Azure Sentinel 事件中的动态标签

是的，可以根据事件的内容动态设置事件标签。

第一种方法是使用 Microsoft Sentinel 下的

Analytics

。转到 Analytics >> 单击

scheduled query rule

并在 KQL 中添加规则逻辑，如下所示。

参考博客以获取更多相关信息。

在这里，我添加了与

Azure Activity

相关的示例 KQL 查询，并且还在自动化规则设置下包含了标签。一旦触发查询条件，标签就会动态应用。

第二种方法是使用 Microsoft Sentinel 的

Automation

下提供的 Azure Sentinel playbook。

创建一个带有事件触发器的新剧本，并根据要求设置事件，如下所示。您可以在控制操作下添加条件来动态添加标签。

参考：博客用于在Sentinel工作区下构建分析规则。