Anpassa aviseringsinformation i Microsoft Sentinel

Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Den här artikeln beskriver hur du åsidosätter standardegenskaperna för aviseringar med innehåll från de underliggande frågeresultaten.

När du skapar en schemalagd analysregel definierar du ett namn och en beskrivning för regeln som första steg, och du tilldelar den en allvarlighetsgrad och MITRE ATT&CK-taktik. Alla aviseringar som genereras av en viss regel – och alla incidenter som skapas som ett resultat – ärver namnet, beskrivningen, allvarlighetsgraden och taktiken som definieras i regeln, utan hänsyn till det specifika innehållet i en specifik instans av aviseringen.

Med funktionen aviseringsinformation kan du åsidosätta dessa och andra standardegenskaper för aviseringar på två sätt:

Skapa anpassade variabelnamn och beskrivningar för dina aviseringar. Du kan välja fält i aviseringens frågeutdata vars innehåll kan inkluderas i namnet eller beskrivningen för varje instans av aviseringen. Om det markerade fältet inte har något värde i en viss instans återgår aviseringsinformationen för den instansen till standardvärdena som anges på den första sidan i guiden.
Anpassa allvarlighetsgrad, taktik och andra egenskaper för en viss instans av en avisering (se den fullständiga listan med egenskaper nedan) med värdena för relevanta fält från frågeutdata. Om de markerade fälten är tomma eller har värden som inte matchar fältdatatypen återgår respektive aviseringsegenskaper till standardvärdena (för taktik och allvarlighetsgrad återgår de som anges på den första sidan i guiden).

Viktigt

Vissa aviseringsinformationens anpassningsmöjligheter (se de som anges nedan) är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen. Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinel är Azure Portal för ökad säkerhet).

Följ proceduren nedan för att använda aviseringsinformationsfunktionen. De här stegen är en del av guiden för att skapa analysregler, men de hanteras här oberoende av varandra för att hantera scenariot med att lägga till eller ändra aviseringsinformation i en befintlig analysregel.

Anpassa aviseringsinformation

Ange sidan Analys i portalen som du kommer åt Microsoft Sentinel:
- Azure Portal
- Defender-portalen
I avsnittet Konfiguration i navigeringsmenyn Microsoft Sentinel väljer du Analys.

Från navigeringsmenyn Microsoft Defender expanderar du Microsoft Sentinel och sedan Konfiguration. Välj Analys.
Välj en schemalagd frågeregel och välj Redigera. Eller skapa en ny regel genom att välja Skapa > schemalagd frågeregel överst på skärmen.
Välj fliken Ange regellogik .
I avsnittet Aviseringsberikning expanderar du Aviseringsinformation.

I det nu expanderade avsnittet Aviseringsinformation lägger du till fritext som innehåller egenskaper som motsvarar den information som du vill visa i aviseringen:

I fältet Format för aviseringsnamn anger du den text som du vill ska visas som namnet på aviseringen (aviseringstexten) och inkluderar, inom dubbla klammerparenteser, alla frågeutdatafält som du vill ska ingå i aviseringstexten.

Exempel: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.
Gör samma sak med fältet Format för aviseringsbeskrivning .

Obs!

Du är för närvarande begränsad till tre parametrar i fälten Format för aviseringsnamn och Format för aviseringsbeskrivning .
Om du vill åsidosätta andra standardegenskaper väljer du en aviseringsegenskap i listrutan Aviseringsegenskap . Välj sedan fältet från frågeresultatet, vars innehåll du vill fylla i aviseringsegenskapen i listrutan Värde .

Om du vill åsidosätta fler standardegenskaper väljer du + Lägg till ny och upprepar föregående steg. Följande egenskaper kan åsidosättas:

Namn	Beskrivning
AlertName	Sträng. Stöder endast oformaterad text.
Beskrivning	Sträng. Stöder endast oformaterad text om Microsoft Sentinel registreras i Defender-portalen.
AlertSeverity	Något av följande värden: - Informativt - Låg - Medium - Hög
Taktik	Något av följande värden: - Spaning - ResourceDevelopment - InitialAccess - Utförande - Uthållighet - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Upptäckten - LateralMovement - Samling - Exfiltrering - CommandAndControl - Effekt - PreAttack - ImpairProcessControl - InhibitResponseFunction
Tekniker (förhandsversion)	En sträng som matchar följande reguljära uttryck: `^T(?<Digits>\d{4})$`. Exempel: T1234
AlertLink (förhandsversion)	Sträng
ConfidenceLevel (förhandsversion)	Något av följande värden: - Låg - Hög - Okänd
ConfidenceScore (förhandsversion)	Heltal mellan 0-1 (inklusive)
ExtendedLinks (förhandsversion)	Sträng
ProductComponentName (förhandsversion) * Se Varningsanteckningar efter den här tabellen	Sträng
ProductName (förhandsversion) * Se Varningsanteckningar efter den här tabellen	Sträng
ProviderName (förhandsversion) * Se Varningsanteckningar efter den här tabellen	Sträng
RemediationSteps (förhandsversion)	Sträng

Försiktighet

Om du registrerade Microsoft Sentinel till Microsoft Defender-portalen:

Anpassa inte fältet ProductName för aviseringar från Microsoft-källor. Om du gör det tas aviseringarna bort från Microsoft Defender XDR och ingen incident skapas.
Fälten ProductComponentName och ProviderName är inte längre tillgängliga för anpassning.

Om någon av dessa anpassningar redan finns i någon av dina regler tar du bort anpassningarna för att upprätthålla kompatibiliteten och undvika oväntade resultat.

Om du ändrar dig, eller om du har gjort ett misstag, kan du ta bort en aviseringsinformation genom att klicka på papperskorgsikonen bredvid aviseringsegenskapen/värdeparet eller ta bort den fria texten från fälten Aviseringsnamn/Beskrivningsformat .

Om du nu skapar regeln fortsätter du till nästa flik i guiden när du är klar med att anpassa aviseringsinformationen. Om du redigerar en befintlig regel väljer du fliken Granska och skapa . När verifieringen av regeln har slutförts väljer du Spara.

Tjänstbegränsningar

Du kan åsidosätta ett fält med upp till 50 värden i en enda fråga. När frågan överskrider 50 anpassade värden tas alla anpassade värden bort och i alla frågeresultat återgår fältet till standardvärdet. Justera frågan så att den inte ger mer än 50 värden för att säkerställa att inga anpassade värden tas bort.
Storleksgränsen AlertName för fältet och andra icke-samlingsegenskaper är 256 byte.
Storleksgränsen för fältet Description och andra samlingsegenskaper är 5 kB.
Värden som överskrider storleksgränserna tas bort.

Nästa steg

I det här dokumentet har du lärt dig hur du anpassar aviseringsinformation i Microsoft Sentinel analysregler. Mer information om Microsoft Sentinel finns i följande artiklar:

Utforska de andra sätten att utöka dina aviseringar:
- Mappa datafält till entiteter i Microsoft Sentinel
- Visa anpassad händelseinformation i aviseringar i Microsoft Sentinel
Hämta hela bilden om schemalagda frågeanalysregler.
Läs mer om entiteter i Microsoft Sentinel.

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-23