Настройка деталей оповещений в Microsoft Sentinel

В этой статье объясняется, как переопределить свойства оповещений по умолчанию с содержимым из базовых результатов запроса.

В процессе создания правила запланированной аналитики в качестве первого шага вы определяете имя и описание правила, а также назначаете его серьезность и тактику MITRE ATT&CK. Все оповещения, созданные заданным правилом, и все инциденты, созданные в результате, наследуют имя, описание, серьезность и тактику, определенную в правиле, без учета определенного содержимого конкретного экземпляра оповещения.

С помощью функции сведений об оповещении можно переопределить эти и другие свойства оповещений по умолчанию двумя способами:

• Создайте пользовательские переменные имена и описания для оповещений. Вы можете выбрать поля в выходных данных запроса оповещения, содержимое которого можно включить в имя или описание каждого экземпляра оповещения. Если выбранное поле не имеет значения в данном экземпляре, сведения об оповещении для этого экземпляра будут возвращаться к значениям по умолчанию, указанным на первой странице мастера.

• Настройте серьезность, тактику и другие свойства заданного экземпляра оповещения (см. полный список свойств ниже) со значениями любых соответствующих полей из выходных данных запроса. Если выбранные поля пусты или содержат значения, которые не соответствуют типу данных поля, соответствующие свойства оповещений установятся на значения по умолчанию (для методов и уровней критичности, указанных на первой странице мастера настройки).

Выполните описанную ниже процедуру, чтобы использовать функцию сведений об оповещении. Эти шаги являются частью мастера создания правил аналитики, но они рассматриваются здесь независимо для решения сценария добавления или изменения сведений об оповещении в существующем правиле аналитики.

Настройка деталей оповещения

1. Введите страницу аналитики на портале, с помощью которого вы обращаетесь к Microsoft Sentinel:

   • Портал Azure
   • Портал Defender

   В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".

2. Выберите правило запланированного запроса и нажмите кнопку "Изменить". Или создайте новое правило, нажав кнопку "Создать > правило запланированного запроса" в верхней части экрана.

3. Перейдите на вкладку Задать логику правила.

4. В разделе Обогащение оповещений разверните пункт Детали оповещения.

   

5. В развернутом разделе сведений об оповещении добавьте бесплатный текст, содержащий свойства, соответствующие сведениям, которые необходимо отобразить в оповещении:

   1. В поле "Формат имени генерации оповещений" введите текст, который вы хотите показать как имя оповещения (текст оповещения) и включите в двойные фигурные скобки, все поля выходных данных запроса, которые вы хотите включить в текст оповещения.

      Пример: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Повторите то же самое с полем Формат описания оповещения.

      Примечание.

      В настоящее время для каждого из полей Формат имени оповещения и Формат описания оповещения можно задать не более трех параметров.

   3. Чтобы переопределить другие свойства по умолчанию, выберите свойство генерации оповещений из раскрывающегося списка оповещений. Затем из раскрывающегося списка "Значение" выберите поле из результатов запроса, содержимое которого вы хотите использовать для заполнения свойства оповещения.

   4. Чтобы переопределить дополнительные свойства по умолчанию, нажмите кнопку +Добавить новый и повторите предыдущий шаг. Можно переопределить следующие свойства:

      Имя	Описание
      AlertName	строка (тип данных) Поддерживает только обычный текст.
      Описание	строка (тип данных) Поддерживает только обычный текст, если Microsoft Sentinel подключен к порталу Defender.
      AlertSeverity	Одно из следующих значений: - Информация - Низкая - Средний - Высокий уровень
      Тактика	Одно из следующих значений: - Разведка - ResourceDevelopment - InitialAccess - Выполнение - Сохраняемость - Эскалация привилегий - DefenseEvasion - CredentialAccess - Обнаружение - Боковое движение - Коллекция - Эксфильтрация - CommandAndControl - Воздействие - Предварительная атака - ImpairProcessControl - ФункцияПодавленияОтвета
      Методы (предварительная версия)	Строка, которая соответствует следующему регулярному выражению: ^T(?<Digits>\d{4})$ Например: T1234
      AlertLink (предварительная версия)	Строка
      ConfidenceLevel (предварительная версия)	Одно из следующих значений: - Низкая - Высокий уровень - Неизвестный
      ConfidenceScore (предварительная версия)	Целое число от 0-1 (включительно)
      ExtendedLinks (предварительная версия)	Строка
      ProductComponentName (предварительная версия) * См. заметки о предупреждениях, следующих за этой таблицей	Строка
      ProductName (предварительная версия) * См. заметки о предупреждениях, следующих за этой таблицей	Строка
      ProviderName (предварительная версия) * См. заметки о предупреждениях, следующих за этой таблицей	Строка
      Шаги по исправлению (предварительная версия)	Строка

      Внимание

      При подключении Microsoft Sentinel к порталу Microsoft Defender:

      • Не настраивайтеполе ProductName для оповещений из источников Майкрософт. Это приведет к игнорированию этих оповещений в Microsoft Defender XDR, и инциденты не будут созданы.

      • Поля ProductComponentName и ProviderName больше не доступны для настройки.

      Если какие-либо из этих настроек уже существуют в любом из правил, удалите настройки для обеспечения совместимости и избежать непредвиденных результатов.

   Если вы изменили свое мнение или если вы сделали ошибку, вы можете удалить подробные сведения об оповещении, щелкнув значок корзины рядом с парой "Оповещение" или "Значение ", или удалить свободный текст из полей "Имя или описание оповещения".

6. Завершив настройку данных для оповещения, если вы сейчас создаете правило, перейдите на следующую вкладку мастера. Если вы редактировать существующее правило, выберите вкладку "Рецензирование" и "Создать ". После успешной проверки правила нажмите кнопку "Сохранить".

Лимиты услуг

• Поле можно переопределить до 50 значений в одном запросе. При превышении 50 настраиваемых значений все настраиваемые значения удаляются, а во всех результатах запроса поле возвращается к значению по умолчанию. Настройте запрос, чтобы получить не более 50 значений, чтобы гарантировать, что настраиваемые значения не удаляются.
• Ограничение размера поля и других свойств, отличных от AlertName коллекции, равно 256 байтам.
• Ограничение размера поля Description и других свойств коллекции составляет 5 КБ.
• Значения, превышающие ограничения размера, удаляются.

Следующие шаги

В этом документе вы узнали, как настроить детали оповещения с помощью правил аналитики Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Ознакомьтесь с другими способами обогащения оповещений:
  • Сопоставление полей данных с сущностями в Microsoft Sentinel
  • Отобразить детали пользовательского события в оповещениях в Microsoft Sentinel
• Получите полное представление о аналитических правилах для запланированных запросов.
• Подробнее о сущностях в Microsoft Sentinel.