Personalizzare i dettagli degli avvisi in Microsoft Sentinel
Questo articolo illustra come eseguire l'override delle proprietà predefinite degli avvisi con contenuto dai risultati della query sottostante.
Nel processo di creazione di una regola di analisi pianificata, come primo passaggio si definisce un nome e una descrizione per la regola e si assegna una gravità e tattiche MITRE ATT&CK. Tutti gli avvisi generati da una determinata regola e tutti gli eventi imprevisti creati di conseguenza erediteranno il nome, la descrizione, la gravità e le tattiche definite nella regola, senza considerare il contenuto specifico di un'istanza specifica dell'avviso.
Con la funzionalità dettagli avviso, è possibile eseguire l'override di queste e altre proprietà predefinite degli avvisi in due modi:
Creare nomi personalizzati, variabili e descrizioni per gli avvisi. È possibile selezionare i campi nell'output della query dell'avviso il cui contenuto può essere incluso nel nome o nella descrizione di ogni istanza dell'avviso. Se il campo selezionato non ha alcun valore in una determinata istanza, i dettagli dell'avviso per tale istanza verranno ripristinati i valori predefiniti specificati nella prima pagina della procedura guidata.
Personalizzare la gravità, le tattiche e altre proprietà di una determinata istanza di un avviso (vedere l'elenco completo delle proprietà seguenti) con i valori di tutti i campi pertinenti dall'output della query. Se i campi selezionati sono vuoti o hanno valori che non corrispondono al tipo di dati del campo, le rispettive proprietà di avviso verranno ripristinate le impostazioni predefinite (per tattiche e gravità, quelle specificate nella prima pagina della procedura guidata).
Importante
- La personalizzazione di alcuni dettagli dell'avviso (vedere quelle indicate di seguito) è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
- Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Seguire la procedura descritta di seguito per usare la funzionalità dei dettagli dell'avviso. Questi passaggi fanno parte della creazione guidata delle regole di analisi, ma vengono risolti in modo indipendente per affrontare lo scenario di aggiunta o modifica dei dettagli degli avvisi in una regola di analisi esistente.
Come personalizzare i dettagli degli avvisi
Immettere la pagina Analisi nel portale tramite cui si accede a Microsoft Sentinel:
Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analytics.
Selezionare una regola di query pianificata e selezionare Modifica. In alternativa, creare una nuova regola selezionando Crea regola di query pianificata > nella parte superiore della schermata.
Selezionare la scheda Imposta logica delle regole.
Nella sezione di arricchimento degli avvisi espandere Dettagli avviso.
Nella sezione Dettagli avviso ora espansa aggiungere testo libero che include proprietà corrispondenti ai dettagli da visualizzare nell'avviso:
Nel campo formato nome avviso immettere il testo che si desidera visualizzare come nome dell'avviso (il testo dell'avviso) e includere, tra parentesi graffe, tutti i campi di output delle query che si desidera far parte del testo dell'avviso.
Esempio:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.Eseguire la stessa operazione con il campo formato descrizione avviso.
Nota
Attualmente è possibile tre parametri ciascuno nel Formato nome avviso e Formato descrizione avviso.
Per eseguire l'override di altre proprietà predefinite, selezionare una proprietà di avviso dall'elenco a discesa proprietà avviso. Selezionare quindi il campo dai risultati della query, il cui contenuto si desidera popolare la proprietà di avviso, dall'elenco a discesa Valore.
Per eseguire l'override di altre proprietà predefinite, selezionare + Aggiungi nuovo e ripetere il passaggio precedente. È possibile eseguire l'override delle proprietà seguenti:
Nome Descrizione AlertName String Descrizione Stringa AlertSeverity Uno dei valori seguenti:
- Informativo
- Basso
- Medium
- AltoTattiche Uno dei valori seguenti:
- Ricognizione
- ResourceDevelopment
- Accesso iniziale
- Esecuzione
- Persistenza
- Escalation dei privilegi
- Evasione delle difese
- Accesso alle credenziali
- Individuazione
- Spostamento laterale
- Raccolta
- Esfiltrazione
- Comando e controllo
- Impatto
- Pre-attacco
- ImpairProcessControl
- InhibitResponseFunctionTecniche (anteprima) Stringa che corrisponde all'espressione regolare seguente: ^T(?<Digits>\d{4})$.
Ad esempio: T1234AlertLink (anteprima) String ConfidenceLevel (anteprima) Uno dei valori seguenti:
- Basso
- Alto
- UnknownConfidenceScore (anteprima) Numero intero compreso tra 0-1 (inclusi) ExtendedLinks (anteprima) String ProductComponentName (anteprima) String ProductName (anteprima)
*Vedere la nota che segue questa tabellaString ProviderName (anteprima) String RemediationSteps (anteprima) String Nota
Se è stato eseguito l'onboarding di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, non personalizzare il campo ProductName per gli avvisi provenienti da origini Microsoft. In questo modo questi avvisi verranno eliminati da Microsoft Defender XDR e non verranno creati eventi imprevisti.
Se si cambia idea o si è commesso un errore, è possibile rimuovere un dettaglio dell'avviso facendo clic sull'icona del cestino accanto alla coppia proprietà Avviso/Valore oppure eliminare il testo libero dai campi Formato nome avviso/descrizione.
Dopo aver completato la personalizzazione dei dettagli dell'avviso, se si sta creando la regola, continuare con la scheda successiva della procedura guidata. Se si modifica una regola esistente, selezionare la scheda Rivedi e crea. Al termine della convalida della regola, selezionare Salva.
Limiti del servizio
- È possibile eseguire l'override di un campo con un massimo di 50 valori in una singola query. Quando la query supera i 50 valori personalizzati, tutti i valori personalizzati vengono eliminati e in tutti i risultati della query il campo torna al valore predefinito. Ottimizzare la query per restituire non più di 50 valori per assicurarsi che non vengano eliminati valori personalizzati.
- Il limite di dimensioni per il
AlertNamecampo e qualsiasi altra proprietà non raccolta è di 256 byte. - Il limite di dimensioni per il
Descriptioncampo e qualsiasi altra proprietà della raccolta è di 5 KB. - I valori che superano i limiti di dimensione vengono eliminati.
Passaggi successivi
In questo documento si è appreso come personalizzare i dettagli degli avvisi nelle regole di analisi di Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Esplorare gli altri modi per arricchire gli avvisi:
- Ottenere l'immagine completa sulle regole di analisi delle query pianificate.
- Altre informazioni sulle entità in Microsoft Sentinel.