Schémata výstrah

Defender for Cloud poskytuje výstrahy, které vám pomůžou identifikovat, pochopit a reagovat na bezpečnostní hrozby. Výstrahy se generují, když Defender for Cloud zjistí podezřelou aktivitu nebo problém související se zabezpečením ve vašem prostředí. Tyto výstrahy můžete zobrazit na portálu Defender for Cloud nebo je můžete exportovat do externích nástrojů pro další analýzu a reakci.

Tyto výstrahy zabezpečení můžete zobrazit na stránkách Microsoft Defenderu pro cloud – řídicí panel s přehledem, výstrahy, stránky stavu prostředků nebo řídicí panel ochrany úloh – a to prostřednictvím externích nástrojů, jako jsou:

• Microsoft Sentinel – cloudově nativní SIEM od Microsoftu. Konektor Služby Sentinel získá upozornění z Microsoft Defenderu pro cloud a odešle je do pracovního prostoru služby Log Analytics pro Microsoft Sentinel.
• SIEM třetích stran – Odesílání dat do služby Azure Event Hubs Pak integrujte data služby Event Hubs s řešením SIEM třetí strany. Další informace najdete v upozorněních služby Stream na řešení PRO SPRÁVU SLUŽEB SIEM, SOAR nebo IT Service Management.
• Rozhraní REST API – Pokud pro přístup k upozorněním používáte rozhraní REST API, prohlédni si online dokumentace k rozhraní API pro upozornění.

Pokud k používání upozornění používáte jakékoli programové metody, potřebujete správné schéma, abyste našli pole, která jsou pro vás relevantní. Pokud také exportujete do služby Event Hubs nebo se pokoušíte aktivovat automatizaci pracovního postupu pomocí obecných konektorů HTTP, měli byste schémata využít k správné analýze objektů JSON.

Důležité

Vzhledem k tomu, že se schéma pro každý z těchto scénářů liší, ujistěte se, že vyberete příslušnou kartu.

Schémata

Microsoft Sentinel

Konektor Služby Sentinel získává výstrahy z Programu Microsoft Defender pro cloud a odesílá je do pracovního prostoru služby Log Analytics pro Microsoft Sentinel.

Pokud chcete vytvořit případ nebo incident Microsoft Sentinelu pomocí výstrah Defenderu pro cloud, potřebujete schéma pro tyto výstrahy.

Další informace najdete v dokumentaci k Microsoft Sentinelu.

Datový model schématu

Pole	Popis
AlertName	Zobrazovaný název upozornění
AlertType	jedinečný identifikátor výstrahy
ConfidenceLevel	(Volitelné) Úroveň spolehlivosti tohoto upozornění (vysoká/nízká)
ConfidenceScore	(Volitelné) Číselný indikátor spolehlivosti výstrahy zabezpečení
Popis	Text popisu výstrahy
DisplayName	Zobrazovaný název upozornění
Koncový čas	Čas ukončení efektu výstrahy (čas poslední události přispívající k upozornění)
Entity	Seznam entit souvisejících s výstrahou Tento seznam může obsahovat kombinaci entit různých typů.
ExtendedLinks	(Volitelné) Taška pro všechny odkazy související s upozorněním. Tato taška může obsahovat kombinaci odkazů pro různé typy.
ExtendedProperties	Taška s dalšími poli, která jsou relevantní pro výstrahu
IsIncident	Určuje, jestli se jedná o incident nebo běžnou výstrahu. Incident je výstraha zabezpečení, která agreguje více výstrah do jednoho incidentu zabezpečení.
ProcessingEndTime	Časové razítko UTC, ve kterém se výstraha vytvořila
ProductComponentName	(Volitelné) Název komponenty uvnitř produktu, který výstrahu vygeneroval.
ProductName	konstanta (Azure Security Center)
ProviderName	nepoužitý
Nápravné kroky	Ruční akce, které se mají provést k nápravě bezpečnostní hrozby
ResourceId	Úplný identifikátor ovlivněného prostředku
Závažnost	Závažnost výstrahy (vysoká, střední, nízká/ informační)
SourceComputerId	jedinečný identifikátor GUID pro ovlivněný server (pokud se výstraha vygeneruje na serveru)
SourceSystem	nepoužitý
Počáteční čas	Počáteční čas upozornění (čas první události přispívající k upozornění)
SystemAlertId	Jedinečný identifikátor této instance výstrahy zabezpečení
Id tenanta	identifikátor nadřazeného tenanta Microsoft Entra ID předplatného, pod kterým se nachází naskenovaný prostředek
TimeGenerated	Časové razítko UTC, ke kterému proběhlo posouzení (čas kontroly služby Security Center) (shodný s časem zjištěnýchtimeUTC)
Typ	constant ('SecurityAlert')
VendorName	Název dodavatele, který výstrahu poskytl (například Microsoft)
VendorOriginalId	nepoužitý
WorkspaceResourceGroup	v případě, že se výstraha vygeneruje na virtuálním počítači, serveru, škálovací sadě virtuálních počítačů nebo instanci služby App Service, která se hlásí do pracovního prostoru, obsahuje název této skupiny prostředků pracovního prostoru.
WorkspaceSubscriptionId	v případě, že se výstraha vygeneruje na virtuálním počítači, serveru, škálovací sadě virtuálních počítačů nebo instanci služby App Service, která hlásí pracovnímu prostoru, obsahuje id předplatného pracovního prostoru.

Protokol aktivit Azure

Microsoft Defender for Cloud audituje vygenerované výstrahy zabezpečení jako události v protokolu aktivit Azure.

Události výstrah zabezpečení můžete zobrazit v protokolu aktivit vyhledáním události Aktivovat výstrahu, jak je znázorněno na následujícím obrázku:

Ukázkový JSON pro upozornění odesílaná do protokolu aktivit Azure

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Datový model schématu

Pole	Popis
kanály	Konstanta, "Operace"
correlationId	ID upozornění v programu Microsoft Defender for Cloud
popis	Popis výstrahy
eventDataId	Zobrazit ID korelace
eventName	Podpole hodnoty a lokalizované hodnoty obsahují zobrazovaný název výstrahy.
kategorie	Dílčí pole value a localizedValue jsou konstantní – "Security" (Zabezpečení).
eventTimestamp	Časové razítko UTC pro vygenerování výstrahy
id	Plně kvalifikované ID výstrahy
úroveň	Konstanta, "Informační"
operationId	Zobrazit ID korelace
operationName	Pole hodnoty je konstantní – Microsoft.Security/locations/alerts/activate/actiona lokalizovaná hodnota je Activate Alert (lze potenciálně lokalizovat par národní prostředí uživatele).
resourceGroupName	Obsahuje název skupiny prostředků.
resourceProviderName	Dílčí pole value a localizedValue jsou konstantní – Microsoft.Security.
resourceType	Dílčí pole hodnoty a lokalizované hodnoty jsou konstantní – Microsoft.Security/locations/alerts.
resourceId	Plně kvalifikované ID prostředku Azure
status	Subfields value and localizedValue are constant - "Active" (Aktivní).
subStatus	Pole s hodnotou a lokalizovanou hodnotou jsou prázdná.
submissionTimestamp	Časové razítko UTC odeslání události do protokolu aktivit
subscriptionId	ID předplatného ohroženého prostředku
vlastnosti	Taška JSON s dalšími vlastnostmi, které se týkají výstrahy. Vlastnosti se můžou změnit z jedné výstrahy na druhou, ale ve všech výstrahách se zobrazí následující pole: - závažnost: Závažnost útoku – ohrožení zabezpečeníEntity: Název ohroženého prostředku - nápravné kroky: Pole nápravných kroků, které se mají provést - záměr: záměr dezaktivního řetězce výstrahy. Možné záměry jsou zdokumentované v tabulce Záměry.
relatedEvents	Konstanta – prázdné pole

Automatizace pracovních postupů

Schéma upozornění při použití automatizace pracovního postupu najdete v dokumentaci ke konektorům.

Průběžný export

Funkce průběžného exportu v defenderu for Cloud předává data upozornění do:

• Azure Event Hubs používá stejné schéma jako rozhraní API pro upozornění.
• Pracovní prostory služby Log Analytics podle schématu SecurityAlert v dokumentaci k datům služby Azure Monitor

MS Graph API

Microsoft Graph je brána pro data a inteligentní funkce v Microsoftu 365. Poskytuje jednotný programovatelný model, který můžete použít pro přístup k obrovskému množství dat v Microsoftu 365, Windows 10 a Enterprise Mobility + Security. Využijte množství dat v Microsoft Graphu k vytváření aplikací pro organizace a uživatele, kteří komunikují s miliony uživatelů.

Schéma a reprezentace JSON pro výstrahy zabezpečení odeslané do MS Graphu jsou k dispozici v dokumentaci k Microsoft Graphu.

Související články

• Pracovní prostory služby Log Analytics – Azure Monitor ukládá data protokolů do pracovního prostoru služby Log Analytics, kontejner, který obsahuje data a informace o konfiguraci.
• Microsoft Sentinel – cloudově nativní SIEM od Microsoftu
• Azure Event Hubs – plně spravovaná služba Microsoftu pro příjem dat v reálném čase

Další krok

Průběžný export defenderu pro cloudová data