警示結構描述

適用於雲端的 Defender 提供警示，可協助您識別、了解及回應安全性威脅。 當適用於雲端的 Defender 偵測到可疑的活動或環境中的安全性相關問題時，便會產生警示。 您可以在適用於雲端的 Defender 入口網站中檢視這些警示，也可以將其匯出至外部工具，以進行進一步分析和回應。

您可以在適用於雲端的 Microsoft Defender 頁面中檢視這些安全性警示 (概觀儀表板、警示、資源健康情況頁面或工作負載保護儀表板)，以及透過外部工具，例如：

• Microsoft Sentinel - Microsoft 的雲端原生 SIEM。 Sentinel 連接器會從適用於雲端的 Microsoft Defender 取得警示，並將警示傳送至適用於 Microsoft Sentinel 的 Log Analytics 工作區。
• 協力廠商 SIEM - 將資料傳送至 Azure 事件中樞。 然後整合事件中樞資料與協力廠商 SIEM。 如要深入了解，請參閱將警示串流至 SIEM、SOAR 或 IT 服務管理解決方案。
• REST API - 如果您使用 REST API 存取警示，請參閱線上警示 API 文件。

如果您使用任何程式設計方法取用警示，您將需要正確的結構描述尋找與您相關的欄位。 此外，如果您要匯出至事件中樞，或嘗試使用一般 HTTP 連接器觸發工作流程自動化，則應該利用結構描述正確剖析 JSON 物件。

重要

由於這些案例的結構描述不同，因此請確定您選取相關索引標籤。

結構描述

Microsoft Sentinel

Sentinel 連接器會從適用於雲端的 Microsoft Defender 取得警示，並將警示傳送至適用於 Microsoft Sentinel 的 Log Analytics 工作區。

若要使用適用於雲端的 Defender 警示建立 Microsoft Sentinel 案例或事件，您需要所示警示的結構描述。

若要深入瞭解，請參閱 Microsoft Sentinel 文件。

結構描述的資料模型

欄位	描述
AlertName	警示顯示名稱
AlertType	唯一警示識別碼
ConfidenceLevel	(選擇性) 此警示的信賴度等級 (高/低)
ConfidenceScore	(選擇性) 安全性警示的數值信賴度指標
說明	警示的描述文字
DisplayName	警示的顯示名稱
EndTime	警示的效果結束時間（導致警示的最後一個事件時間）
實體	與警示相關的實體清單。 此清單可以保存各種類型實體的混合
ExtendedLinks	(選擇性) 與警示相關的所有連結包。 此包可以保存各種類型連結的混合
ExtendedProperties	一袋額外的欄位，與警示相關
IsIncident	判斷警示是否為事件或一般警示。 事件是一種安全性警示，會將多個警示彙總成一個安全性事件
ProcessingEndTime	建立警示的 UTC 時間戳記
ProductComponentName	（選擇性）產生警示之產品內的元件名稱。
ProductName	常數 ('Azure Security Center')
ProviderName	未使用的
RemediationSteps	要修正安全性威脅所要採取的手動動作項目
ResourceId	受影響資源的完整識別碼
嚴重性	警示嚴重性 (高/中/低/資訊)
SourceComputerId	受影響伺服器的唯一 GUID (如果伺服器上產生警示)
SourceSystem	未使用的
StartTime	警示的效果開始時間（導致警示的第一個事件的時間）
SystemAlertId	此安全性警示執行個體的唯一識別碼
TenantId	掃描資源所在訂用帳戶的父Microsoft Entra ID 租使用者的標識碼
TimeGenerated	執行評估的 UTC 時間戳記 (資訊安全中心的掃描時間) (與 DiscoveredTimeUTC 相同)
類型	常數 ('SecurityAlert')
VendorName	提供警示的廠商名稱（例如'Microsoft'）
VendorOriginalId	未使用的
WorkspaceResourceGroup	如果警示是在虛擬機 （VM）、伺服器、虛擬機擴展集或向工作區回報的 App Service 實例上產生，則包含該工作區資源組名
WorkspaceSubscriptionId	如果警示是在向工作區報告的 VM、伺服器、虛擬機擴展集或 App Service 實例上產生，則包含該工作區 subscriptionId

Azure 活動記錄

適用於雲端的 Microsoft Defender 稽核產生的安全性警示，為 Azure 活動記錄中的事件。

您可以搜尋 [啟用警示] 事件，以檢視 [活動記錄] 中的安全性警示事件，如下所示：

傳送至 Azure 活動記錄警示的樣本 JSON

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

結構描述的資料模型

欄位	描述
通道	常數，"Operation"
correlationId	適用於雲端的 Microsoft Defender 警示識別碼
description	警示的描述
eventDataId	請參閱 correlationId
eventName	值和 localizedValue 子欄位包含警示顯示名稱
category	值和 localizedValue 子欄位為常數 - "Security"
eventTimestamp	產生警示時的 UTC 時間戳記
id	完整警示識別碼
level	常數，"Informational"
operationId	請參閱 correlationId
operationName	值欄位是常數 - Microsoft.Security/locations/alerts/activate/action，而本地化的值是 Activate Alert (可能根據使用者地區設定進行本地化)
resourceGroupName	包含資源群組名稱
resourceProviderName	值和 localizedValue 子欄位為常數 - "Microsoft.Security"
resourceType	值和 localizedValue 子欄位為常數 - "Microsoft.Security/locations/alerts"
resourceId	完整 Azure 資源識別碼
status	值和 localizedValue 子欄位為常數 - "Active"
subStatus	值和 localizedValue 子欄位為空白
submissionTimestamp	事件提交至活動記錄的 UTC 時間戳記
subscriptionId	遭盜用資源的訂用帳戶識別碼
properties	與警示相關的其他屬性 JSON 包。 屬性可能會因不同警示而有所變更，不過下述欄位會顯示在所有警示中： - severity：攻擊的嚴重性 - compromisedEntity：遭盜用的資源名稱 - remediationSteps：要採取的補救步驟陣列 - intent：警示的終止鏈結意圖。 可能的意圖會記錄在意圖資料表中
relatedEvents	常數 - 空陣列

工作流程自動化

如需使用工作流程自動化時的警示結構描述，請參閱連接器文件。

連續匯出

適用於雲端的 Defender 的連續匯出功能，會將警示資料傳至：

• Azure 事件中樞，使用與警示 API 相同的結構描述。
• 根據 Azure 監視器資料文件中 SecurityAlert 結構描述的 Log Analytics 工作區。

MS 圖形 API

Microsoft Graph 是在 Microsoft 365 中取得資料與情報的閘道。 它提供統一的可程式性模型，可用來在 Microsoft 365、Windows 10 和 Enterprise Mobility + Security 中存取大量資料。 針對與數百萬使用者互動的組織和取用者，使用 Microsoft Graph 中豐富的資料來建立應用程式。

Microsoft Graph 文件中，提供傳送至 MS Graph 的安全性警示結構描述和 JSON 表示法。

相關文章

• Log Analytics 工作區 - Azure 監視器會將記錄資料儲存在 Log Analytics 工作區中，這是一個包含資料和設定資訊的容器
• Microsoft Sentinel - Microsoft 的雲端原生 SIEM
• Azure 事件中樞 - Microsoft 完全受控的即時資料擷取服務

後續步驟

持續匯出適用於雲端的 Defender 資料