Udostępnij przez

Dokumentacja schematu alertów zabezpieczeń usługi Microsoft Sentinel

Reguły analizy usługi Microsoft Sentinel tworzą zdarzenia w wyniku alertów zabezpieczeń. Alerty zabezpieczeń mogą pochodzić z różnych źródeł i odpowiednio używać różnych rodzajów reguł analizy do tworzenia zdarzeń:

  • Reguły zaplanowanej analizy generują alerty w wyniku regularnych zapytań dotyczących danych w dziennikach pozyskanych ze źródeł zewnętrznych, a te same reguły tworzą zdarzenia z tych alertów. (Na potrzeby tego dokumentu alerty reguły "zaplanowane" obejmują: Alerty reguły NRT).

  • Reguły analizy zabezpieczeń firmy Microsoft tworzą zdarzenia na podstawie alertów pozyskiwanych zgodnie z oczekiwaniami z innych produktów zabezpieczeń firmy Microsoft, na przykład usługi Microsoft Defender XDR i Microsoft Defender dla Chmury.

Niezależnie od źródła te alerty są przechowywane razem w tabeli SecurityAlert w obszarze roboczym usługi Log Analytics. W tym artykule opisano schemat tej tabeli.

Ponieważ alerty pochodzą z wielu źródeł, nie wszystkie pola są używane przez wszystkich dostawców. Niektóre pola mogą być puste.

Definicje schematu

Nazwa kolumny Type Opis
Link alertu string Link do alertu w portalu produktu źródłowego.
Nazwa alertu string Nazwa wyświetlana alertu.
  • Zaplanowane alerty reguł: pobrane z nazwy reguły.
  • Pozyskane alerty: nazwa wyświetlana alertu w produkcie źródłowym.
Zależnie od alertów string Ważność alertu. [Informational / Low / Medium / High]
Typ alertu string Typ alertu.
  • Alerty reguły zaplanowanej: pobrane z identyfikatora reguły.
  • Pozyskane alerty: niektóre produkty grupują alerty według typu. W niektórych przypadkach może być taka sama jak lub synonimowa nazwa produktu.
Naruszenie zabezpieczeń string Nazwa wyświetlana jednostki głównej, dla których jest wyświetlany alert.
ConfidenceLevel string Poziom ufności tego alertu: jak upewnij się, że dostawca nie jest wynikiem fałszywie dodatnim.
ConfidenceScore rzeczywiste Wskaźnik ufności alertu w skali 0.0-1.0, jeśli ma to zastosowanie. Ta właściwość umożliwia bardziej szczegółową reprezentację poziomu ufności alertu w porównaniu z polem ConfidenceLevel.
Opis string Opis alertu.
Nazwa wyświetlana string Nazwa wyświetlana alertu. Synonim z elementem AlertName , ale zachowany w celu zachowania zgodności.
Endtime datetime Godzina zakończenia wpływu alertu.
  • Alerty reguły zaplanowanej: wartość pola TimeGenerated dla ostatniego zdarzenia przechwyconego przez zapytanie.
  • Pozyskane alerty: czas ostatniego zdarzenia lub działania uwzględnionego w alercie.
Encje string Lista jednostek zidentyfikowanych w alercie. Ta lista może zawierać kombinację jednostek różnych typów. Typy jednostek mogą być dowolnym z tych zdefiniowanych w schemacie, zgodnie z opisem w dokumentacji jednostek.
Łącza rozszerzone string Torba (kolekcja) dla wszystkich linków związanych z alertem. Ta torba może zawierać kombinację łączy różnych typów.
Extendedproperties string Kolekcja innych właściwości alertu, w tym właściwości zdefiniowanych przez użytkownika. Wszystkie szczegóły niestandardowe zdefiniowane w alercie i dowolna zawartość dynamiczna w szczegółach alertu są przechowywane tutaj.
IsIncident boolean PRZESTARZAŁE. Zawsze ustawiono wartość false.
ProcessingEndTime datetime Czas publikowania alertu.
  • Alerty reguły zaplanowanej: wartość pola TimeGenerated.
  • Pozyskane alerty: czas ukończenia produkcji alertu przez produkt źródłowy.
ProductComponentName string Nazwa składnika produktu, który wygenerował alert.
Productname string Nazwa produktu, który wygenerował alert.
Providername string Nazwa dostawcy alertów (usługi w produkcie), który wygenerował alert.
Kroki korygowania string Lista elementów akcji do podjęcia w celu skorygowania alertu.
ResourceId string Unikatowy identyfikator zasobu, który jest tematem alertu.
SourceComputerId string PRZESTARZAŁE. Czy identyfikator agenta na serwerze, który utworzył alert.
SourceSystem string PRZESTARZAŁE. Zawsze wypełniane ciągiem "Wykrywanie".
Starttime datetime Godzina rozpoczęcia wpływu alertu.
  • Alerty reguły zaplanowanej: wartość pola TimeGenerated dla pierwszego zdarzenia przechwyconego przez zapytanie.
  • Pozyskane alerty: czas pierwszego zdarzenia lub działania uwzględnionego w alercie.
Stan string Stan alertu w cyklu życia. [Nowe / InProgress / Rozwiązane / Odrzucone / Nieznane]
Identyfikator SystemAlertId string Wewnętrzny unikatowy identyfikator alertu w usłudze Microsoft Sentinel.
Taktyki string Rozdzielona przecinkami lista taktyki MITRE ATT&CK skojarzonej z alertem.
Technik string Rozdzielona przecinkami lista technik MITRE ATT&CK skojarzonych z alertem.
Identyfikator dzierżawy string Unikatowy identyfikator dzierżawy.
TimeGenerated datetime Czas wygenerowania alertu (w formacie UTC).
Type string Stała ('SecurityAlert')
Nazwadostawcy string Dostawca produktu, który wygenerował alert.
VendorOriginalId string Unikatowy identyfikator określonego wystąpienia alertu ustawiony przez produkt źródłowy.
WorkspaceResourceGroup string PRZESTARZAŁE
WorkspaceSubscriptionId string PRZESTARZAŁE

Następne kroki

Dowiedz się więcej o alertach zabezpieczeń i regułach analizy:

  • Last updated on