Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, jak zastąpić domyślne właściwości alertów zawartością z wyników zapytania bazowego.
W procesie tworzenia
Dzięki funkcji szczegółów alertu można zastąpić te i inne domyślne właściwości alertów na dwa sposoby:
Utwórz niestandardowe nazwy zmiennych i opisy dla alertów. Możesz wybrać pola w danych wyjściowych zapytania alertu, których zawartość może być uwzględniona w nazwie lub opisie każdego wystąpienia alertu. Jeśli wybrane pole nie ma wartości w danym wystąpieniu, szczegóły alertu dla tego wystąpienia zostaną przywrócone do wartości domyślnych określonych na pierwszej stronie kreatora.
Dostosuj ważność, taktykę i inne właściwości danego wystąpienia alertu (zobacz pełną listę właściwości poniżej) z wartościami wszelkich odpowiednich pól z danych wyjściowych zapytania. Jeśli wybrane pola są puste lub mają wartości, które nie są zgodne z typem danych pola, odpowiednie właściwości alertu zostaną przywrócone do wartości domyślnych (w przypadku taktyki i ważności określone na pierwszej stronie kreatora).
Ważne
- Możliwość dostosowywania niektórych szczegółów alertu (szczegóły, które zostały oznaczone poniżej) jest obecnie w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
- Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych użytkowników jest również automatycznie dołączanych i przekierowywanych z witryny Azure Portal do portalu Defender. Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Postępuj zgodnie z procedurą opisaną poniżej, aby użyć funkcji szczegółów alertu. Te kroki są częścią kreatora tworzenia reguł analizy, ale są one rozwiązane niezależnie w celu rozwiązania scenariusza dodawania lub zmieniania szczegółów alertu w istniejącej regule analizy.
Jak dostosować szczegóły alertu
Przejdź do strony Analiza w portalu, przez którą uzyskujesz dostęp do usługi Microsoft Sentinel.
W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.
Wybierz regułę zaplanowanego zapytania i wybierz pozycję Edytuj. Możesz też utworzyć nową regułę, wybierając pozycję Utwórz > regułę zaplanowanego zapytania w górnej części ekranu.
Wybierz kartę Ustaw logikę reguły.
W sekcji Wzbogacanie alertów rozwiń Szczegóły alertu.
W teraz rozwiniętej sekcji Szczegóły alertu dodaj bezpłatny tekst zawierający właściwości odpowiadające szczegółom, które mają być wyświetlane w alercie:
W polu Format nazwy alertu wprowadź tekst, który chcesz wyświetlić jako nazwę alertu (tekst alertu) i uwzględnij w podwójnych nawiasach klamrowych wszystkie pola danych wyjściowych zapytania, które mają być częścią tekstu alertu.
Przykład:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.Zrób to samo w polu Format opisu alertu .
Uwaga
W polach Format nazwy alertu i Format opisu alertu jesteś obecnie ograniczony do trzech parametrów.
Aby zastąpić inne właściwości domyślne, wybierz właściwość alertu z listy rozwijanej Właściwość alertu . Następnie wybierz pole z wyników zapytania, którego zawartość ma zostać wypełniona właściwością alertu, z listy rozwijanej Wartość .
Aby zastąpić więcej właściwości domyślnych, wybierz pozycję + Dodaj nowy i powtórz poprzedni krok. Następujące właściwości można zastąpić:
Nazwa/nazwisko opis Nazwa alertu Struna. Obsługuje tylko zwykły tekst. Opis Struna. Obsługuje tylko zwykły tekst, jeśli usługa Microsoft Sentinel jest dołączona do portalu usługi Defender. Stopień powagi alertu Jedna z następujących wartości:
- Informacyjne
- Niski
- Średni
- WysokiTaktyka Jedna z następujących wartości:
- Rekonesans
- ResourceDevelopment
- InitialAccess
- Egzekucja
- Wytrwałość
- Eskalacja Uprawnień
- DefenseEvasion
- CredentialAccess
- Odkrycie
- Ruch boczny
- Kolekcja
- Eksfiltracja
- CommandAndControl
- Wpływ
- Atak wstępny
- ImpairProcessControl
- FunkcjaHamowaniaOdpowiedziTechniki (wersja zapoznawcza) Ciąg zgodny z następującym wyrażeniem regularnym: ^T(?<Digits>\d{4})$.
Na przykład: T1234AlertLink (wersja zapoznawcza) Sznurek ConfidenceLevel (wersja zapoznawcza) Jedna z następujących wartości:
- Niski
- Wysoki
- NieznanyConfidenceScore (wersja zapoznawcza) Liczba całkowita z zakresu od 0-do 1 (włącznie) ExtendedLinks (wersja zapoznawcza) Sznurek ProductComponentName (wersja zapoznawcza)
* Zobacz Uwagi dotyczące ostrożności zgodnie z tą tabeląSznurek ProductName (wersja zapoznawcza)
* Zobacz Uwagi dotyczące ostrożności zgodnie z tą tabeląSznurek ProviderName (wersja zapoznawcza)
* Zobacz Uwagi dotyczące ostrożności zgodnie z tą tabeląSznurek RemediationSteps (wersja zapoznawcza) Sznurek Uwaga
W przypadku dołączenia usługi Microsoft Sentinel do portalu usługi Microsoft Defender:
Nie dostosuj pola ProductName dla alertów ze źródeł firmy Microsoft. Spowoduje to usunięcie tych alertów z usługi Microsoft Defender XDR i brak tworzonego zdarzenia.
Pola ProductComponentName i ProviderName nie są już dostępne do dostosowania.
Jeśli którekolwiek z tych dostosowań już istnieją w żadnej z reguł, usuń dostosowania, aby zachować zgodność i uniknąć nieoczekiwanych wyników.
Jeśli zmienisz zdanie lub popełnisz błąd, możesz usunąć szczegóły alertu, klikając ikonę kosza obok pary Właściwości/wartości alertu lub usuń dowolny tekst z pól Nazwa alertu/Format opisu .
Po zakończeniu dostosowywania szczegółów alertu, jeśli tworzysz regułę, przejdź do następnej karty w kreatorze. Jeśli edytujesz istniejącą regułę, wybierz kartę Przeglądanie i tworzenie . Po pomyślnym zakończeniu walidacji reguły wybierz pozycję Zapisz.
Limity usługi
- Pole można zastąpić maksymalnie 50 wartościami w jednym zapytaniu. Gdy zapytanie przekroczy 50 dostosowanych wartości, wszystkie dostosowane wartości zostaną porzucone, a we wszystkich wynikach zapytania pole powróci do wartości domyślnej. Dostosuj zapytanie, aby uzyskać nie więcej niż 50 wartości, aby upewnić się, że nie usunięto dostosowanych wartości.
- Limit rozmiaru
AlertNamepola i innych właściwości innych niż kolekcja wynosi 256 bajtów. - Limit rozmiaru
Descriptionpola i innych właściwości kolekcji wynosi 5 KB. - Wartości przekraczające limity rozmiaru są porzucane.
Następne kroki
W tym dokumencie przedstawiono sposób dostosowywania szczegółów alertu w regułach analizy usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Zapoznaj się z innymi sposobami wzbogacania alertów:
- Uzyskaj pełny obraz reguł analizy zapytań, które są zaplanowane.
- Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel.