Dokumentacja schematu alertów zabezpieczeń usługi Microsoft Sentinel

Reguły analizy usługi Microsoft Sentinel tworzą zdarzenia w wyniku alertów zabezpieczeń. Alerty zabezpieczeń mogą pochodzić z różnych źródeł i odpowiednio używać różnych rodzajów reguł analizy do tworzenia zdarzeń:

• Reguły zaplanowanej analizy generują alerty w wyniku regularnych zapytań dotyczących danych w dziennikach pozyskanych ze źródeł zewnętrznych, a te same reguły tworzą zdarzenia z tych alertów. (Na potrzeby tego dokumentu alerty reguły "zaplanowane" obejmują: Alerty reguły NRT).

• Reguły analizy zabezpieczeń firmy Microsoft tworzą zdarzenia na podstawie alertów pozyskiwanych zgodnie z oczekiwaniami z innych produktów zabezpieczeń firmy Microsoft, na przykład usługi Microsoft Defender XDR i Microsoft Defender dla Chmury.

Niezależnie od źródła te alerty są przechowywane razem w tabeli SecurityAlert w obszarze roboczym usługi Log Analytics. W tym artykule opisano schemat tej tabeli.

Ponieważ alerty pochodzą z wielu źródeł, nie wszystkie pola są używane przez wszystkich dostawców. Niektóre pola mogą być puste.

Definicje schematu

Nazwa kolumny	Type	Opis
Link alertu	string	Link do alertu w portalu produktu źródłowego.
Nazwa alertu	string	Nazwa wyświetlana alertu. Zaplanowane alerty reguł: pobrane z nazwy reguły. Pozyskane alerty: nazwa wyświetlana alertu w produkcie źródłowym.
Zależnie od alertów	string	Ważność alertu. [Informational / Low / Medium / High]
Typ alertu	string	Typ alertu. Alerty reguły zaplanowanej: pobrane z identyfikatora reguły. Pozyskane alerty: niektóre produkty grupują alerty według typu. W niektórych przypadkach może być taka sama jak lub synonimowa nazwa produktu.
Naruszenie zabezpieczeń	string	Nazwa wyświetlana jednostki głównej, dla których jest wyświetlany alert.
ConfidenceLevel	string	Poziom ufności tego alertu: jak upewnij się, że dostawca nie jest wynikiem fałszywie dodatnim.
ConfidenceScore	rzeczywiste	Wskaźnik ufności alertu w skali 0.0-1.0, jeśli ma to zastosowanie. Ta właściwość umożliwia bardziej szczegółową reprezentację poziomu ufności alertu w porównaniu z polem ConfidenceLevel.
Opis	string	Opis alertu.
Nazwa wyświetlana	string	Nazwa wyświetlana alertu. Synonim z elementem AlertName , ale zachowany w celu zachowania zgodności.
Endtime	datetime	Godzina zakończenia wpływu alertu. Alerty reguły zaplanowanej: wartość pola TimeGenerated dla ostatniego zdarzenia przechwyconego przez zapytanie. Pozyskane alerty: czas ostatniego zdarzenia lub działania uwzględnionego w alercie.
Encje	string	Lista jednostek zidentyfikowanych w alercie. Ta lista może zawierać kombinację jednostek różnych typów. Typy jednostek mogą być dowolnym z tych zdefiniowanych w schemacie, zgodnie z opisem w dokumentacji jednostek.
Łącza rozszerzone	string	Torba (kolekcja) dla wszystkich linków związanych z alertem. Ta torba może zawierać kombinację łączy różnych typów.
Extendedproperties	string	Kolekcja innych właściwości alertu, w tym właściwości zdefiniowanych przez użytkownika. Wszystkie szczegóły niestandardowe zdefiniowane w alercie i dowolna zawartość dynamiczna w szczegółach alertu są przechowywane tutaj.
IsIncident	boolean	PRZESTARZAŁE. Zawsze ustawiono wartość false.
ProcessingEndTime	datetime	Czas publikowania alertu. Alerty reguły zaplanowanej: wartość pola TimeGenerated. Pozyskane alerty: czas ukończenia produkcji alertu przez produkt źródłowy.
ProductComponentName	string	Nazwa składnika produktu, który wygenerował alert.
Productname	string	Nazwa produktu, który wygenerował alert.
Providername	string	Nazwa dostawcy alertów (usługi w produkcie), który wygenerował alert.
Kroki korygowania	string	Lista elementów akcji do podjęcia w celu skorygowania alertu.
ResourceId	string	Unikatowy identyfikator zasobu, który jest tematem alertu.
SourceComputerId	string	PRZESTARZAŁE. Czy identyfikator agenta na serwerze, który utworzył alert.
SourceSystem	string	PRZESTARZAŁE. Zawsze wypełniane ciągiem "Wykrywanie".
Starttime	datetime	Godzina rozpoczęcia wpływu alertu. Alerty reguły zaplanowanej: wartość pola TimeGenerated dla pierwszego zdarzenia przechwyconego przez zapytanie. Pozyskane alerty: czas pierwszego zdarzenia lub działania uwzględnionego w alercie.
Stan	string	Stan alertu w cyklu życia. [Nowe / InProgress / Rozwiązane / Odrzucone / Nieznane]
Identyfikator SystemAlertId	string	Wewnętrzny unikatowy identyfikator alertu w usłudze Microsoft Sentinel.
Taktyki	string	Rozdzielona przecinkami lista taktyki MITRE ATT&CK skojarzonej z alertem.
Technik	string	Rozdzielona przecinkami lista technik MITRE ATT&CK skojarzonych z alertem.
Identyfikator dzierżawy	string	Unikatowy identyfikator dzierżawy.
TimeGenerated	datetime	Czas wygenerowania alertu (w formacie UTC).
Type	string	Stała ('SecurityAlert')
Nazwadostawcy	string	Dostawca produktu, który wygenerował alert.
VendorOriginalId	string	Unikatowy identyfikator określonego wystąpienia alertu ustawiony przez produkt źródłowy.
WorkspaceResourceGroup	string	PRZESTARZAŁE
WorkspaceSubscriptionId	string	PRZESTARZAŁE

Następne kroki

Dowiedz się więcej o alertach zabezpieczeń i regułach analizy:

• Wbudowane funkcje wykrywania zagrożeń

• Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń

• Eksportowanie i importowanie reguł analizy do i z szablonów usługi ARM