Waarschuwingsdetails aanpassen in Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In dit artikel wordt uitgelegd hoe u de standaardeigenschappen van waarschuwingen overschrijft met inhoud uit de onderliggende queryresultaten.

Tijdens het maken van een geplande analyseregel definieert u als eerste stap een naam en beschrijving voor de regel en wijst u deze een ernst en MITRE ATT toe&CK-tactieken. Alle waarschuwingen die worden gegenereerd door een bepaalde regel en alle incidenten die als gevolg hiervan zijn gemaakt, nemen de naam, beschrijving, ernst en tactieken over die in de regel zijn gedefinieerd, zonder rekening te houden met de specifieke inhoud van een specifiek exemplaar van de waarschuwing.

Met de functie waarschuwingsdetails kunt u deze en andere standaardeigenschappen van waarschuwingen op twee manieren overschrijven:

  • Maak aangepaste namen en beschrijvingen van variabelen voor uw waarschuwingen. U kunt velden selecteren in de queryuitvoer van uw waarschuwing waarvan de inhoud kan worden opgenomen in de naam of beschrijving van elk exemplaar van de waarschuwing. Als het geselecteerde veld geen waarde heeft in een bepaald exemplaar, worden de waarschuwingsdetails voor dat exemplaar teruggezet naar de standaardwaarden die zijn opgegeven op de eerste pagina van de wizard.

  • Pas de ernst, tactieken en andere eigenschappen van een bepaald exemplaar van een waarschuwing aan (zie de volledige lijst met eigenschappen hieronder) met de waarden van relevante velden uit de query-uitvoer. Als de geselecteerde velden leeg zijn of waarden hebben die niet overeenkomen met het gegevenstype van het veld, worden de bijbehorende waarschuwingseigenschappen teruggezet naar hun standaardwaarden (voor tactieken en ernst, die zijn opgegeven op de eerste pagina van de wizard).

Belangrijk

Volg de onderstaande procedure om de functie voor waarschuwingsgegevens te gebruiken. Deze stappen maken deel uit van de wizard Voor het maken van analyseregels, maar ze worden hier afzonderlijk behandeld om het scenario van het toevoegen of wijzigen van waarschuwingsdetails in een bestaande analyseregel aan te pakken.

Waarschuwingsdetails aanpassen

  1. Voer de pagina Analyse in de portal in via welke u toegang hebt tot Microsoft Sentinel:

    Selecteer in de sectie Configuratie van het navigatiemenu Microsoft Sentinel de optie Analyse.

  2. Selecteer een geplande queryregel en selecteer Bewerken. U kunt ook een nieuwe regel maken door Boven aan het scherm Geplande queryregel maken > te selecteren.

  3. Selecteer het tabblad Regellogica instellen .

  4. Vouw in de sectie Waarschuwingsverrijkingwaarschuwingsdetails uit.

    Waarschuwingsdetails aanpassen

  5. Voeg in de nu uitgevouwen sectie Waarschuwingsdetails vrije tekst toe die eigenschappen bevat die overeenkomen met de details die u in de waarschuwing wilt weergeven:

    1. Voer in het veld Indeling van waarschuwingsnaam de tekst in die u wilt weergeven als de naam van de waarschuwing (de waarschuwingstekst) en neem, tussen dubbele accolades, de queryuitvoervelden op die u wilt opnemen in de waarschuwingstekst.

      Voorbeeld: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. Doe hetzelfde met het veld Indeling van waarschuwingsbeschrijving .

      Opmerking

      U bent momenteel beperkt tot drie parameters in de velden Indeling waarschuwingsnaam en Waarschuwingsbeschrijvingsindeling .

    3. Als u andere standaardeigenschappen wilt overschrijven, selecteert u een waarschuwingseigenschap in de vervolgkeuzelijst Waarschuwingseigenschap . Selecteer vervolgens het veld in de queryresultaten, waarvan u de inhoud wilt invullen van de waarschuwingseigenschap, in de vervolgkeuzelijst Waarde .

    4. Als u meer standaardeigenschappen wilt overschrijven, selecteert u + Nieuwe toevoegen en herhaalt u de vorige stap. De volgende eigenschappen kunnen worden overschreven:

      Naam Beschrijving
      AlertName Tekenreeks. Ondersteunt alleen tekst zonder opmaak.
      Beschrijving Tekenreeks. Ondersteunt alleen tekst zonder opmaak, als Microsoft Sentinel is onboarding naar de Defender-portal.
      WaarschuwingenSeverity Een van de volgende waarden:
      - Informatieve
      - Lage
      - Medium
      - Hoge
      Tactiek Een van de volgende waarden:
      - Reconnaissance
      - ResourceDevelopment
      - InitialAccess
      - Uitvoering
      - Persistentie
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - Ontdekking
      - LateralMovement
      - Collectie
      - Exfiltratie
      - CommandAndControl
      - Impact
      - PreAttack
      - ImpairProcessControl
      - InhibitResponseFunction
      Technieken (preview) Een tekenreeks die overeenkomt met de volgende reguliere expressie: ^T(?<Digits>\d{4})$.
      Bijvoorbeeld: T1234
      AlertLink (preview) Tekenreeks
      ConfidenceLevel (preview) Een van de volgende waarden:
      - Lage
      - Hoge
      - Onbekende
      ConfidenceScore (preview) Geheel getal, tussen 0-1 (inclusief)
      ExtendedLinks (preview) Tekenreeks
      ProductComponentName (preview)
      * Zie Waarschuwingsopmerkingen na deze tabel      		 Tekenreeks
      ProductName (preview)
      * Zie Waarschuwingsopmerkingen na deze tabel      		 Tekenreeks
      ProviderName (preview)
      * Zie Waarschuwingsopmerkingen na deze tabel      		 Tekenreeks
      RemediationSteps (preview) Tekenreeks

      Voorzichtigheid

      Als u Microsoft Sentinel hebt voorbereid op de Microsoft Defender-portal:

      • Pas het veld ProductNameniet aan voor waarschuwingen van Microsoft-bronnen. Als u dit doet, worden deze waarschuwingen verwijderd uit Microsoft Defender XDR en wordt er geen incident gemaakt.

      • De velden ProductComponentName en ProviderName kunnen niet meer worden aangepast.

      Als een van deze aanpassingen al bestaat in een van uw regels, verwijdert u de aanpassingen om de compatibiliteit te behouden en onverwachte resultaten te voorkomen.

    Als u van gedachten verandert of als u een fout hebt gemaakt, kunt u een waarschuwingsdetail verwijderen door op het prullenbakpictogram naast het paar waarschuwingseigenschap/waarde te klikken of de vrije tekst uit de velden Waarschuwingsnaam/Beschrijvingsindeling te verwijderen.

  6. Wanneer u klaar bent met het aanpassen van de waarschuwingsgegevens en u nu de regel maakt, gaat u verder naar het volgende tabblad in de wizard. Als u een bestaande regel bewerkt, selecteert u het tabblad Controleren en maken . Zodra de regelvalidatie is geslaagd, selecteert u Opslaan.

Servicelimieten

  • U kunt een veld met maximaal 50 waarden in één query overschrijven. Wanneer uw query meer dan 50 aangepaste waarden bevat, worden alle aangepaste waarden verwijderd en wordt in alle queryresultaten het veld teruggezet naar de standaardwaarde. Stem uw query af op maximaal 50 waarden om ervoor te zorgen dat er geen aangepaste waarden worden verwijderd.
  • De groottelimiet voor het AlertName veld en andere niet-verzamelingseigenschappen is 256 bytes.
  • De groottelimiet voor het Description veld en eventuele andere verzamelingseigenschappen is 5 kB.
  • Waarden die de groottelimieten overschrijden, worden verwijderd.

Volgende stappen

In dit document hebt u geleerd hoe u waarschuwingsdetails kunt aanpassen in Microsoft Sentinel analyseregels. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

  • Last updated on