Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Запланированные правила аналитики запросов анализируют события из источников данных, подключенных к Microsoft Sentinel, и создают оповещения, если содержимое этих событий имеет важное значение с точки зрения безопасности. Эти оповещения далее анализируются, группируются и фильтруются по различным двигателям Microsoft Sentinel и дистиллируются в инциденты, которые требуют внимания аналитика SOC. Однако, когда аналитик просматривает инцидент, сразу видны только свойства самих оповещений компонента. Для получения фактического содержимого - информации, содержащейся в событиях - требуется выполнить некоторое копание.
С помощью функции пользовательских сведений в мастере правил аналитики можно отображать данные о событиях в оповещениях, созданных на основе этих событий, что делает данные событий частью свойств оповещения. По сути, это обеспечивает немедленную видимость содержимого событий в инцидентах, позволяя рассматривать, исследовать, делать выводы и реагировать с гораздо большей скоростью и эффективностью.
Описанная ниже процедура является частью мастера создания правил аналитики. Он рассматривается здесь независимо для решения сценария добавления или изменения пользовательских сведений в существующем правиле аналитики.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Сведения о пользовательском событии
Войдите на страницу Аналитика на портале, с помощью которого вы обращаетесь к Microsoft Sentinel:
В меню навигации Microsoft Defender разверните узел Microsoft Sentinel, а затем — Конфигурация. Выберите Аналитика.
Выберите запланированное правило запроса и нажмите кнопку Изменить. Или создайте новое правило, щелкнув Создать > запланированное правило запроса в верхней части экрана.
Перейдите на вкладку Задать логику правила .
В разделе Обогащение оповещений разверните узел Пользовательские сведения.
В развернутом разделе Пользовательские сведения добавьте пары "ключ— значение", соответствующие сведениям, которые вы хотите получить:
В поле Ключ введите выбранное имя, которое будет отображаться в качестве имени поля в оповещениях.
В поле Значение выберите параметр события, который вы хотите отобразить в оповещениях, из раскрывающегося списка. Этот список будет заполнен значениями, соответствующими полям в таблицах, которые являются предметом запроса правила.
Нажмите кнопку Добавить новый для отображения дополнительных сведений, повторяя последние шаги для определения пар "ключ-значение".
Если вы передумаете или совершили ошибку, вы можете удалить пользовательские сведения, щелкнув значок корзины рядом с раскрывающимся списком Значение для этой информации.
Завершив определение пользовательских сведений, перейдите на вкладку Просмотр и создание . После успешной проверки правила нажмите кнопку Сохранить.
Примечание.
Ограничения службы
В одном правиле аналитики можно определить до 20 пользовательских сведений . Каждая пользовательская информация может содержать до 50 значений.
Объединенный размер всех пользовательских сведений и их значений в одном оповещении составляет 2 КБ. Значения, превышающие это ограничение, удаляются.
Дальнейшие действия
В этом документе вы узнали, как отображать пользовательские сведения в оповещениях с помощью правил аналитики Microsoft Sentinel. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях:
- Изучите другие способы обогащения оповещений:
- Получение полной картины о правилах аналитики запланированных запросов.
- Дополнительные сведения о сущностях в Microsoft Sentinel.