztási tulajdonságok visszaállnak az alapértelmezett értékekre (a varázsló első lapján megadott taktikák és súlyosság esetén).

Fontos

  • Néhány riasztás részleteinek testreszabhatósága (lásd az alább láthatóakat) jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
  • A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Kövesse az alább részletezett eljárást a riasztás részletei funkció használatához. Ezek a lépések az elemzési szabály létrehozási varázslójának részei, de ezek a lépések külön-külön vannak kezelve a riasztási adatok meglévő elemzési szabályban való hozzáadásának vagy módosításának forgatókönyvével kapcsolatban.

Riasztás részleteinek testreszabása

  1. Adja meg az Elemzés lapot a portálon, amelyen keresztül hozzáférhet a Microsoft Sentinelhez:

    A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

  2. Válasszon ki egy ütemezett lekérdezési szabályt, és válassza a Szerkesztés lehetőséget. Vagy hozzon létre egy új szabályt az Ütemezett lekérdezési szabály létrehozása > lehetőség kiválasztásával a képernyő tetején.

  3. Válassza a Szabály beállítása logikai lapfület.

  4. A Riasztásbővítés szakaszban bontsa ki a Riasztás részletei elemet.

    Riasztás részleteinek testreszabása

  5. A most kibontott Riasztás részletei szakaszban adjon hozzá olyan szabad szöveget, amely tartalmazza a riasztásban megjeleníteni kívánt részleteknek megfelelő tulajdonságokat:

    1. A Riasztásnév formátuma mezőben adja meg a riasztás neveként megjeleníteni kívánt szöveget (a riasztás szövegét), és dupla szögletes zárójelben adja meg a riasztás szövegének részét képező lekérdezéskimeneti mezőket.

      Példa: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. Tegye ugyanezt a Riasztás leírása formátum mezővel is.

      Feljegyzés

      Jelenleg három paraméterre van korlátozva a Riasztás neve formátuma és a Riasztás leírása formátum mező.

    3. Az egyéb alapértelmezett tulajdonságok felülbírálásához válasszon ki egy riasztási tulajdonságot a Riasztás tulajdonság legördülő listájából. Ezután válassza ki azt a mezőt a lekérdezés eredményei közül, amelynek tartalmát ki szeretné tölteni a riasztási tulajdonságból az Érték legördülő listából.

    4. További alapértelmezett tulajdonságok felülbírálásához válassza az + Új hozzáadása lehetőséget, és ismételje meg az előző lépést. A következő tulajdonságok felülírhatók:

      Név Leírás
      AlertName Húr. Csak egyszerű szöveget támogat.
      Leírás Húr. Csak akkor támogatja az egyszerű szöveget, ha a Microsoft Sentinel be van kapcsolva a Defender portálra.
      AlertSeverity Az alábbi értékek egyike:
      - Információs
      - Alacsony
      - Medium
      - Magas
      Taktika Az alábbi értékek egyike:
      - Felderítés
      - ResourceDevelopment
      - InitialAccess
      - Kivégzés
      - Kitartás
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - Felfedezés
      - LateralMovement
      - Gyűjtemény
      - Exfiltration
      - CommandAndControl
      - Hatás
      - Előzetes osztás
      - ImpairProcessControl
      - InhibitResponseFunction
      Technikák (előzetes verzió) A következő reguláris kifejezésnek megfelelő sztring: ^T(?<Digits>\d{4})$.
      Például: T1234
      AlertLink (előzetes verzió) Sztring
      Megbízhatósági szint (előzetes verzió) Az alábbi értékek egyike:
      - Alacsony
      - Magas
      - Ismeretlen
      ConfidenceScore (előzetes verzió) Egész szám, 0-1 között (beleértve)
      ExtendedLinks (előzetes verzió) Sztring
      ProductComponentName (előzetes verzió)
      * Lásd a táblázatot követő figyelemfelhívási megjegyzéseket      		 Sztring
      ProductName (előzetes verzió)
      * Lásd a táblázatot követő figyelemfelhívási megjegyzéseket      		 Sztring
      ProviderName (előzetes verzió)
      * Lásd a táblázatot követő figyelemfelhívási megjegyzéseket      		 Sztring
      RemediationSteps (előzetes verzió) Sztring

      Figyelemfelhívás

      Ha a Microsoft Sentinelt a Microsoft Defender portálra előkészítette:

      • Ne szabja testre a ProductName mezőt a Microsoft-forrásokból származó riasztásokhoz. Ha így tesz, a rendszer elveti ezeket a riasztásokat a Microsoft Defender XDR-ből, és nem jön létre incidens.

      • A ProductComponentName és a ProviderName mezők már nem szabhatók testre.

      Ha ezek közül a testreszabások közül bármelyik már létezik valamelyik szabályban, távolítsa el a testreszabásokat a kompatibilitás fenntartása és a váratlan eredmények elkerülése érdekében.

    Ha meggondolta magát, vagy hibát követett el, eltávolíthatja a riasztás részleteit a Riasztás tulajdonság/Érték pár melletti kuka ikonra kattintva, vagy törölheti az ingyenes szöveget a Riasztás neve/Leírás formátuma mezőkből.

  6. Ha befejezte a riasztás részleteinek testreszabását, ha most hozza létre a szabályt, folytassa a varázsló következő lapjára. Ha egy meglévő szabályt szerkeszt, válassza a Véleményezés és létrehozás lapot. Ha a szabály érvényesítése sikeres, válassza a Mentés lehetőséget.

Szolgáltatáskorlátok

  • Egy legfeljebb 50 értékkel rendelkező mezőt felülbírálhat egyetlen lekérdezésben. Ha a lekérdezés meghaladja az 50 testre szabott értéket, az összes testreszabott érték el lesz dobva, és minden lekérdezés eredményében a mező visszaáll az alapértelmezett értékre. Állítsa be a lekérdezést úgy, hogy legfeljebb 50 értéket biztosítson, hogy a testreszabott értékek ne legyenek elvetve.
  • A mező méretkorlátja AlertName és egyéb nem gyűjteménytulajdonságok esetén 256 bájt.
  • A mező és más gyűjteménytulajdonságok méretkorlátja Description5 KB.
  • A méretkorlátot meghaladó értékek elvetve jelennek meg.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan szabhatja testre a riasztás részleteit a Microsoft Sentinel elemzési szabályaiban. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: