Personalizar detalhes do alerta no Microsoft Sentinel

Este artigo explica como substituir as propriedades predefinidas dos alertas com conteúdo dos resultados da consulta subjacente.

No processo de criação de uma regra de análise agendada, como primeiro passo, define um nome e uma descrição para a regra e atribui-lhe uma gravidade e táticas MITRE ATT&CK. Todos os alertas gerados por uma determinada regra - e todos os incidentes criados como resultado - herdam o nome, a descrição, a gravidade e as táticas definidas na regra, sem considerar o conteúdo específico de uma instância específica do alerta.

Com a funcionalidade de detalhes do alerta , pode substituir estas e outras propriedades predefinidas de alertas de duas formas:

• Crie descrições e nomes de variáveis personalizados para os alertas. Pode selecionar campos na saída da consulta do alerta cujos conteúdos podem ser incluídos no nome ou descrição de cada instância do alerta. Se o campo selecionado não tiver nenhum valor numa determinada instância, os detalhes do alerta dessa instância reverter às predefinições especificadas na primeira página do assistente.

• Personalize a gravidade, as táticas e outras propriedades de uma determinada instância de um alerta (veja a lista completa de propriedades abaixo) com os valores de quaisquer campos relevantes do resultado da consulta. Se os campos selecionados estiverem vazios ou tiverem valores que não correspondam ao tipo de dados do campo, as respetivas propriedades de alerta reverter às respetivas predefinições (para táticas e gravidade, as especificadas na primeira página do assistente).

Siga o procedimento detalhado abaixo para utilizar a funcionalidade de detalhes do alerta. Estes passos fazem parte do assistente de criação de regras de análise, mas são abordados aqui de forma independente para abordar o cenário de adição ou alteração de detalhes de alerta numa regra de análise existente.

Como personalizar detalhes do alerta

1. Introduza a página Análise no portal através da qual acede Microsoft Sentinel:

   • Portal do Azure
   • Portal do Defender

   Na secção Configuração do menu de navegação Microsoft Sentinel, selecione Análise.

2. Selecione uma regra de consulta agendada e selecione Editar. Em alternativa, crie uma nova regra ao selecionar Criar > regra de consulta Agendada na parte superior do ecrã.

3. Selecione o separador Definir lógica de regra .

4. Na secção Melhoramento de alertas , expanda Detalhes do alerta.

   

5. Na secção Detalhes do alerta agora expandida, adicione texto livre que inclua propriedades correspondentes aos detalhes que pretende apresentar no alerta:

   1. No campo Formato do Nome do Alerta , introduza o texto que pretende que seja apresentado como o nome do alerta (o texto do alerta) e inclua, entre parênteses duplos, quaisquer campos de saída de consulta que pretenda fazer parte do texto do alerta.

      Exemplo: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Faça o mesmo com o campo Formato da Descrição do Alerta .

      Observação

      Atualmente, está limitado a três parâmetros cada um nos camposFormato do Nome do Alerta e Formato de Descrição do Alerta .

   3. Para substituir outras propriedades predefinidas, selecione uma propriedade de alerta na lista pendente Propriedade de alerta. Em seguida, selecione o campo nos resultados da consulta, cujos conteúdos pretende preencher a propriedade do alerta, na lista pendente Valor .

   4. Para substituir mais propriedades predefinidas, selecione + Adicionar novo e repita o passo anterior. As seguintes propriedades podem ser substituídas:

      Nome	Descrição
      AlertName	Cadeia de caracteres. Suporta apenas texto simples.
      Descrição	Cadeia de caracteres. Suporta apenas texto simples, se Microsoft Sentinel estiver integrado no portal do Defender.
      AlertSeverity	Um dos seguintes valores: - Informativo - Baixo - Medium - High
      Táticas	Um dos seguintes valores: - Reconhecimento - ResourceDevelopment - InitialAccess - Execução - Persistência - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Deteção - LateralMovement - Coleção - Exfiltração - CommandAndControl - Impacto - Pré-ataque - ImpairProcessControl - InhibitResponseFunction
      Técnicas (Pré-visualização)	Uma cadeia que corresponde à seguinte expressão regular: ^T(?<Digits>\d{4})$. Por exemplo: T1234
      AlertLink (Pré-visualização)	Cadeia de caracteres
      Nível de Confiança (Pré-visualização)	Um dos seguintes valores: - Baixo - High - Desconhecido
      ConfidenceScore (Pré-visualização)	Número inteiro, entre 0-1 (inclusive)
      ExtendedLinks (Pré-visualização)	Cadeia de caracteres
      ProductComponentName (Pré-visualização) * Consulte Notas de atenção a seguir a esta tabela	Cadeia de caracteres
      ProductName (Pré-visualização) * Consulte Notas de atenção a seguir a esta tabela	Cadeia de caracteres
      ProviderName (Pré-visualização) * Consulte Notas de atenção a seguir a esta tabela	Cadeia de caracteres
      RemediationSteps (Pré-visualização)	Cadeia de caracteres

      Cuidado

      Se tiver integrado Microsoft Sentinel no portal do Microsoft Defender:

      • Não personalize o campo ProductName para alertas de origens da Microsoft. Ao fazê-lo, estes alertas serão removidos do Microsoft Defender XDR e não serão criados incidentes.

      • Os campos ProductComponentName e ProviderName já não estão disponíveis para serem personalizados.

      Se alguma destas personalizações já existir em qualquer uma das suas regras, remova as personalizações para manter a compatibilidade e evitar resultados inesperados.

   Se mudar de ideias ou se cometer um erro, pode remover um detalhe do alerta ao clicar no ícone do caixote do lixo junto à propriedade Alert/Par valor ou eliminar o texto livre dos campos Nome do Alerta/Formato de Descrição .

6. Quando terminar de personalizar os detalhes do alerta, se estiver agora a criar a regra, avance para o separador seguinte no assistente. Se estiver a editar uma regra existente, selecione o separador Rever e criar . Assim que a validação da regra for concluída com êxito, selecione Guardar.

Limites de serviço

• Pode substituir um campo com até 50 valores numa única consulta. Quando a consulta excede os 50 valores personalizados, todos os valores personalizados são removidos e, em todos os resultados da consulta, o campo reverte para o valor predefinido. Ajuste a consulta para não produzir mais de 50 valores para garantir que não são removidos valores personalizados.
• O limite de tamanho do AlertName campo e de quaisquer outras propriedades que não são de coleção é de 256 bytes.
• O limite de tamanho para o Description campo e quaisquer outras propriedades da coleção é de 5 KB.
• Os valores que excedam os limites de tamanho são ignorados.

Próximas etapas

Neste documento, aprendeu a personalizar os detalhes dos alertas nas regras de análise Microsoft Sentinel. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:

• Explore as outras formas de enriquecer os alertas:
  • Mapear campos de dados para entidades no Microsoft Sentinel
  • Detalhes de eventos personalizados do Surface em alertas no Microsoft Sentinel
• Obtenha a imagem completa sobre as regras de análise de consultas agendadas.
• Saiba mais sobre as entidades no Microsoft Sentinel.