Personalizzare i dettagli dell'avviso in Microsoft Sentinel

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Questo articolo illustra come eseguire l'override delle proprietà predefinite degli avvisi con il contenuto dei risultati della query sottostante.

Durante il processo di creazione di una regola di analisi pianificata, come primo passaggio si definiscono un nome e una descrizione per la regola e si assegna una gravità e MITRE ATT&tattiche CK. Tutti gli avvisi generati da una determinata regola e tutti gli eventi imprevisti creati di conseguenza ereditano il nome, la descrizione, la gravità e le tattiche definite nella regola, indipendentemente dal contenuto specifico di un'istanza specifica dell'avviso.

Con la funzionalità dettagli avviso , è possibile eseguire l'override di queste e altre proprietà predefinite degli avvisi in due modi:

  • Creare nomi e descrizioni di variabili personalizzati per gli avvisi. È possibile selezionare i campi nell'output della query dell'avviso il cui contenuto può essere incluso nel nome o nella descrizione di ogni istanza dell'avviso. Se il campo selezionato non include alcun valore in una determinata istanza, i dettagli dell'avviso per tale istanza verranno ripristinati ai valori predefiniti specificati nella prima pagina della procedura guidata.

  • Personalizzare la gravità, le tattiche e altre proprietà di una determinata istanza di un avviso (vedere l'elenco completo delle proprietà riportate di seguito) con i valori di tutti i campi pertinenti dell'output della query. Se i campi selezionati sono vuoti o hanno valori che non corrispondono al tipo di dati del campo, le rispettive proprietà di avviso torneranno alle impostazioni predefinite (per tattiche e gravità, quelle specificate nella prima pagina della procedura guidata).

Importante

Seguire la procedura descritta di seguito per usare la funzionalità dettagli avviso. Questi passaggi fanno parte della creazione guidata delle regole di analisi, ma vengono risolti in modo indipendente per risolvere lo scenario di aggiunta o modifica dei dettagli degli avvisi in una regola di analisi esistente.

Come personalizzare i dettagli dell'avviso

  1. Immettere la pagina Analisi nel portale tramite cui si accede Microsoft Sentinel:

    Nella sezione Configurazione del menu di spostamento Microsoft Sentinel selezionare Analisi.

  2. Selezionare una regola di query pianificata e selezionare Modifica. In alternativa, creare una nuova regola selezionando Crea > regola di query pianificata nella parte superiore della schermata.

  3. Selezionare la scheda Imposta logica regola .

  4. Nella sezione Arricchimento degli avvisi espandere Dettagli avviso.

    Personalizzare i dettagli dell'avviso

  5. Nella sezione Dettagli avviso ora espansa aggiungere testo libero che include le proprietà corrispondenti ai dettagli che si desidera visualizzare nell'avviso:

    1. Nel campo Formato nome avviso immettere il testo da visualizzare come nome dell'avviso (il testo dell'avviso) e includere, tra parentesi graffe doppie, tutti i campi di output della query che si desidera far parte del testo dell'avviso.

      Esempio: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. Eseguire la stessa operazione con il campo Formato descrizione avviso .

      Nota

      Attualmente sono limitati a tre parametri ognuno nei campi Formato nome avviso e Formato descrizione avviso .

    3. Per eseguire l'override di altre proprietà predefinite, selezionare una proprietà di avviso dall'elenco a discesa Proprietà avviso . Selezionare quindi il campo dai risultati della query, il cui contenuto si vuole popolare la proprietà alert, dall'elenco a discesa Valore .

    4. Per eseguire l'override di altre proprietà predefinite, selezionare + Aggiungi nuovo e ripetere il passaggio precedente. È possibile eseguire l'override delle proprietà seguenti:

      Nome Descrizione
      AlertName Stringa. Supporta solo testo normale.
      Descrizione Stringa. Supporta solo testo normale, se Microsoft Sentinel viene eseguito l'onboarding nel portale di Defender.
      AlertSeverity Uno dei valori seguenti:
      - Informativo
      - Basso
      - Medium
      - High
      Tattiche Uno dei valori seguenti:
      - Ricognizione
      - ResourceDevelopment
      - InitialAccess
      - Esecuzione
      - Persistenza
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - Scoperta
      - Spostamento laterale
      - Collezione
      - Esfiltrazione
      - CommandAndControl
      - Impatto
      - Preattacco
      - ImpairProcessControl
      - InhibitResponseFunction
      Tecniche (anteprima) Stringa che corrisponde all'espressione regolare seguente: ^T(?<Digits>\d{4})$.
      Ad esempio: T1234
      AlertLink (anteprima) Stringa
      ConfidenceLevel (anteprima) Uno dei valori seguenti:
      - Basso
      - High
      - Sconosciuto
      ConfidenceScore (anteprima) Intero, compreso tra 0-e 1 (inclusi)
      ExtendedLinks (anteprima) Stringa
      ProductComponentName (anteprima)
      * Vedere Note di cautela che seguono questa tabella      		 Stringa
      ProductName (anteprima)
      * Vedere Note di cautela che seguono questa tabella      		 Stringa
      ProviderName (anteprima)
      * Vedere Note di cautela che seguono questa tabella      		 Stringa
      RemediationSteps (anteprima) Stringa

      Attenzione

      Se è stato caricato Microsoft Sentinel nel portale di Microsoft Defender:

      • Non personalizzare il campo ProductName per gli avvisi provenienti da origini Microsoft. In questo modo, questi avvisi verranno eliminati da Microsoft Defender XDR e non verrà creato alcun evento imprevisto.

      • I campi ProductComponentName e ProviderName non sono più disponibili per la personalizzazione.

      Se una di queste personalizzazioni esiste già in una delle regole, rimuovere le personalizzazioni per mantenere la compatibilità ed evitare risultati imprevisti.

    Se si cambia idea o si è verificato un errore, è possibile rimuovere un dettaglio dell'avviso facendo clic sull'icona del cestino accanto alla coppia Proprietà avviso/Valore oppure eliminare il testo libero dai campi Nome avviso/Formato descrizione .

  6. Al termine della personalizzazione dei dettagli dell'avviso, se si sta creando la regola, passare alla scheda successiva della procedura guidata. Se si modifica una regola esistente, selezionare la scheda Rivedi e crea . Dopo aver completato la convalida della regola, selezionare Salva.

Limiti di servizio

  • È possibile eseguire l'override di un campo con un massimo di 50 valori in una singola query. Quando la query supera i 50 valori personalizzati, tutti i valori personalizzati vengono eliminati e in tutti i risultati della query il campo ripristina il valore predefinito. Ottimizzare la query in modo che non restituisca più di 50 valori per garantire che non vengano eliminati valori personalizzati.
  • Il limite di dimensioni per il AlertName campo e per qualsiasi altra proprietà non di raccolta è di 256 byte.
  • Il limite di dimensioni per il Description campo e qualsiasi altra proprietà della raccolta è 5 KB.
  • I valori che superano i limiti di dimensione vengono eliminati.

Passaggi successivi

In questo documento si è appreso come personalizzare i dettagli degli avvisi nelle regole di analisi Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

  • Last updated on