Alerta de Microsoft Defender for Cloud
Microsoft Defender for Cloud es un sistema unificado de administración de seguridad de infraestructura que refuerza la posición de seguridad de los centros de datos y proporciona protección contra amenazas avanzada en las cargas de trabajo híbridas de la nube, tanto si están en Azure como en el entorno local.
Este conector está disponible en los siguientes productos y regiones:
| Service | Class | Regions |
|---|---|---|
| Aplicaciones lógicas | Estándar | Todas las regiones de Logic Apps excepto las siguientes: - Departamento de Defensa de EE. UU. (DoD) |
| Contacto | |
|---|---|
| Nombre | Microsoft |
| URL |
Compatibilidad con Microsoft LogicApps |
| Metadatos del conector | |
|---|---|
| Publicador | Microsoft |
| Aprende más> | https://docs.microsoft.com/connectors/ascalert |
| Sitio web | https://azure.microsoft.com/services/security-center/ |
Limitaciones
| Nombre | Llamadas | Período de renovación |
|---|---|---|
| Llamadas API por conexión | 100 | 60 segundos |
Desencadenadores
| Cuando se crea o desencadena una alerta de Microsoft Defender for Cloud |
Se desencadena cuando se crea una alerta en Microsoft Defender for Cloud y coincide con los criterios de evaluación configurados en una automatización o cuando se ejecuta manualmente en una alerta específica. Nota: La ejecución automatizada de este desencadenador requiere habilitar la automatización en Microsoft Defender for Cloud y habilitar un plan de protección de cargas de trabajo como paso preliminar. Para ello, visite Microsoft Defender for Cloud. |
Cuando se crea o desencadena una alerta de Microsoft Defender for Cloud
Se desencadena cuando se crea una alerta en Microsoft Defender for Cloud y coincide con los criterios de evaluación configurados en una automatización o cuando se ejecuta manualmente en una alerta específica. Nota: La ejecución automatizada de este desencadenador requiere habilitar la automatización en Microsoft Defender for Cloud y habilitar un plan de protección de cargas de trabajo como paso preliminar. Para ello, visite Microsoft Defender for Cloud.
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Uri de alerta
|
AlertUri | string |
Vínculo directo para ver la alerta con todos sus detalles en Microsoft Defender for Cloud en Azure Portal. |
|
Nombre para mostrar de alerta
|
AlertDisplayName | string |
El nombre para mostrar de la alerta, este valor se muestra a los usuarios as-is o con parámetros adicionales. (para obtener ejemplos sobre el formato de los marcadores de posición, consulte la sección Notas). Se recomienda no colocar los titulares en el campo AlertDisplayName y tener el mismo valor para todas las alertas que comparten el mismo valor AlertType, ya que las alertas se pueden agregar según el campo AlertType y se muestran a los usuarios finales como tal. |
|
AlertType
|
AlertType | string |
Nombre del tipo de alerta. Las alertas del mismo tipo deben tener el mismo nombre. Este campo es una cadena con clave que representa la categoría o el tipo de la alerta y no de una instancia de alerta. Todas las instancias de alerta de la misma lógica o análisis de detección deben compartir el mismo valor para el tipo de alerta. |
|
Entidad en peligro
|
CompromisedEntity | string |
Nombre mostrado de la entidad principal sobre la que se informa. Este campo se presenta al usuario AS-IS y no es necesario que se ajuste a ningún formato. Podría contener equipos, direcciones IP, máquinas virtuales o cualquier cosa que el proveedor de alertas decida presentar. |
|
Description
|
Description | string |
Descripción de las alertas, puede tener marcadores de posición de parámetros (para obtener ejemplos de formato de marcadores de posición, vea la sección Notas) |
|
Hora de finalización (UTC)
|
EndTimeUtc | date-time |
La hora de finalización del impacto de la alerta (la hora del último evento que contribuye a la alerta). |
|
Intento
|
Intent | string |
Campo opcional que especifica la intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de valores admitidos, se encuentra en la sección Kill Chain Intent enumeration (Enumeración Kill Chain Intent). Se pueden seleccionar varios valores en este campo. El formato JSON de este campo debe serializar los valores de enumeración como cadenas. Varios valores deben estar separados por comas, por ejemplo, sondeo, explotación. |
|
Nombre del producto
|
ProductName | string |
Nombre del producto que publicó esta alerta, es decir, ASC, WDATP, MCAS. |
|
Severity
|
Severity | string |
Gravedad de la alerta tal como lo notifica el proveedor. Valores posibles: Informativo (a.k.a silent), Low, Medium, High |
|
Hora de inicio (UTC)
|
StartTimeUtc | date-time |
La hora de inicio del impacto de la alerta (la hora del primer evento que contribuye a la alerta). |
|
Identificador de alerta del sistema
|
SystemAlertId | string |
Contiene el identificador de producto de la alerta del producto. Este es el identificador de alerta que normalmente también está disponible externamente para consultar las alertas por parte de los clientes o sistemas externos. El publicador de alertas que son internos de un producto debe usar el campo ProviderAlertId para notificar cualquier identificador que se use en un ámbito de un único producto. |
|
Hora generada (UTC)
|
TimeGenerated | date-time |
Hora en que se generó la alerta. Esta vez debe contener la hora que generó el proveedor de alertas, si falta el sistema le asignará la hora a la que se recibió para su procesamiento. |
|
Nombre del proveedor
|
VendorName | string |
El nombre del proveedor que genera la alerta, este valor se muestra a los usuarios tal como está, es decir, Microsoft o Deep Security Agent o Microsoft Antimalware, etc. |
|
Entities
|
Entities | array of object |
Lista de entidades relacionadas con la alerta. Esta lista puede contener una mezcla de entidades de diversos tipos. El tipo de entidades puede ser cualquiera de los tipos definidos en la sección Entitiessection. Las entidades que no están en la lista siguiente también se pueden enviar, pero no garantizamos que se procesen (sin embargo, la alerta no producirá un error de validación). No se puede establecer en NULL (se establecerá en enumerable vacío en su lugar). |
|
Vínculos extendidos
|
ExtendedLinks | array of object |
Contenedor para todos los vínculos relacionados con la alerta. Esta bolsa puede contener una mezcla de vínculos para diversos tipos. Los vínculos que no están en la lista siguiente también se pueden enviar, pero no garantizamos que se procesen (sin embargo, la alerta no producirá un error de validación). No se puede establecer en null (se establecerá en enumerable vacío en su lugar) |
|
Pasos de corrección
|
RemediationSteps | array of string |
Elementos de acción manuales que se van a realizar para corregir la alerta. Es posible que tenga marcadores de posición de parámetros. (para obtener ejemplos sobre el formato de los marcadores de posición, consulte la sección Notas). |
|
Identificadores de recursos
|
ResourceIdentifiers | array of object |
Identificadores de recursos de esta alerta que se pueden usar para dirigir la alerta al grupo de exposición de productos adecuado (área de trabajo, suscripción, etc.). Puede haber varios identificadores de tipo diferente por alerta. Consulte Identificadores de recursos para obtener más información. |