Microsoft Defender for Cloud Alert

Bezpośredni link umożliwiający wyświetlenie alertu ze wszystkimi jego szczegółami w usłudze Microsoft Defender for Cloud w witrynie Azure Portal.

Nazwa wyświetlana alertu jest wyświetlana dla użytkowników as-is lub z dodatkowymi parametrami. (przykłady formatowania symboli zastępczych można znaleźć w sekcji Notatki). Zaleca się, aby nie umieszczać posiadaczy miejsc w polu AlertDisplayName i mieć tę samą wartość dla wszystkich alertów, które współużytkują tę samą wartość AlertType, ponieważ alerty mogą być agregowane zgodnie z polem AlertType i wyświetlane użytkownikom końcowym jako takie.

Nazwa typu alertu. Alerty tego samego typu powinny mieć taką samą nazwę. To pole jest ciągiem kluczem reprezentującym kategorię lub typ alertu, a nie wystąpienie alertu. Wszystkie wystąpienia alertów z tej samej logiki wykrywania/analizy powinny współdzielić tę samą wartość dla typu alertu.

Nazwa wyświetlana głównej jednostki, o której mowa. To pole jest prezentowane użytkownikowi AS-IS i nie jest wymagane do zachowania zgodności z żadnym formatem. Może on przechowywać komputer, adresy IP, maszyny wirtualne lub cokolwiek innego, co dostawca alertów decyduje się przedstawić.

Opis alertu może zawierać symbole zastępcze parametrów (na przykład formatowanie symboli zastępczych można znaleźć w sekcji Notatek)

Czas zakończenia alertu (czas ostatniego zdarzenia współtworzenia alertu).

Opcjonalne pole określające intencję powiązaną z łańcuchem zabić za alertem. Lista obsługiwanych wartości znajduje się w sekcji wyliczenie Kill Chain Intent. W tym polu można wybrać wiele wartości. Format JSON dla tego pola powinien serializować wartości wyliczenia jako ciągi. Wiele wartości powinno być rozdzielonych przecinkami, np. Sondowanie, Wykorzystywanie.

Nazwa produktu, który opublikował ten alert, tj. ASC, WDATP, MCAS.

Ważność alertu jest zgłaszana przez dostawcę. Możliwe wartości: Informational (a.a Silent), Low, Medium, High

Czas rozpoczęcia wpływu alertu (czas pierwszego zdarzenia przyczyniającego się do alertu).

Przechowuje identyfikator produktu alertu dla produktu. Jest to identyfikator alertu, który jest zwykle dostępny zewnętrznie w celu wysyłania zapytań o alerty klientów lub systemów zewnętrznych. Wydawca alertów, który jest wewnętrzny dla produktu, powinien używać pola ProviderAlertId w celu raportowania dowolnego identyfikatora, który ma być używany w zakresie pojedynczego produktu.

Czas wygenerowania alertu. Tym razem powinien zawierać czas, który został wygenerowany przez dostawcę alertów, jeśli brakuje systemu, przypisze mu czas odebrania do przetwarzania.

Nazwa dostawcy, który zgłasza alert, ta wartość jest wyświetlana użytkownikom w taki sposób, jak to jest, tj. Microsoft lub Deep Security Agent lub Microsoft Antimalware itp.

Lista jednostek powiązanych z alertem. Ta lista może zawierać kombinację jednostek różnych typów. Typ jednostek może być dowolnym typem zdefiniowanym w sekcji Entitiessection. Jednostki, które nie znajdują się na poniższej liście, można również wysłać, jednak nie gwarantujemy ich przetworzenia (jednak alert nie zakończy się niepowodzeniem weryfikacji). Nie można ustawić wartości null (zamiast tego zostanie ustawiona wartość pusta).

Torba dla wszystkich linków związanych z alertem. Ta torba może pomieścić kombinację linków dla różnych typów. Linki, które nie znajdują się na poniższej liście, można również wysłać, jednak nie gwarantujemy ich przetworzenia (jednak alert nie zakończy się niepowodzeniem weryfikacji). Nie można ustawić wartości null (zamiast tego zostanie ustawiona wartość pusta wyliczeniowa)

Elementy akcji ręcznej do wykonania w celu skorygowania alertu. Może mieć symbole zastępcze parametrów. (przykłady formatowania symboli zastępczych można znaleźć w sekcji Notatki).

Identyfikatory zasobów dla tego alertu, które mogą służyć do kierowania alertu do odpowiedniej grupy ekspozycji produktu (obszar roboczy, subskrypcja itp.). Może istnieć wiele identyfikatorów różnych typów na alert. Aby uzyskać więcej informacji, zobacz Identyfikatory zasobów.