Схемы оповещений

Defender для облака предоставляет оповещения, помогающие выявлять, понимать и реагировать на угрозы безопасности. Оповещения создаются Defender для облака при обнаружении подозрительных действий или проблем, связанных с безопасностью в вашей среде. Эти оповещения можно просмотреть на портале Defender для облака или экспортировать их во внешние средства для дальнейшего анализа и ответа.

Эти оповещения системы безопасности можно просмотреть в Microsoft Defender для облака на панели мониторинга "Обзор", страницах Оповещения, Работоспособность ресурсов или панели мониторинга "Защита рабочих нагрузок", а также с помощью внешних средств, таких как:

• Microsoft Sentinel — ориентированное на облако решение SIEM от корпорации Майкрософт. Соединитель Sentinel получает оповещения от Microsoft Defender для облака и отправляет их в рабочую область Log Analytics для Microsoft Sentinel.
• Сторонние решения SIEM — отправляет данные в Центры событий Azure. Затем интегрируйте данные Центров событий с сторонним SIEM. Подробные сведения см. в статье Потоковая передача оповещений в решение SIEM, SOAR или ITSM.
• REST API — если вы используете REST API для доступа к оповещениям, см. документацию по API оперативных оповещений.

Если вы используете любые программные методы для использования оповещений, вам нужна правильная схема, чтобы найти поля, относящиеся к вам. Кроме того, если вы экспортируете в центры событий или пытаетесь активировать автоматизацию рабочих процессов с универсальными соединителями HTTP, схемы следует использовать для правильного анализа объектов JSON.

Внимание

Так как схема отличается для каждого из этих сценариев, убедитесь, что выбрана соответствующая вкладка.

Схемы

Microsoft Sentinel

Соединитель Sentinel получает оповещения от Microsoft Defender для облака и отправляет их в рабочую область Log Analytics для Microsoft Sentinel.

Чтобы создать случай или инцидент Microsoft Sentinel с помощью оповещений Defender для облака, вам потребуется схема этих оповещений.

Дополнительные сведения см. в документации по Microsoft Sentinel.

Модель данных схемы

Поле	Description
AlertName	Отображаемое имя оповещения
AlertType	Уникальный идентификатор оповещения
ConfidenceLevel	(Необязательно) Уровень достоверности этого оповещения (высокий или низкий)
ConfidenceScore	(Необязательно) Числовой показатель достоверности оповещения безопасности
Description	Текстовое описание для оповещения
Отображаемое имя	Отображаемое имя оповещения
EndTime	Время окончания действия оповещения (время последнего события, которое вносит вклад в оповещение)
Сущности	Список сущностей, связанных с оповещением. В этом списке может содержаться комбинация сущностей различных типов
ExtendedLinks	(Необязательно) Набор всех ссылок, связанных с оповещением. В этом наборе может содержаться комбинация ссылок для различных типов
ExtendedProperties	Контейнер дополнительных полей, которые относятся к оповещению
IsIncident	Определяет, является ли оповещение инцидентом или обычным оповещением. Инцидент — это оповещение системы безопасности, в котором несколько оповещений объединено в один инцидент безопасности
ProcessingEndTime	Время создания оповещения в формате UTC
ProductComponentName	(Необязательно) Имя компонента внутри продукта, создавшего оповещение.
ProductName	константа ('Центр безопасности Azure')
ProviderName	неиспользованный
RemediationSteps	Выполняемые вручную действия по устранению причины оповещения
ResourceId	Полный идентификатор затронутого ресурса
Уровень серьезности	Серьезность оповещения (высокая, средняя, низкая, информационная)
SourceComputerId	уникальный идентификатор GUID затрагиваемого сервера (если оповещение создается на сервере)
SourceSystem	неиспользованный
StartTime	Время начала действия оповещения (время первого события, которое вносит вклад в оповещение)
SystemAlertId	Уникальный идентификатор этого экземпляра оповещения безопасности
TenantId	идентификатор родительского клиента Идентификатора Microsoft Entra подписки, в которой находится сканированный ресурс.
TimeGenerated	Время выполнения оценки в формате UTC (время проверки в центре безопасности) (идентично параметру DiscoveredTimeUTC)
Тип	константа ('SecurityAlert')
VendorName	Имя поставщика, предоставляющего оповещение (например, "Майкрософт")
VendorOriginalId	неиспользованный
WorkspaceResourceGroup	Если оповещение создается на виртуальной машине, сервере, масштабируемом наборе виртуальных машин или экземпляре Служба приложений, который сообщает в рабочую область, содержит имя группы ресурсов рабочей области.
WorkspaceSubscriptionId	Если оповещение создается на виртуальной машине, сервере, масштабируемом наборе виртуальных машин или Служба приложений экземпляре, который сообщает в рабочую область, содержит этот идентификатор подписки рабочей области.

Журнал действий Azure

Операции аудита Microsoft Defender для облака создают оповещения системы безопасности в виде событий в журнале действий Azure.

События оповещений системы безопасности в журнале действий можно просмотреть, выполнив поиск события Activate Alert, как показано ниже.

Пример JSON для оповещений, отправленных в журнал действий Azure

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Модель данных схемы

Поле	Description
channels	Константа, "Operation"
correlationId	Идентификатор оповещения Microsoft Defender для облака
описание	Описание оповещения
eventDataId	См. correlationId
eventName	Подполя value и localizedValue содержат отображаемое имя оповещения
category	Подполя value и localizedValue являются константой "Security"
eventTimestamp	Метка времени в формате UTC для момента создания оповещения
id	Полный идентификатор оповещения
level	Константа, "Informational"
operationId	См. correlationId
operationName	Поле значения является константой , Microsoft.Security/locations/alerts/activate/actionа локализованное значение Activate Alert — (возможно, локализованное значение может быть локализовано для языкового стандарта пользователя).
resourceGroupName	Включает имя группы ресурсов
resourceProviderName	Подполя value и localizedValue являются константой "Microsoft.Security"
resourceType	Подполя value и localizedValue являются константой "Microsoft.Security/locations/alerts"
resourceId	Полный ИД ресурса Azure
состояние	Подполя value и localizedValue являются константой "Active"
subStatus	Подполя value и localizedValue пустые
submissionTimestamp	Метка времени в формате UTC отправки события в журнал действий
subscriptionId	Идентификатор подписки скомпрометированного ресурса
properties	Контейнер JSON других свойств, относящихся к оповещению. Свойства могут изменяться с одного оповещения на другое, однако в всех оповещениях отображаются следующие поля: — severity: степень серьезности оповещения; — compromisedEntity: имя скомпрометированного ресурса; — remediationSteps: массив выполняемых действий по исправлению; — intent: намерение цепочки блокировки действия оповещения. Возможные намерения задокументированы в таблице намерений
связанные события	Константа — пустой массив

Автоматизация рабочих процессов

Сведения о схеме оповещений при использовании автоматизации рабочих процессов см. в документации по соединителям.

Непрерывный экспорт

Функция непрерывного экспорта Defender для облака передает данные оповещений в:

• Центры событий Azure использовать ту же схему, что и API оповещений.
• Рабочие области Log Analytics в соответствии со схемой SecurityAlert в документации по данным Azure Monitor.

MS API Graph

Microsoft Graph — это шлюз для данных и аналитики в Microsoft 365. Он предоставляет унифицированную модель программирования, которую можно использовать для доступа к огромному объему данных в Microsoft 365, Windows 10 и Enterprise Mobility + Security. Используйте обширный набор данных в Microsoft Graph, чтобы создавать приложения для организаций и потребителей, с которыми будут работать миллионы пользователей.

Схема и представление JSON для оповещений системы безопасности, отправляемые в MS Graph, доступны в документации по Microsoft Graph.

Связанные статьи

• Рабочая область Log Analytics — Azure Monitor хранит данные журнала в рабочей области Log Analytics, которая является контейнером, который содержит сведения о данных и конфигурации.
• Microsoft Sentinel — ориентированное на облако решение SIEM от корпорации Майкрософт.
• Центры событий Azure — служба приема данных в режиме реального времени, полностью управляемая Майкрософт.

Следующий шаг

Непрерывный экспорт данных Defender для облака