Personnaliser les détails de l’alerte dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Cet article explique comment remplacer les propriétés par défaut des alertes par le contenu des résultats de la requête sous-jacente.

Dans le processus de création d’une règle d’analyse planifiée, dans la première étape, vous définissez un nom et une description pour la règle, et vous lui affectez une gravité et MITRE ATT&tactiques CK. Toutes les alertes générées par une règle donnée ( et tous les incidents créés en conséquence ) héritent du nom, de la description, de la gravité et des tactiques définies dans la règle, sans tenir compte du contenu particulier d’un instance spécifique de l’alerte.

Avec la fonctionnalité détails de l’alerte , vous pouvez remplacer ces propriétés et d’autres propriétés par défaut des alertes de deux manières :

  • Créez des noms et des descriptions de variables personnalisés pour vos alertes. Vous pouvez sélectionner des champs dans la sortie de requête de votre alerte dont le contenu peut être inclus dans le nom ou la description de chaque instance de l’alerte. Si le champ sélectionné n’a pas de valeur dans un instance donné, les détails de l’alerte pour cette instance rétabliront les valeurs par défaut spécifiées dans la première page de l’Assistant.

  • Personnalisez la gravité, les tactiques et les autres propriétés d’un instance donné d’une alerte (voir la liste complète des propriétés ci-dessous) avec les valeurs des champs pertinents de la sortie de la requête. Si les champs sélectionnés sont vides ou ont des valeurs qui ne correspondent pas au type de données de champ, les propriétés d’alerte respectives reviennent à leurs valeurs par défaut (pour les tactiques et la gravité, celles spécifiées dans la première page de l’Assistant).

Importante

Suivez la procédure détaillée ci-dessous pour utiliser la fonctionnalité détails de l’alerte. Ces étapes font partie de l’Assistant Création de règles d’analytique, mais elles sont traitées ici indépendamment pour traiter le scénario d’ajout ou de modification des détails d’alerte dans une règle d’analyse existante.

Comment personnaliser les détails de l’alerte

  1. Entrez la page Analytics dans le portail par le biais de laquelle vous accédez à Microsoft Sentinel :

    Dans la section Configuration du menu de navigation Microsoft Sentinel, sélectionnez Analytique.

  2. Sélectionnez une règle de requête planifiée, puis sélectionnez Modifier. Vous pouvez également créer une règle en sélectionnant Créer une > règle de requête planifiée en haut de l’écran.

  3. Sélectionnez l’onglet Définir la logique de règle .

  4. Dans la section Enrichissement des alertes , développez Détails de l’alerte.

    Personnaliser les détails de l’alerte

  5. Dans la section Détails de l’alerte maintenant développée, ajoutez du texte libre qui inclut des propriétés correspondant aux détails que vous souhaitez afficher dans l’alerte :

    1. Dans le champ Format du nom de l’alerte, entrez le texte que vous souhaitez afficher comme nom de l’alerte (le texte de l’alerte), puis incluez, entre deux accolades, tous les champs de sortie de requête que vous souhaitez inclure dans le texte de l’alerte.

      Exemple : Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. Faites de même avec le champ Format de description de l’alerte .

      Remarque

      Vous êtes actuellement limité à trois paramètres chacun dans les champs Format du nom de l’alerte et Format de description de l’alerte .

    3. Pour remplacer d’autres propriétés par défaut, sélectionnez une propriété d’alerte dans la liste déroulante Propriété d’alerte . Sélectionnez ensuite le champ dans les résultats de la requête, dont vous souhaitez remplir le contenu de la propriété d’alerte, dans la liste déroulante Valeur .

    4. Pour remplacer d’autres propriétés par défaut, sélectionnez + Ajouter nouveau et répétez l’étape précédente. Les propriétés suivantes peuvent être remplacées :

      Nom Description
      AlertName Chaîne. Prend uniquement en charge le texte brut.
      Description Chaîne. Prend en charge le texte brut uniquement si Microsoft Sentinel est intégré au portail Defender.
      AlertSeverity Une des valeurs suivantes :
      - Information
      - Faible
      - Medium
      - High
      Tactiques Une des valeurs suivantes :
      - Reconnaissance
      - ResourceDevelopment
      - InitialAccess
      - Exécution
      - Persistance
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - Découverte
      - Déplacement latéral
      - Collection
      - Exfiltration
      - CommandAndControl
      - Impact
      - PreAttack
      - ImpairProcessControl
      - InhibitResponseFunction
      Techniques (préversion) Chaîne qui correspond à l’expression régulière suivante : ^T(?<Digits>\d{4})$.
      Par exemple : T1234
      AlertLink (préversion) String
      ConfidenceLevel (préversion) Une des valeurs suivantes :
      - Faible
      - High
      - Inconnu
      ConfidenceScore (préversion) Entier, compris entre 0-et 1 (inclus)
      ExtendedLinks (préversion) String
      ProductComponentName (préversion)
      * Consultez les remarques d’avertissement qui suivent ce tableau      		 String
      ProductName (préversion)
      * Consultez les remarques d’avertissement qui suivent ce tableau      		 String
      ProviderName (préversion)
      * Consultez les remarques d’avertissement qui suivent ce tableau      		 String
      RemediationSteps (préversion) String

      Attention

      Si vous avez intégré Microsoft Sentinel au portail Microsoft Defender :

      • Ne personnalisez pas le champ ProductName pour les alertes provenant de sources Microsoft. Cela entraîne la suppression de ces alertes de Microsoft Defender XDR et la création d’aucun incident.

      • Les champs ProductComponentName et ProviderName ne peuvent plus être personnalisés.

      Si l’une de ces personnalisations existe déjà dans l’une de vos règles, supprimez les personnalisations pour maintenir la compatibilité et éviter les résultats inattendus.

    Si vous changez d’avis ou si vous avez commis une erreur, vous pouvez supprimer un détail d’alerte en cliquant sur l’icône de corbeille en regard de la paire Propriété/Valeur d’alerte , ou supprimer le texte libre des champs Nom/Description de l’alerte .

  6. Une fois que vous avez terminé de personnaliser les détails de votre alerte, si vous créez maintenant la règle, passez à l’onglet suivant de l’Assistant. Si vous modifiez une règle existante, sélectionnez l’onglet Vérifier et créer . Une fois la validation de la règle réussie, sélectionnez Enregistrer.

Limites de service

  • Vous pouvez remplacer un champ avec jusqu’à 50 valeurs dans une seule requête. Lorsque votre requête dépasse 50 valeurs personnalisées, toutes les valeurs personnalisées sont supprimées et, dans tous les résultats de la requête, le champ revient à sa valeur par défaut. Paramétrez votre requête pour qu’elle ne produise pas plus de 50 valeurs pour vous assurer qu’aucune valeur personnalisée n’est supprimée.
  • La limite de taille du AlertName champ et de toutes les autres propriétés hors collection est de 256 octets.
  • La limite de taille du Description champ et de toutes les autres propriétés de collection est de 5 Ko.
  • Les valeurs dépassant les limites de taille sont supprimées.

Étapes suivantes

Dans ce document, vous avez appris à personnaliser les détails des alertes dans Microsoft Sentinel règles d’analyse. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

  • Last updated on