Настройка деталей оповещений в Microsoft Sentinel
В этой статье объясняется, как переопределить свойства оповещений по умолчанию с содержимым из базовых результатов запроса.
В процессе создания правила запланированной аналитики в качестве первого шага вы определяете имя и описание правила, а также назначаете его серьезность и тактику MITRE ATT&CK. Все оповещения, созданные заданным правилом, и все инциденты, созданные в результате, наследуют имя, описание, серьезность и тактику, определенную в правиле, без учета определенного содержимого конкретного экземпляра оповещения.
С помощью функции сведений об оповещении можно переопределить эти и другие свойства оповещений по умолчанию двумя способами:
Создайте пользовательские, переменные и описания для оповещений. Вы можете выбрать поля в выходных данных запроса оповещения, содержимое которого можно включить в имя или описание каждого экземпляра оповещения. Если выбранное поле не имеет значения в данном экземпляре, сведения об оповещении для этого экземпляра будут возвращаться к значениям по умолчанию, указанным на первой странице мастера.
Настройте серьезность, тактику и другие свойства заданного экземпляра оповещения (см. полный список свойств ниже) со значениями любых соответствующих полей из выходных данных запроса. Если выбранные поля пусты или имеют значения, которые не соответствуют типу данных поля, соответствующие свойства оповещений будут возвращаться к их значениям по умолчанию (для тактики и серьезности, указанные на первой странице мастера).
Внимание
- Настройка некоторых сведений о оповещении (см. указанные ниже) в настоящее время доступна в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
- Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Выполните описанную ниже процедуру, чтобы использовать функцию сведений об оповещении. Эти шаги являются частью мастера создания правил аналитики, но они рассматриваются здесь независимо для решения сценария добавления или изменения сведений об оповещении в существующем правиле аналитики.
Настройка деталей оповещения
Введите страницу аналитики на портале, с помощью которого вы обращаетесь к Microsoft Sentinel:
В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".
Выберите правило запланированного запроса и нажмите кнопку "Изменить". Или создайте новое правило, нажав кнопку "Создать > правило запланированного запроса" в верхней части экрана.
Перейдите на вкладку Задать логику правила.
В разделе Обогащение оповещений разверните пункт Детали оповещения.
В развернутом разделе сведений об оповещении добавьте бесплатный текст, содержащий свойства, соответствующие сведениям, которые необходимо отобразить в оповещении:
В поле "Формат имени генерации оповещений" введите текст, который вы хотите показать как имя оповещения (текст оповещения) и включите в двойные фигурные скобки, все поля выходных данных запроса, которые вы хотите включить в текст оповещения.
Пример:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.
Повторите то же самое с полем Формат описания оповещения.
Примечание.
В настоящее время для каждого из полей Формат имени оповещения и Формат описания оповещения можно задать не более трех параметров.
Чтобы переопределить другие свойства по умолчанию, выберите свойство генерации оповещений из раскрывающегося списка оповещений. Затем выберите поле из результатов запроса, содержимое которого нужно заполнить свойство оповещения, в раскрывающемся списке "Значение ".
Чтобы переопределить дополнительные свойства по умолчанию, нажмите кнопку +Добавить новый и повторите предыдущий шаг. Можно переопределить следующие свойства:
Имя Описание AlertName Строка Description Строка AlertSeverity Одно из следующих значений:
- Информация
- Низкая
- Средний
- Высокий уровеньТактика Одно из следующих значений:
- Разведка
- ResourceDevelopment
- InitialAccess
- Выполнение
- Сохраняемость
- PrivilegeEscalation
- DefenseEvasion
- CredentialAccess
- Обнаружение
- LateralMovement
- Коллекция
- Извлечение
- CommandAndControl
- Воздействие
- PreAttack
- ImpairProcessControl
- ПодавлениеResponseFunctionМетоды (предварительная версия) Строка, которая соответствует следующему регулярному выражению: ^T(?<Digits>\d{4})$
Например: T1234AlertLink (предварительная версия) Строка ConfidenceLevel (предварительная версия) Одно из следующих значений:
- Низкая
- Высокий уровень
- UnknownConfidenceScore (предварительная версия) Целое число от 0-1 (включительно) ExtendedLinks (предварительная версия) Строка ProductComponentName (предварительная версия) Строка ProductName (предварительная версия)
* См. примечание, следующее за этой таблицейСтрока ProviderName (предварительная версия) Строка ИсправлениеSteps (предварительная версия) Строка Примечание.
Если вы подключены к порталу Microsoft Sentinel, не настраивайте поле ProductName для оповещений из источников Майкрософт. Это приведет к тому, что эти оповещения удаляются из XDR в Microsoft Defender и не создаются инциденты.
Если вы изменили свое мнение или если вы сделали ошибку, вы можете удалить подробные сведения об оповещении, щелкнув значок корзины рядом с парой "Оповещение" или "Значение ", или удалить свободный текст из полей "Имя или описание оповещения".
Завершив настройку сведений о оповещении, если вы создаете правило, перейдите на следующую вкладку мастера. Если вы редактировать существующее правило, выберите вкладку "Рецензирование" и "Создать ". После успешной проверки правила нажмите кнопку "Сохранить".
Лимиты служб
- Поле можно переопределить до 50 значений в одном запросе. При превышении 50 настраиваемых значений все настраиваемые значения удаляются, а во всех результатах запроса поле возвращается к значению по умолчанию. Настройте запрос, чтобы получить не более 50 значений, чтобы гарантировать, что настраиваемые значения не удаляются.
- Ограничение размера поля и других свойств, отличных от
AlertName
коллекции, равно 256 байтам. - Ограничение размера поля
Description
и других свойств коллекции составляет 5 КБ. - Значения, превышающие ограничения размера, удаляются.
Следующие шаги
В этом документе вы узнали, как настроить детали оповещения с помощью правил аналитики Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Ознакомьтесь с другими способами обогащения оповещений:
- Получите полное представление о правилах с помощью запланированных запросов.
- Подробнее о сущностях в Microsoft Sentinel.