Sdílet prostřednictvím


Schémata výstrah

Defender for Cloud poskytuje výstrahy, které vám pomůžou identifikovat, pochopit a reagovat na bezpečnostní hrozby. Výstrahy se generují, když Defender for Cloud zjistí podezřelou aktivitu nebo problém související se zabezpečením ve vašem prostředí. Tyto výstrahy můžete zobrazit na portálu Defender for Cloud nebo je můžete exportovat do externích nástrojů pro další analýzu a reakci.

Tyto výstrahy zabezpečení můžete zobrazit na stránkách Microsoft Defenderu pro cloud – řídicí panel s přehledem, výstrahy, stránky stavu prostředků nebo řídicí panel ochrany úloh – a to prostřednictvím externích nástrojů, jako jsou:

Pokud k používání upozornění používáte jakékoli programové metody, potřebujete správné schéma, abyste našli pole, která jsou pro vás relevantní. Pokud také exportujete do služby Event Hubs nebo se pokoušíte aktivovat automatizaci pracovního postupu pomocí obecných konektorů HTTP, měli byste schémata využít k správné analýze objektů JSON.

Důležité

Vzhledem k tomu, že se schéma pro každý z těchto scénářů liší, ujistěte se, že vyberete příslušnou kartu.

Schémata

Konektor Služby Sentinel získává výstrahy z Programu Microsoft Defender pro cloud a odesílá je do pracovního prostoru služby Log Analytics pro Microsoft Sentinel.

Pokud chcete vytvořit případ nebo incident Microsoft Sentinelu pomocí výstrah Defenderu pro cloud, potřebujete schéma pro tyto výstrahy.

Další informace najdete v dokumentaci k Microsoft Sentinelu.

Datový model schématu

Pole Popis
AlertName Zobrazovaný název upozornění
AlertType jedinečný identifikátor výstrahy
ConfidenceLevel (Volitelné) Úroveň spolehlivosti tohoto upozornění (vysoká/nízká)
ConfidenceScore (Volitelné) Číselný indikátor spolehlivosti výstrahy zabezpečení
Popis Text popisu výstrahy
DisplayName Zobrazovaný název upozornění
Koncový čas Čas ukončení efektu výstrahy (čas poslední události přispívající k upozornění)
Entity Seznam entit souvisejících s výstrahou Tento seznam může obsahovat kombinaci entit různých typů.
ExtendedLinks (Volitelné) Taška pro všechny odkazy související s upozorněním. Tato taška může obsahovat kombinaci odkazů pro různé typy.
ExtendedProperties Taška s dalšími poli, která jsou relevantní pro výstrahu
IsIncident Určuje, jestli se jedná o incident nebo běžnou výstrahu. Incident je výstraha zabezpečení, která agreguje více výstrah do jednoho incidentu zabezpečení.
ProcessingEndTime Časové razítko UTC, ve kterém se výstraha vytvořila
ProductComponentName (Volitelné) Název komponenty uvnitř produktu, který výstrahu vygeneroval.
ProductName konstanta (Azure Security Center)
ProviderName nepoužitý
Nápravné kroky Ruční akce, které se mají provést k nápravě bezpečnostní hrozby
ResourceId Úplný identifikátor ovlivněného prostředku
Závažnost Závažnost výstrahy (vysoká, střední, nízká/ informační)
SourceComputerId jedinečný identifikátor GUID pro ovlivněný server (pokud se výstraha vygeneruje na serveru)
SourceSystem nepoužitý
Počáteční čas Počáteční čas upozornění (čas první události přispívající k upozornění)
SystemAlertId Jedinečný identifikátor této instance výstrahy zabezpečení
Id tenanta identifikátor nadřazeného tenanta Microsoft Entra ID předplatného, pod kterým se nachází naskenovaný prostředek
TimeGenerated Časové razítko UTC, ke kterému proběhlo posouzení (čas kontroly služby Security Center) (shodný s časem zjištěnýchtimeUTC)
Typ constant ('SecurityAlert')
VendorName Název dodavatele, který výstrahu poskytl (například Microsoft)
VendorOriginalId nepoužitý
WorkspaceResourceGroup v případě, že se výstraha vygeneruje na virtuálním počítači, serveru, škálovací sadě virtuálních počítačů nebo instanci služby App Service, která se hlásí do pracovního prostoru, obsahuje název této skupiny prostředků pracovního prostoru.
WorkspaceSubscriptionId v případě, že se výstraha vygeneruje na virtuálním počítači, serveru, škálovací sadě virtuálních počítačů nebo instanci služby App Service, která hlásí pracovnímu prostoru, obsahuje id předplatného pracovního prostoru.
  • Pracovní prostory služby Log Analytics – Azure Monitor ukládá data protokolů do pracovního prostoru služby Log Analytics, kontejner, který obsahuje data a informace o konfiguraci.
  • Microsoft Sentinel – cloudově nativní SIEM od Microsoftu
  • Azure Event Hubs – plně spravovaná služba Microsoftu pro příjem dat v reálném čase

Další krok