Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Правила аналитики запланированных запросов анализируют события из источников данных, подключенных к Microsoft Sentinel, и создают оповещения , когда содержимое этих событий имеет значительное значение с точки зрения безопасности. Эти оповещения также анализируются, группируются и фильтруются различными механизмами Microsoft Sentinel и превращаются в инциденты, которые требуют внимания аналитика SOC. Когда аналитик просматривает инцидент, он видит только свойства компонента оповещения. Чтобы добраться до реального содержания — информации, содержащейся в событиях, — потребуется провести некоторое исследование.
С помощью функции пользовательских сведений в мастере правил аналитики можно отображать данные событий в оповещениях, созданных из этих событий, что делает данные события частью свойств оповещения. Фактически это позволяет мгновенно видеть всю информацию о событиях в инцидентах, что позволяет анализировать, изучать, строить выводы и реагировать гораздо быстрее и эффективнее.
Процедура, описанная ниже, является частью процесса создания правил аналитики. Мы рассмотрим ее отдельно на примере добавления или изменения настраиваемых сведений в существующем правиле аналитики.
Внимание
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Как отобразить сведения о пользовательских событиях
Введите страницу аналитики на портале, с помощью которого вы обращаетесь к Microsoft Sentinel:
В меню навигации Microsoft Defender разверните раздел Microsoft Sentinel, затем — Конфигурация. Выберите "Аналитика".
Выберите правило запланированного запроса и нажмите кнопку "Изменить". Или создайте новое правило, нажав кнопку "Создать > правило запланированного запроса " в верхней части экрана.
Перейдите на вкладку "Задать логику правила ".
В разделе обогащения оповещений разверните настраиваемые сведения.
В развернутом разделе Пользовательские сведения добавьте пары ключ-значение, соответствующие сведениям, которые вы хотите показать.
В поле "Ключ" введите имя выбранного элемента, которое будет отображаться в виде имени поля в оповещениях.
В поле "Значение" выберите параметр события, который нужно отобразить в оповещениях в раскрывающемся списке. Этот список будет заполнен значениями, соответствующими полям в таблицах, которые являются предметом запроса правил.
Нажмите "Добавить новое" для получения дополнительных сведений, повторяя последние шаги, чтобы определить пары «ключ-значение».
Если вы передумали или сделали ошибку, вы можете удалить пользовательскую деталь, щелкнув значок корзины рядом с раскрывающимся списком «Значение» для этой детали.
Завершив определение пользовательских сведений, нажмите на вкладку "Обзор и создание". Когда правило успешно проверено, нажмите "Сохранить.
Примечание.
Ограничения службы
Вы можете определить до 20 пользовательских сведений в одном правиле аналитики. Каждая пользовательская информация может содержать до 50 значений.
Совокупное ограничение размера для всех пользовательских сведений и их значений в одном оповещении составляет 2 КБ. Значения, превышающие это ограничение, удаляются.
Следующие шаги
В этом документе вы узнали, как отображать настраиваемые сведения в оповещениях с помощью правил аналитики Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Ознакомьтесь с другими способами обогащения оповещений:
- Полное представление о правилах аналитики запланированных запросов.
- Дополнительные сведения о сущностях в Microsoft Sentinel.