Personalización de los detalles de la alerta en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En este artículo se explica cómo invalidar las propiedades predeterminadas de las alertas con contenido de los resultados de la consulta subyacentes.

En el proceso de creación de una regla de análisis programado, como primer paso se define un nombre y una descripción para la regla, y se le asigna una gravedad y tácticas de ATT de MITRE&CK. Todas las alertas generadas por una regla determinada (y todos los incidentes creados como resultado) heredarán el nombre, la descripción, la gravedad y las tácticas definidas en la regla, sin tener en cuenta el contenido concreto de una instancia específica de la alerta.

Con la característica de detalles de alerta , puede invalidar estas y otras propiedades predeterminadas de alertas de dos maneras:

  • Cree nombres y descripciones personalizados de variables para las alertas. Puede seleccionar campos en la salida de consulta de la alerta cuyo contenido se puede incluir en el nombre o la descripción de cada instancia de la alerta. Si el campo seleccionado no tiene ningún valor en una instancia determinada, los detalles de la alerta de esa instancia se revertirán a los valores predeterminados especificados en la primera página del asistente.

  • Personalice la gravedad, las tácticas y otras propiedades de una instancia determinada de una alerta (consulte la lista completa de propiedades a continuación) con los valores de los campos pertinentes de la salida de la consulta. Si los campos seleccionados están vacíos o tienen valores que no coinciden con el tipo de datos de campo, las propiedades de alerta correspondientes volverán a sus valores predeterminados (para tácticas y gravedad, los especificados en la primera página del asistente).

Importante

Siga el procedimiento que se detalla a continuación para usar la característica de detalles de alerta. Estos pasos forman parte del Asistente para la creación de reglas de análisis, pero se abordan aquí de forma independiente para abordar el escenario de agregar o cambiar los detalles de las alertas en una regla de análisis existente.

Personalización de los detalles de las alertas

  1. Escriba la página Análisis en el portal a través del cual accede a Microsoft Sentinel:

    En la sección Configuración del menú de navegación Microsoft Sentinel, seleccione Análisis.

  2. Seleccione una regla de consulta programada y seleccione Editar. O bien, cree una nueva regla seleccionando Crear > regla de consulta programada en la parte superior de la pantalla.

  3. Seleccione la pestaña Establecer lógica de regla .

  4. En la sección Enriquecimiento de alertas , expanda Detalles de alerta.

    Personalización de los detalles de la alerta

  5. En la sección Detalles de la alerta ahora expandida, agregue texto libre que incluya las propiedades correspondientes a los detalles que desea mostrar en la alerta:

    1. En el campo Formato de nombre de alerta, escriba el texto que desea que aparezca como nombre de la alerta (el texto de la alerta) e incluya, entre corchetes dobles, los campos de salida de consulta que quiera formar parte del texto de la alerta.

      Ejemplo: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. Haga lo mismo con el campo Formato de descripción de alerta .

      Nota:

      Actualmente está limitado a tres parámetros cada uno en los campos Formato de nombre de alerta y Formato de descripción de alerta .

    3. Para invalidar otras propiedades predeterminadas, seleccione una propiedad de alerta en la lista desplegable Propiedad de alerta . A continuación, seleccione el campo de los resultados de la consulta, cuyo contenido desea rellenar la propiedad de alerta, en la lista desplegable Valor .

    4. Para invalidar más propiedades predeterminadas, seleccione + Agregar nuevo y repita el paso anterior. Se pueden invalidar las siguientes propiedades:

      Nombre Descripción
      AlertName Cadena. Solo admite texto sin formato.
      Descripción Cadena. Solo admite texto sin formato, si Microsoft Sentinel se incorpora al portal de Defender.
      AlertSeverity Uno de los siguientes valores:
      - Informativo
      - Bajo
      - Medium
      - High
      Tácticas Uno de los siguientes valores:
      - Reconocimiento
      - ResourceDevelopment
      - InitialAccess
      - Ejecución
      - Persistencia
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - Detección
      - Movimiento lateral
      - Colección
      - Filtración
      - CommandAndControl
      - Impacto
      - PreAttack
      - ImpairProcessControl
      - InhibitResponseFunction
      Técnicas (versión preliminar) Cadena que coincide con la siguiente expresión regular: ^T(?<Digits>\d{4})$.
      Por ejemplo: T1234
      AlertLink (versión preliminar) Cadena
      ConfidenceLevel (versión preliminar) Uno de los siguientes valores:
      - Bajo
      - High
      - Desconocido
      ConfidenceScore (versión preliminar) Entero, entre 0-y 1 (ambos incluidos)
      ExtendedLinks (versión preliminar) Cadena
      ProductComponentName (versión preliminar)
      * Consulte las notas de precaución siguientes a esta tabla      		 Cadena
      ProductName (versión preliminar)
      * Consulte las notas de precaución siguientes a esta tabla      		 Cadena
      ProviderName (versión preliminar)
      * Consulte las notas de precaución siguientes a esta tabla      		 Cadena
      RemediationSteps (versión preliminar) Cadena

      Precaución

      Si ha incorporado Microsoft Sentinel al portal de Microsoft Defender:

      • No personalice el campo ProductName para las alertas de orígenes de Microsoft. Si lo hace, estas alertas se quitarán de Microsoft Defender XDR y no se creará ningún incidente.

      • Los campos ProductComponentName y ProviderName ya no están disponibles para personalizarse.

      Si alguna de estas personalizaciones ya existe en cualquiera de las reglas, quite las personalizaciones para mantener la compatibilidad y evitar resultados inesperados.

    Si cambia de opinión, o si ha cometido un error, puede quitar un detalle de alerta haciendo clic en el icono de la papelera junto al par De propiedades de alerta/Valor , o eliminar el texto libre de los campos Nombre de alerta/Formato de descripción .

  6. Cuando haya terminado de personalizar los detalles de la alerta, si ahora está creando la regla, continúe con la siguiente pestaña del asistente. Si va a editar una regla existente, seleccione la pestaña Revisar y crear . Una vez que la validación de la regla se realice correctamente, seleccione Guardar.

Límites del servicio

  • Puede invalidar un campo con hasta 50 valores en una sola consulta. Cuando la consulta supera los 50 valores personalizados, se quitan todos los valores personalizados y, en todos los resultados de la consulta, el campo se revierte a su valor predeterminado. Ajuste la consulta para que no genere más de 50 valores para asegurarse de que no se quitan valores personalizados.
  • El límite de tamaño para el AlertName campo y cualquier otra propiedad que no sea de colección es de 256 bytes.
  • El límite de tamaño para el Description campo y cualquier otra propiedad de colección es de 5 KB.
  • Se quitan los valores que superan los límites de tamaño.

Pasos siguientes

En este documento, ha aprendido a personalizar los detalles de las alertas en Microsoft Sentinel reglas de análisis. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:

  • Last updated on