適用於雲端的 Microsoft Defender 警示
適用於雲端的 Microsoft Defender 是統一的基礎結構安全性管理系統,可強化資料中心的安全性狀態,並在雲端中的混合式工作負載 (無論它們是否在 Azure 中) 以及內部部署提供進階威脅防護
此連接器適用於以下產品和區域:
| 服務 | Class | Regions |
|---|---|---|
| 邏輯應用程式 | 標準 | 所有 Logic Apps 區域, 但下列區域除外: - 美國國防部 (DoD) |
| 連絡人 | |
|---|---|
| 名稱 | Microsoft |
| URL |
Microsoft LogicApps 支援 |
| 連接器中繼資料 | |
|---|---|
| Publisher | Microsoft |
| 瞭解詳情> | https://docs.microsoft.com/connectors/ascalert |
| 網站 | https://azure.microsoft.com/services/security-center/ |
節流限制
| 名稱 | 呼叫 | 續約期間 |
|---|---|---|
| 每個連線的 API 呼叫 | 100 | 60 秒 |
觸發程序
| 建立或觸發適用於雲端的 Microsoft Defender 警示時 |
在適用於雲端的 Microsoft Defender 中建立警示,並符合自動化中設定的評估準則,或在特定警示上手動執行時觸發。 附註: 自動執行此觸發程序需要在適用於雲端的 Microsoft Defender 中啟用自動化,並啟用工作負載保護計劃作為初步步驟。 若要這樣做,請流覽適用於雲端的 Microsoft Defender。 |
建立或觸發適用於雲端的 Microsoft Defender 警示時
在適用於雲端的 Microsoft Defender 中建立警示,並符合自動化中設定的評估準則,或在特定警示上手動執行時觸發。 附註: 自動執行此觸發程序需要在適用於雲端的 Microsoft Defender 中啟用自動化,並啟用工作負載保護計劃作為初步步驟。 若要這樣做,請流覽適用於雲端的 Microsoft Defender。
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
警示 Uri
|
AlertUri | string |
直接連結,可在 Azure 入口網站 的適用於雲端的 Microsoft Defender 中檢視警示及其所有詳細數據。 |
|
警示顯示名稱
|
AlertDisplayName | string |
警示的顯示名稱,此值會 as-is 或其他參數顯示給使用者。 (有關預留位置格式的示例,請參閱註釋部分)。 建議不要將預留位置放在 AlertDisplayName 欄位中,並針對共用相同 AlertType 值的所有警示具有相同的值,因為警示可以根據 AlertType 欄位彙總,並以此方式顯示給一般使用者。 |
|
警示類型
|
AlertType | string |
警示的類型名稱。 相同類型的警示應該具有相同的名稱。 此欄位是索引鍵字串,代表警示的類別或類型,而不是警示實例的類別或類型。 來自相同偵測邏輯/分析的所有警示執行個體都應共用相同的警示類型值。 |
|
受損實體
|
CompromisedEntity | string |
回報對象主要實體的顯示名稱。 此欄位會呈現給使用者 AS-IS,不需要符合任何格式。 它可以保存計算機、IP 地址、VM 或警報提供商決定呈現的任何內容。 |
|
Description
|
Description | string |
警示說明,可能有參數預留位置 (如需預留位置格式的範例,請參閱附註區段) |
|
結束時間 (UTC)
|
EndTimeUtc | date-time |
警示的影響結束時間(導致警示的最後一個事件時間)。 |
|
意圖
|
Intent | string |
選擇性欄位,用於指定警示背後的終止鏈相關意圖。 如需支援的值清單,請參閱 Kill Chain Intent 列舉一節。 您可以在此欄位中選取多個值。 此欄位的 JSON 格式應該將列舉值序列化為字串。 多個值應以逗號分隔,例如 Probing、Exploitation。 |
|
產品名稱
|
ProductName | string |
發佈此警示的產品名稱,即 ASC、WDATP、MCAS。 |
|
Severity
|
Severity | string |
提供者報告的警示嚴重性。 可能的值:資訊 (也稱為無訊息)、低、中、高 |
|
開始時間 (UTC)
|
StartTimeUtc | date-time |
警示的影響開始時間(造成警示的第一個事件的時間)。 |
|
系統警示識別碼
|
SystemAlertId | string |
保留產品警示的產品標識碼。 這是警示識別碼,通常也可以在外部使用,以查詢客戶或外部系統的警示。 產品內部的警示發佈者應該使用 ProviderAlertId 欄位,以報告要在單一產品範圍內使用的任何識別碼。 |
|
產生時間 (UTC)
|
TimeGenerated | date-time |
產生警示的時間。 此時間應包含警示提供者產生的時間,如果缺少,系統會指派接收時間進行處理。 |
|
廠商名稱
|
VendorName | string |
引發警示的廠商名稱,此值會按原樣顯示給使用者,即 Microsoft 或 Deep Security Agent 或 Microsoft Antimalware 等。 |
|
實體或單位
|
Entities | array of object |
與警示相關的實體清單。 此列表可以包含不同類型的實體的混合。 實體類型可以是「實體」區段中定義的任何類型。 也可以傳送不在下列清單中的實體,但我們不保證它們會被處理 (不過警示不會失敗驗證) 。 無法設定為 null (會改為設定為空列舉項目)。 |
|
延伸連結
|
ExtendedLinks | array of object |
一個包含與警報相關的所有鏈接的包。 這款包可以容納各種類型的連結。 也可以傳送不在下列清單中的連結,但我們不保證它們會被處理(但警示不會通過驗證)。 無法設定為 null (會改為空白 enumerable) |
|
補救步驟
|
RemediationSteps | array of string |
手動採取動作專案來補救警示。 可能有參數預留位置。 (有關預留位置格式的示例,請參閱註釋部分)。 |
|
資源識別碼
|
ResourceIdentifiers | array of object |
此警示的資源識別碼,可用來將警示導向正確的產品公開群組 (工作區、訂用帳戶等)。 每個警示可以有多個不同類型的識別碼。 如需詳細資訊,請參閱資源識別碼。 |