다음을 통해 공유


Microsoft Sentinel 보안 경고 스키마 참조

Microsoft Sentinel 분석 규칙보안 경고의 결과로 인시던트를 생성합니다. 보안 경고는 서로 다른 원본에서 올 수 있으며, 이에 따라 각기 다른 종류의 분석 규칙을 사용하여 인시던트를 만듭니다

  • 예약된 분석 규칙은 외부 원본에서 수집된 로그의 데이터를 정기적으로 쿼리한 결과로 경고를 생성하며, 이러한 동일한 규칙은 해당 경고를 통해 인시던트를 생성합니다. (이 문서의 목적을 위해 "예약된" 규칙 경고에는 NRT 규칙 경고가 포함됩니다.)

  • Microsoft 보안 분석 규칙은 다른 Microsoft 보안 제품(예: Microsoft Defender XDR 및 클라우드용 Microsoft Defender)에서 있는 그대로 수집되는 경고에서 인시던트 생성

원본에 관계없이 이러한 경고는 모두 Log Analytics 작업 영역의 SecurityAlert 테이블에 함께 저장됩니다. 이 문서에서는 이 테이블의 스키마에 대해 설명합니다.

경고는 많은 원본에서 제공되므로 모든 공급자가 모든 필드를 사용하는 것은 아닙니다. 일부 필드는 비워 둘 수 있습니다.

스키마 정의

열 이름 Type 설명
AlertLink string 원본 제품 포털에서의 경고에 대한 링크입니다.
AlertName string 경고의 표시 이름입니다.
  • 예약된 규칙 경고: 규칙 이름에서 가져옵니다.
  • 수집된 경고: 원본 제품에서의 경고 표시 이름입니다.
AlertSeverity string 경고의 심각도입니다. [정보 제공/낮음/중간/높음]
AlertType string 경고의 유형입니다.
  • 예약된 규칙 경고: 규칙 ID에서 가져옵니다.
  • 수집된 경고: 일부 제품은 경고를 유형별로 그룹화합니다. 경우에 따라 제품 이름과 동일하거나 동의어일 수 있습니다.
CompromisedEntity string 경고를 받는 주 엔터티의 표시 이름입니다.
ConfidenceLevel string 이 경고의 신뢰 수준: 공급자가 이 경고가 가양성이 아닌지 확인합니다.
ConfidenceScore real 해당하는 경우 경고의 신뢰도 점수(0.0~1.0)입니다. 이 속성을 사용하면 ConfidenceLevel 필드에 비해 경고의 신뢰도 수준을 보다 세분화하여 표시할 수 있습니다.
설명 string 경고에 대한 설명입니다.
DisplayName string 경고의 표시 이름입니다. AlertName과 동의어이지만 호환성을 위해 유지됩니다.
EndTime 날짜/시간 경고의 영향 종료 시간입니다.
  • 예약된 규칙 경고: 쿼리에서 캡처한 마지막 이벤트에 대한 TimeGenerated 필드의 값입니다.
  • 수집된 경고: 경고에 포함된 마지막 이벤트 또는 활동의 시간입니다.
엔터티 string 경고에서 식별된 엔터티 목록입니다. 이 목록에는 다양한 형식의 엔터티 조합이 포함될 수 있습니다. 엔터티의 형식은 엔터티 설명서에 설명된 대로 스키마에 정의된 형식일 수 있습니다.
ExtendedLinks string 경고와 관련된 모든 링크를 포함하기 위한 모음(컬렉션). 이 모음에는 다양한 유형의 링크 조합이 포함될 수 있습니다.
ExtendedProperties string 사용자 정의 속성을 포함한 경고의 다른 속성 컬렉션입니다. 경고에 정의된 모든 사용자 지정 세부 정보경고 세부 정보에 포함된 동적 콘텐츠는 여기에 저장됩니다.
IsIncident 부울 값 사용되지 않음. 항상 false로 설정합니다.
ProcessingEndTime 날짜/시간 경고가 게시되는 시간입니다.
  • 예약된 규칙 경고: TimeGenerated 필드의 값입니다.
  • 수집된 경고: 원본 제품이 경고의 프로덕션을 완료하는 시간입니다.
ProductComponentName string 경고를 생성한 제품의 구성 요소 이름입니다.
ProductName string 경고를 생성한 제품의 이름입니다.
ProviderName string 경고를 생성한 경고 공급자(제품 내의 서비스)의 이름입니다.
RemediationSteps string 경고를 수정하기 위해 수행하는 작업 항목의 목록입니다.
ResourceId string 경고의 대상이 되는 리소스를 위한 고유 식별자입니다.
SourceComputerId string 사용되지 않음. 경고를 만든 서버의 에이전트 ID였습니다.
SourceSystem string 사용되지 않음. 항상 문자열 "검색"으로 채워집니다.
StartTime 날짜/시간 경고가 미치는 영향의 시작 시간입니다.
  • 예약된 규칙 경고: 쿼리에서 캡처한 첫 번째 이벤트에 대한 TimeGenerated 필드의 값입니다.
  • 수집된 경고: 경고에 포함된 첫 번째 이벤트 또는 활동의 시간입니다.
상태 string 수명 주기 내 경고의 상태입니다. [신규/진행 중/해결됨/해제됨/알 수 없음]
SystemAlertId string Microsoft Sentinel의 경고에 대한 내부 고유 ID입니다.
전술 string 경고와 관련된 MITRE ATT&CK 전술의 쉼표로 구분된 목록입니다.
기술 string 경고와 관련된 MITRE ATT&CK 기술의 쉼표로 구분된 목록입니다.
TenantId string 테넌트의 고유 ID입니다.
TimeGenerated 날짜/시간 경고가 생성된 시간(UTC)입니다.
Type string 상수('SecurityAlert')
VendorName string 경고를 생성한 제품의 공급업체입니다.
VendorOriginalId string 원본 제품에서 설정한 특정 경고 인스턴스의 고유 ID입니다.
WorkspaceResourceGroup string 사용되지 않음
WorkspaceSubscriptionId string 사용되지 않음

다음 단계

보안 경고 및 분석 규칙에 대해 자세히 알아봅니다.