Dettagli dell'evento personalizzato di Surface negli avvisi in Microsoft Sentinel
Le regole di analisi delle query pianificate analizzano gli eventi dalle origini dati connesse a Microsoft Sentinel e generano avvisi quando il contenuto di questi eventi è significativo dal punto di vista della sicurezza. Questi avvisi vengono ulteriormente analizzati, raggruppati e filtrati in base ai vari motori di Microsoft Sentinel e distillati in eventi imprevisti che garantiscono l'attenzione di un analista SOC. Tuttavia, quando l'analista visualizza l'evento imprevisto, solo le proprietà degli avvisi del componente sono immediatamente visibili. Per ottenere il contenuto effettivo, ovvero le informazioni contenute negli eventi, è necessario eseguire alcune operazioni di scavamento.
Usando la funzionalità dettagli personalizzati nella procedura guidata delle regole di analisi, è possibile visualizzare i dati degli eventi negli avvisi creati da tali eventi, rendendo i dati dell'evento parte delle proprietà dell'avviso. In effetti, ciò consente di ottenere visibilità immediata dei contenuti degli eventi negli eventi imprevisti, consentendo di valutare, analizzare, trarre conclusioni e rispondere con maggiore velocità ed efficienza.
La procedura descritta di seguito fa parte della creazione guidata delle regole di analisi. Viene trattato in modo indipendente per affrontare lo scenario di aggiunta o modifica di dettagli personalizzati in una regola di analisi esistente.
Importante
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender, nella piattaforma operativa di sicurezza unificata. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Come visualizzare i dettagli dell'evento personalizzato
Immettere la pagina Analisi nel portale tramite cui si accede a Microsoft Sentinel:
Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analytics.
Selezionare una regola di query pianificata e fare clic su Modifica. In alternativa, creare una nuova regola facendo clic su Crea regola di query pianificata > nella parte superiore della schermata.
Fare clic sulla scheda Imposta logica delle regole.
Nella sezione di arricchimento degli avvisi espandere Dettagli personalizzati.
Nella sezione Dettagli personalizzati ora espansa aggiungere coppie chiave-valore corrispondenti ai dettagli da visualizzare:
Nel campo Chiave immettere un nome che verrà visualizzato come nome del campo negli avvisi.
Nel campo Valore scegliere il parametro evento da visualizzare negli avvisi dall'elenco a discesa. Questo elenco verrà popolato da valori corrispondenti ai campi delle tabelle oggetto della query della regola.
Fare clic su Aggiungi nuovo per visualizzare altri dettagli, ripetendo gli ultimi passaggi per definire coppie chiave-valore.
Se si cambia idea o si è commesso un errore, è possibile rimuovere un dettaglio personalizzato facendo clic sull'icona del cestino accanto all'elenco a discesa Valore per tale dettaglio.
Al termine della definizione dei dettagli personalizzati, fare clic sulla scheda Rivedi e crea. Al termine della convalida della regola, fare clic su Salva.
Nota
Limiti del servizio
È possibile definire fino a 20 dettagli personalizzati in una singola regola di analisi. Ogni dettaglio personalizzato può contenere fino a 50 valori.
Il limite di dimensioni combinate per tutti i dettagli personalizzati e i relativi valori in un singolo avviso è di 2 KB. I valori in eccesso a questo limite vengono eliminati.
Passaggi successivi
In questo documento si è appreso come visualizzare i dettagli personalizzati negli avvisi usando le regole di analisi di Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Esplorare gli altri modi per arricchire gli avvisi:
- Ottenere l'immagine completa sulle regole di analisi delle query pianificate.
- Altre informazioni sulle entità in Microsoft Sentinel.