Esquemas de alertas

O Defender para Nuvem fornece alertas que ajudam você a identificar, entender e responder às ameaças de segurança. Os alertas são gerados quando o Defender para Nuvem detecta atividades suspeitas ou um problema relacionado à segurança no seu ambiente. Você pode ver esses alertas no portal do Defender para Nuvem ou exportá-los para ferramentas externas para análise e resposta adicionais.

É possível ver os alertas de segurança no Microsoft Defender para Nuvem nas páginas do painel de visão geral, alertas, integridade do recurso ou no painel de proteção de cargas de trabalho, bem como em ferramentas externas, como:

• Microsoft Sentinel: SIEM da Microsoft nativo de nuvem. O Conector do Sentinel recebe alertas do Microsoft Defender para Nuvem e os envia ao workspace do Log Analytics para o Microsoft Sentinel.
• SIEMs de terceiros - enviam dados para Hubs de Eventos do Azure. Em seguida, integre seus dados do Hub de Eventos a um SIEM de terceiros. Saiba mais em Transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.
• A API REST - se você estiver usando a API REST para acessar alertas, consulte a documentação online da API de Alertas.

Se você estiver usando métodos programáticos para consumir os alertas, precisará do esquema correto para encontrar os campos relevantes para você. Além disso, se estiver exportando para um Hubs de Eventos ou tentando disparar a Automação do Fluxo de Trabalho com conectores HTTP genéricos, você deve usar os esquemas para analisar adequadamente os objetos JSON.

Importante

Como o esquema é diferente para cada um desses cenários, certifique-se de selecionar a guia relevante.

Os esquemas

Microsoft Sentinel

O Conector do Sentinel recebe alertas do Microsoft Defender para Nuvem e os envia ao workspace do Log Analytics para o Microsoft Sentinel.

Para criar um caso ou incidente do Microsoft Sentinel usando os alertas do Defender para Nuvem, você precisa do esquema para esses alertas mostrados.

Saiba mais na Documentação do Microsoft Sentinel.

O modelo de dados do esquema

Campo	Descrição
AlertName	Nome de exibição do alerta
AlertType	identificador de alerta único
ConfidenceLevel	(Opcional) O nível de confiança deste alerta (Alto/Baixo)
ConfidenceScore	(Opcional) Indicador numérico de confiança do alerta de segurança
Descrição	Texto de descrição do alerta
DisplayName	O nome de exibição do alerta
EndTime	A hora de término do impacto do alerta (a hora do último evento que contribuiu para o alerta)
Entidades	Uma lista de entidades relacionadas ao alerta. Essa lista pode conter uma mistura de entidades de tipos diferentes
ExtendedLinks	(Opcional) Um recipiente para todos os links relacionados ao alerta. Este recipiente pode conter uma mistura de links para diversos tipos
ExtendedProperties	Um conjunto de campos adicionais que são relevantes para o alerta
IsIncident	Determina se o alerta é um incidente ou um alerta regular. Um incidente é um alerta de segurança que agrega vários alertas em um incidente de segurança
ProcessingEndTime	Carimbo de data/hora UTC em que o alerta foi criado
ProductComponentName	(Opcional) O nome de um componente dentro do produto que gerou o alerta.
ProductName	constante ('Central de Segurança do Azure')
ProviderName	unused
RemediationSteps	Itens de ação manual a serem executados para remediar a ameaça à segurança
ResourceId	Identificador completo do recurso afetado
Gravidade	A gravidade do alerta (Alta/Média/Baixa/Informativa)
SourceComputerId	um GUID exclusivo para o servidor afetado (se o alerta for gerado no servidor)
SourceSystem	unused
StartTime	A hora de início do impacto do alerta (a hora do primeiro evento que contribuiu para o alerta)
SystemAlertId	Identificador único desta instância de alerta de segurança
TenantId	o identificador do locatário pai do Azure Active Directory da assinatura em que reside o recurso verificado
TimeGenerated	Carimbo de data/hora UTC em que a avaliação ocorreu (tempo de verificação da Central de Segurança) (idêntico ao DiscoveredTimeUTC)
Tipo	constante ('SecurityAlert')
VendorName	O nome do fornecedor que forneceu o alerta (por exemplo, 'Microsoft')
VendorOriginalId	unused
WorkspaceResourceGroup	caso o alerta seja gerado em VM, um Servidor, um Conjunto de dimensionamento de máquinas virtuais ou uma instância de Serviço de Aplicativo que se reporta a um espaço de trabalho, contém o nome do grupo de recursos do espaço de trabalho
WorkspaceSubscriptionId	caso o alerta seja gerado em uma VM, um Servidor, um Conjunto de Dimensionamento de Máquinas Virtuais ou uma instância de Serviço de Aplicativo que se reporta a um espaço de trabalho, contém esse espaço de trabalho subscriptionId

Log de atividades do Azure

O Microsoft Defender para Nuvem audita os alertas de segurança gerados como eventos no Log de Atividades do Azure.

Você pode exibir os eventos de alertas de segurança no log de atividades pesquisando o evento Ativar alerta, conforme mostrado:

Exemplo de JSON para alertas enviados ao log de atividades do Azure

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

O modelo de dados do esquema

Campo	Descrição
canais	Constante, "operação"
correlationId	A ID de alerta do Microsoft Defender para Nuvem
descrição	Descrição do alerta
eventDataId	Consulte correlationId
eventName	O valor e os subcampos localizedValue contêm o nome de exibição do alerta
category	O valor e os subcampos localizedValue são constantes - "Segurança"
eventTimestamp	Carimbo de data/hora UTC para quando o alerta foi gerado
id	A ID do alerta totalmente qualificado
level	Constante, "informativo"
operationId	Consulte correlationId
operationName	O campo de valor é constante - Microsoft.Security/locations/alerts/activate/actione o valor localizado é Activate Alert (pode ser localizado de acordo com o local do usuário)
resourceGroupName	Inclui o nome do grupo de recursos
resourceProviderName	O valor e os subcampos localizedValue são constantes - "Microsoft.Security"
resourceType	O valor e os subcampos localizedValue são constantes - "Microsoft.Security/locations/alerts"
resourceId	A ID do recurso totalmente qualificado do Azure
status	O valor e os subcampos localizedValue são constantes - "Active"
subStatus	O valor e os subcampos localizedValue estão vazios
submissionTimestamp	O carimbo de data/hora UTC do envio de eventos para o log de atividades
subscriptionId	A ID da assinatura do recurso comprometido
properties	Um recipiente JSON de outras propriedades pertencentes ao alerta. As propriedades podem ser alteradas de um alerta para outro, no entanto, os seguintes campos aparecem em todos os alertas: - severity: a gravidade do ataque - compromisedEntity: o nome do recurso comprometido - remediationSteps: matriz de etapas de correção a serem realizadas - intent: a intenção de kill-chain do alerta. As possíveis intenções estão documentadas na Tabela de intenções
relatedEvents	Constante - matriz vazia

Automação do fluxo de trabalho

Para o esquema de alertas ao usar a automação do fluxo de trabalho, confira a documentação de conectores.

Exportação contínua

O recurso de exportação contínua do Defender para Nuvem passa dados de alerta para:

• Hubs de Eventos do Azure usando o mesmo esquema que a API de alertas.
• Workspaces do Log Analytics de acordo com o esquema SecurityAlert na documentação de dados do Azure Monitor.

API do Graph

O Microsoft Graph é o gateway para dados e inteligência em Microsoft 365. Ele fornece um modelo de programação unificado que você pode usar para acessar a enorme quantidade de dados em Microsoft 365, Windows 10 e Enterprise Mobility + Security. Use a grande quantidade de dados no Microsoft Graph para criar aplicativos para organizações e consumidores que interagem com milhões de usuários.

O esquema e uma representação JSON para alertas de segurança enviados ao MS Graph estão disponíveis na documentação do Microsoft Graph.

Artigos relacionados

• Workspace do Log Analytics - O Azure Monitor armazena dados de log em um workspace do Log Analytics, um contêiner que inclui informações de configuração e dados
• Microsoft Sentinel: SIEM da Microsoft nativo de nuvem
• Hubs de Eventos do Azure - serviço de ingestão de dados totalmente gerenciado e em tempo real da Microsoft

Próxima etapa

Exportar continuamente dados do Defender para Nuvem