Настройка сведений о событиях в оповещениях Microsoft Sentinel
Правила аналитики при помощи запланированных запросов анализируют события из источников данных, подключенных к Microsoft Sentinel, и отправляют оповещения, если содержимое этих событий особенно важно с точки зрения безопасности. Эти оповещения анализируются, группируются и фильтруются различными подсистемами Microsoft Sentinel и заносятся в инциденты, которые обязательно дойдут до центра информационной безопасности. Когда аналитик просматривает инцидент, он видит только свойства компонента оповещения. Но чтобы получить информацию о самом событии, потребуется дополнительно разобраться в проблеме.
С помощью функции настройки сведений в мастере правил аналитики вы сможете получать данные событий в оповещениях, созданных на основе этих событий, что делает данные события частью свойств оповещений. Фактически это позволяет мгновенно видеть всю информацию о событиях в инцидентах, что позволяет анализировать, изучать, строить выводы и реагировать гораздо быстрее и эффективнее.
Процедура, описанная ниже, является частью процесса создания правил аналитики. Мы рассмотрим ее отдельно на примере добавления или изменения настраиваемых сведений в существующем правиле аналитики.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Как получить настраиваемые сведения о событиях
Введите страницу аналитики на портале, с помощью которого вы обращаетесь к Microsoft Sentinel:
В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".
Выберите Scheduled query rule (Правило запланированного запроса) и нажмите Edit (Изменить). Или создайте новое правило, выбрав Создать > Запланированное правило запроса в верхней части экрана.
Перейдите на вкладку Set rule logic (Настроить логику правила).
В разделе Обогащение оповещений разверните пункт Настраиваемые сведения.
В открывшемся разделе Custom details (Настраиваемые сведения) добавьте пары "ключ-значение", соответствующие сведениям, которые вы хотите получать:
В поле Key (Ключ) введите имя, которое будет отображаться в поле оповещения в качестве имени поля.
В поле Value (Значение) выберите параметр события, в котором будут отображаться оповещения из раскрывающегося списка. Этот список будет заполнен значениями, соответствующими полям в таблицах, которые входят в правила запроса.
Щелкните Add new (Добавить новое), чтобы добавить больше настроек, повторив последние шаги для определения пар ключ-значение.
Если вы передумали или если вы случайно внесли не то, что хотели, вы можете удалить настройку, щелкнув значок корзины рядом с раскрывающимся списком Value (Значение) для этой настройки.
Завершив настройку сведений, перейдите на вкладку Review and create (Проверка и создание). После успешного завершения проверки правила нажмите Save (Сохранить).
Примечание.
Ограничения службы
В одном правиле аналитики можно определить до 20 настраиваемых сведений. Каждая пользовательская информация может содержать до 50 значений.
Совокупное ограничение размера для всех пользовательских сведений и их значений в одном оповещении составляет 2 КБ. Значения, превышающие это ограничение, удаляются.
Следующие шаги
В этом документе вы узнали, как отображать настраиваемые сведения в оповещениях с помощью правил аналитики Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Ознакомьтесь с другими способами обогащения оповещений:
- Получите полное представление о правилах с помощью запланированных запросов.
- Подробнее о сущностях в Microsoft Sentinel.