Compartir a través de

在 Microsoft Sentinel 中自定义警报的详细信息

本文介绍如何使用基础查询结果中的内容替代警报的默认属性。

在创建计划分析规则的过程中,首先定义规则名称和说明,并为其分配严重性和 MITRE ATT&CK 策略。 给定规则生成的所有警报以及因此创建的所有事件都将继承规则中定义的名称、说明、严重性和策略,不管警报的特定实例的具体内容如何。

使用警报详细信息功能,可以通过两种方式替代警报的这些属性和其他默认属性:

  • 为警报创建自定义变量名称和说明。 可以在警报的查询输出中选择字段,其内容可以包含在警报的每个实例的名称或说明中。 如果给定实例中的所选字段没有值,则该实例的警报详细信息将还原至向导第一页中指定的默认值。

  • 使用查询输出中任何相关字段的值自定义给定警报实例的严重性、策略和其他属性(请查看以下属性的完整列表)。 如果所选字段为空或具有与字段数据类型不匹配的值,则相应的警报属性将还原为其默认值(针对在向导第一页中指定的策略和严重性)。

重要

某些警报详细信息的可自定义性(如下文所示)目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

按照下面详述的过程使用警报详细信息功能。 这些步骤是分析规则创建向导的一部分,但在此处单独应用它们是为了解决在现有分析规则中添加或更改警报详细信息的问题。

如何自定义警报详细信息

  1. 从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。

  2. 选择计划的查询规则,然后选择“编辑”。 或者选择屏幕顶部的“创建”>“计划的查询规则”,以新建规则。

  3. 选择“设置规则逻辑”选项卡。

  4. 在“警报扩充”部分中,展开“警报详细信息”。

    自定义警报详细信息

  5. 在现已展开的“警报详细信息”部分,添加自由文本(包含你希望在警报中显示的详细信息的对应属性):

    1. 在“警报名称格式”字段中,输入你希望显示为警报名称的文本(警报文本),并(在双大括号中)包含要作为警报文本一部分的任何查询输出字段。

      示例:Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. 对“警报说明格式”字段执行相同的操作。

      注意

      当前,“警报名称格式”和“警报说明格式”字段中都仅限使用三个参数。

    3. 若要替代其他默认属性,请从“警报属性”下拉列表中选择一个警报属性。 然后,从“值”下拉列表中选择要用警报属性填充其内容的查询结果字段。

    4. 若要替代更多默认属性,请选择“+ 添加新项”并重复上一步。 可以替代以下属性:

      名称 描述
      AlertName 字符串
      描述 字符串
      AlertSeverity 以下值之一:
      - 信息
      -
      - 中等
      -
      策略 以下值之一:
      - 侦查
      - ResourceDevelopment
      - 初始访问
      - 执行
      - 持久性
      - 特权提升
      - 防御规避
      - 凭据访问
      - 发现
      - 横向移动
      - 集合
      - 外泄
      - 命令和控制
      - 影响
      - 预攻击
      - ImpairProcessControl
      - InhibitResponseFunction
      技术(预览版) 一个与以下正则表达式匹配的字符串:^T(?<Digits>\d{4})$
      例如:T1234
      AlertLink(预览版) 字符串
      ConfidenceLevel(预览版) 以下值之一:
      -
      -
      - 未知
      ConfidenceScore(预览版) 整数,介于 0-1 之间(含两端)
      ExtendedLinks(预览版) 字符串
      ProductComponentName(预览版) 字符串
      ProductName(预览版)
      * 请参阅此表后面的备注
      字符串
      ProviderName(预览版) 字符串
      RemediationSteps(预览版) 字符串

    如果你改变了主意,或者出了错,可以通过单击“警报属性/值”对旁边的垃圾桶图标删除警报详细信息,或者从“警报名称/说明格式”字段中删除自由文本。

  6. 自定义完警报详细信息后,如果现在要创建规则,请转到向导中的下一个选项卡。 如果要编辑现有规则,请选择“查看并创建”选项卡。规则验证成功后,请选择“保存”。

服务限制

  • 在单个查询中,最多可用使用 50 个值替换一个字段。 当查询超过 50 个自定义值时,会删除所有自定义值,并且在所有查询结果中,该字段将还原为其默认值。 优化查询以生成不超过 50 个值,以确保不会删除任何自定义值。
  • AlertName 字段和任何其他非集合属性的大小限制为 256 字节
  • Description 字段和任何其他集合属性的大小限制为 5 KB
  • 超出大小限制的值将被删除。

后续步骤

本文档介绍了如何在 Microsoft Sentinel 分析规则下自定义警报详细信息。 若要详细了解 Microsoft Sentinel,请参阅以下文章: