显示 Microsoft Sentinel 的警报中的自定义事件详细信息
计划的查询分析规则会分析与 Microsoft Sentinel 连接的数据源中的事件,并在这些事件从安全角度来说很重要时生成警报 。 这些警报由 Microsoft Sentinel 的各种引擎进一步分析、分组和筛选,并提炼成值得 SOC 分析人员注意的事件。 不过,当分析人员查看事件时,只有组件警报本身的属性立即可见。 若要了解实际内容(事件中包含的信息),需要进行一些挖掘。
借助分析规则向导中的“自定义详细信息”功能,你可在从这些事件生成的警报中显示事件数据,使事件数据成为警报属性的一部分 。 实际上,你让你能够立即了解事件中的事件内容,从而可更快、更高效地进行会审、调查、得出结论和作出响应。
下面详细介绍的过程是分析规则创建向导的一部分。 我们在这里单独讲解,来处理在现有分析规则中添加或更改自定义详细信息的方案。
如何呈现自定义事件详细信息
在访问 Microsoft Sentinel 的门户中进入 Analytics 页:在 Microsoft Sentinel 导航菜单的“配置”部分中,选择“Analytics”。
选择计划的查询规则,再单击“编辑”。 或者单击屏幕顶部的“创建”>“计划的查询规则”,以新建规则。
单击“设置规则逻辑”选项卡。
在“警报扩充”部分,展开“自定义详细信息”。
在现已展开的“自定义详细信息”部分中,添加与要显示的详细信息对应的键值对:
在“键”字段中,输入你选择的名称,该名称将显示为警报中的字段名称。
在“值”字段中,选择你希望在下拉列表中的警报内显示的事件参数。 此列表将被填入与作为规则查询主题的表中的字段对应的值。
单击“新增”来显示更多详细信息,重复最后一个步骤来定义键值对。
如果你改变了主意或当时操作错误,可单击自定义详细信息的“值”下拉列表旁边的垃圾桶图标来删除该详细信息。
定义自定义详细信息后,单击“查看并创建”选项卡。规则验证成功后,单击“保存”。
注意
服务限制
一个分析规则中最多可定义 20 个自定义详细信息。 每个自定义详细信息可以包含最多 50 个值。
单个警报中所有自定义详细信息及其值的组合大小限制为 2 KB。 超出此限制的值将被删除。
后续步骤
本文档介绍了如何使用 Microsoft Sentinel 分析规则显示警报中的自定义详细信息。 若要详细了解 Microsoft Sentinel,请参阅以下文章:
- 探索扩充警报的其他方法:
- 全面了解计划的查询分析规则。
- 有关详细信息,请参阅 Microsoft Sentinel 中的实体。