Partager via


Informations de référence sur le schéma d’alerte de sécurité Microsoft Sentinel

Les règles analytiques Microsoft Sentinel créent des incidents à la suite des alertes de sécurité. Les alertes de sécurité peuvent provenir de différentes sources et, par conséquent, utilisent différents types de règles analytiques pour créer des incidents :

  • Les règles analytiques planifiées génèrent des alertes à la suite de leurs requêtes normales de données dans les journaux ingérés à partir de sources externes, et ces mêmes règles créent des incidents à partir de ces alertes. (Pour les besoins de ce document, les alertes de règle « planifiée » comprennent des alertes de règle NRT.)

  • Les règles d’analyse de sécurité Microsoft créent des incidents à partir d’alertes ingérées telles quelles à partir d’autres produits de sécurité Microsoft, par exemple Microsoft Defender XDR et Microsoft Defender pour le cloud.

Quelle que soit la source, ces alertes sont toutes stockées dans la table SecurityAlert dans votre espace de travail Log Analytics. Cet article décrit le schéma de cette table.

Comme les alertes proviennent de nombreuses sources, les champs ne sont pas tous utilisés par tous les fournisseurs. Certains champs peuvent être vides.

Définitions de schéma

Nom de la colonne Type Description
AlertLink string Lien vers l’alerte dans le portail du produit d’origine.
AlertName string Nom complet de l’alerte.
  • Alertes de règle planifiée : nom inspiré du nom de la règle.
  • Alertes ingérées : nom d’affichage de l’alerte dans le produit d’origine.
AlertSeverity string Gravité de l’alerte. [Information / Bas / Moyen / Haut]
AlertType string Type d’alerte.
  • Alertes de règle planifiée : type tiré de l’ID de la règle.
  • Alertes ingérées : certains produits regroupent leurs alertes par type. Dans certains cas, peut être identique ou un synonyme du nom du produit.
CompromisedEntity string Nom complet de l’entité principale objet de l’alerte.
ConfidenceLevel string Niveau de confiance de cette alerte : degré de certitude du fournisseur qu’il ne s’agit pas d’un faux positif.
ConfidenceScore real Score de confiance de l’alerte, sur une échelle de 0,0-1,0, le cas échéant. Cette propriété permet de représenter de manière plus fine le niveau de confiance de l’alerte par rapport au champ ConfidenceLevel.
Description string Description de l’alerte.
DisplayName string Nom complet de l’alerte. Synonyme d’AlertName, mais conservé pour la compatibilité.
EndTime DATETIME Heure de fin de l’impact de l’alerte.
  • Alertes de règle planifiée : valeur du champ TimeGenerated pour le dernier événement capturé par la requête.
  • Alertes ingérées : heure du dernier événement ou de la dernière activité compris dans l’alerte.
Entités string Liste des entités identifiées dans l’alerte. Cette liste peut comprendre une combinaison d’entités de types différents. Les types d’entités peuvent être ceux définis dans le schéma, comme décrit dans la documentation sur les entités.
ExtendedLinks string Conteneur (collection) pour tous les liens liés à l’alerte. Ce conteneur peut comprendre une combinaison de liens de types différents.
ExtendedProperties string Collection d’autres propriétés de l’alerte, y compris les propriétés définies par l’utilisateur. Les détails personnalisés définis dans l’alerte et le contenu dynamique dans les détails de l’alerte sont stockés ici.
IsIncident boolean DÉPRÉCIÉ. Toujours défini sur false.
ProcessingEndTime DATETIME Heure de publication de l’alerte.
  • Alertes de règle planifiée : valeur du champ TimeGenerated.
  • Alertes ingérées : heure à laquelle le produit d’origine a produit l’alerte.
ProductComponentName string Nom du composant du produit qui a généré l’alerte.
ProductName string Nom du produit qui a généré l’alerte.
ProviderName string Nom du fournisseur d’alerte (service dans le produit) qui a généré l’alerte.
RemediationSteps string Liste d’éléments d’action à appliquer pour corriger l’alerte.
ResourceId string Identificateur unique de la ressource qui est objet de l’alerte.
SourceComputerId string DÉPRÉCIÉ. Était l’ID de l’agent sur le serveur qui a créé l’alerte.
SourceSystem string DÉPRÉCIÉ. Toujours rempli par la chaîne « Detection ».
StartTime DATETIME Heure de début de l’impact de l’alerte.
  • Alertes de règle planifiée : valeur du champ TimeGenerated pour le premier événement capturé par la requête.
  • Alertes ingérées : heure du premier événement ou de la première activité compris dans l’alerte.
État string État de l’alerte dans le cycle de vie. [Nouveau / En cours / Résolu / Ignoré / Inconnu]
SystemAlertId string ID unique interne de l’alerte dans Microsoft Sentinel.
Tactique string Liste délimitée par des virgules des tactiques MITRE ATT&CK associées à l’alerte.
Techniques string Liste délimitée par des virgules des techniques MITRE ATT&CK associées à l’alerte.
TenantId string ID unique du locataire.
TimeGenerated DATETIME Heure à laquelle l’alerte a été générée (en heure UTC).
Type string Constante (« SecurityAlert »)
VendorName string Fournisseur du produit qui a généré l’alerte.
VendorOriginalId string ID unique de l’instance d’alerte spécifique, défini par le produit d’origine.
WorkspaceResourceGroup string DÉPRÉCIÉ
WorkspaceSubscriptionId string DÉPRÉCIÉ

Étapes suivantes

En savoir plus sur les alertes de sécurité et les règles analytiques :