Referência do esquema de alerta de segurança do Microsoft Sentinel

As regras de análise do Microsoft Sentinel criam incidentes como resultado de alertas de segurança. Os alertas de segurança podem vir de fontes diferentes e, de acordo, usar tipos diferentes de regras de análise para criar incidentes:

• As regras de análise agendadas geram alertas como resultado das consultas regulares que fazem a dados em logs ingeridos de fontes externas, e essas regras criam incidentes com base nesses alertas. (Para os fins deste documento, os alertas de regra "agendados" incluem alertas de regra NRT.)

• As regras de análise de segurança da Microsoft criam incidentes a partir de alertas que são ingeridos no estado em que se encontram de outros produtos de segurança da Microsoft, por exemplo, Microsoft Defender XDR e Microsoft Defender for Cloud.

Independentemente da origem, esses alertas são todos armazenados juntos na tabela SecurityAlert em seu workspace do Log Analytics. Este artigo descreve o esquema desta tabela.

Já que os alertas vêm de muitas fontes, nem todos os campos são usados por todos os provedores. Alguns campos podem ser deixados em branco.

Definições do esquema

Nome da coluna	Type	Descrição
AlertLink	string	Um link para o alerta no portal do produto de origem.
AlertName	string	O nome de exibição do alerta. Alertas de regra agendada: extraído do nome da regra. Alertas ingeridos: o nome para exibição do alerta no produto de origem.
AlertSeverity	string	A severidade do alerta. [Informativo / Baixo / Médio / Alto]
AlertType	string	O tipo de alerta. Alertas de regra agendada: extraído da ID da regra. Alertas ingeridos: alguns produtos agrupam os respectivos alertas por tipo. Em alguns casos, pode ser idêntico ou sinônimo do nome do produto.
CompromisedEntity	string	O nome de exibição da entidade principal sobre a qual o alerta está sendo emitido.
ConfidenceLevel	string	O nível de confiança deste alerta: o nível de confiança do provedor de que este não é um falso positivo.
ConfidenceScore	real	A pontuação de confiança do alerta, em uma escala de 0,0 a 1,0, se aplicável. Essa propriedade permite uma representação mais refinada do nível de confiança do alerta em comparação com o campo ConfidenceLevel.
Descrição	string	A descrição do alerta.
DisplayName	string	O nome de exibição do alerta. Sinônimo de AlertName, mas mantido para compatibilidade.
EndTime	DATETIME	A hora de término do impacto do alerta. Alertas de regra agendada: o valor do campo TimeGenerated para o último evento capturado pela consulta. Alertas ingeridos: a hora do último evento ou atividade incluída no alerta.
Entidades	string	Uma lista das entidades identificadas no alerta. Essa lista pode incluir uma combinação de entidades de tipos diferentes. Os tipos de entidades podem ser qualquer um daqueles definidos no esquema, conforme descrito na documentação de entidades.
ExtendedLinks	string	Um recipiente (uma coleção) para todos os links relacionados ao alerta. Esse recipiente pode incluir uma combinação de links de tipos diferentes.
ExtendedProperties	string	Uma coleção de outras propriedades do alerta, incluindo propriedades definidas pelo usuário. Os detalhes personalizados definidos no alerta e o conteúdo dinâmico nos detalhes do alerta são armazenados aqui.
IsIncident	booleano	PRETERIDO. Sempre definido como false.
ProcessingEndTime	DATETIME	A hora da publicação do alerta. Alertas de regra agendada: o valor do campo TimeGenerated. Alertas ingeridos: a hora em que o produto de origem conclui a produção do alerta.
ProductComponentName	string	O nome do componente do produto que gerou o alerta.
ProductName	string	O nome do produto que gerou o alerta.
ProviderName	string	O nome do provedor de alertas (o serviço dentro do produto) que gerou o alerta.
RemediationSteps	string	Uma lista de itens de ação a serem usados para corrigir o alerta.
ResourceId	string	Um identificador exclusivo para o recurso que é o assunto do alerta.
SourceComputerId	string	PRETERIDO. Era a ID do agente no servidor que criou o alerta.
SourceSystem	string	PRETERIDO. Sempre preenchido com a cadeia de caracteres "Detection".
StartTime	DATETIME	A hora de início do impacto do alerta. Alertas de regra agendada: o valor do campo TimeGenerated para o primeiro evento capturado pela consulta. Alertas ingeridos: a hora do primeiro evento ou atividade incluída no alerta.
Status	string	O status do alerta no ciclo de vida. [Novo / Em andamento / Resolvido / Descartado / Desconhecido]
SystemAlertId	string	A ID exclusiva interna do alerta no Microsoft Sentinel.
Táticas	string	Uma lista delineada por vírgulas das táticas MITRE ATT&CK associadas ao alerta.
Técnicas	string	Uma lista delineada por vírgulas de técnicas MITRE ATT&CK associadas ao alerta.
TenantId	string	A ID exclusiva do locatário.
TimeGenerated	DATETIME	A hora em que o alerta foi gerado (em UTC).
Tipo	string	A constante ('SecurityAlert')
VendorName	string	O fornecedor do produto que produziu o alerta.
VendorOriginalId	string	ID exclusiva para a instância de alerta específica, definida pelo produto de origem.
WorkspaceResourceGroup	string	PRETERIDO
WorkspaceSubscriptionId	string	PRETERIDO

Próximas etapas

Saiba mais sobre alertas de segurança e regras de análise:

• Detectar ameaças rapidamente

• Criar regras de análise personalizadas para detectar ameaças

• Exportar e importar regras de análise de/para modelos do ARM