مخططات التنبيهات

يوفر Defender for Cloud تنبيهات تساعدك على تحديد التهديدات الأمنية وفهمها والاستجابة لها. يتم إنشاء التنبيهات عندما يكتشف Defender for Cloud نشاطا مشبوها أو مشكلة متعلقة بالأمان في بيئتك. يمكنك عرض هذه التنبيهات في مدخل Defender for Cloud، أو يمكنك تصديرها إلى أدوات خارجية لمزيد من التحليل والاستجابة.

يمكنك عرض تنبيهات الأمان هذه في صفحات Microsoft Defender for Cloud - لوحة معلومات النظرة العامة أو التنبيهات أو صفحات صحة الموارد أو لوحة معلومات حماية حمل العمل - ومن خلال أدوات خارجية مثل:

• Microsoft Sentinel - SIEM السحابي الأصلي من Microsoft. يحصل موصل Sentinel على تنبيهات من Microsoft Defender for Cloud ويرسلها إلى مساحة عمل Log Analytics لـMicrosoft Sentinel.
• SIEMs التابعة لجهة خارجية - إرسال البيانات إلى مراكز أحداث Azure. ثم قم بدمج بيانات Event Hubs مع SIEM تابع لجهة خارجية. تعرف على المزيد في تنبيهات Stream إلى حل إدارة خدمة SIM أو SOAR أو تكنولوجيا المعلومات.
• واجهة برمجة تطبيقات REST - إذا كنت تستخدم واجهة برمجة تطبيقات REST للوصول إلى التنبيهات، فشاهد وثائق واجهة برمجة تطبيقات التنبيهات عبر الإنترنت.

إذا كنت تستخدم أي أساليب برمجية لاستهلاك التنبيهات، فأنت بحاجة إلى المخطط الصحيح للعثور على الحقول ذات الصلة بك. أيضا، إذا كنت تقوم بالتصدير إلى مراكز الأحداث أو تحاول تشغيل أتمتة سير العمل باستخدام موصلات HTTP عامة، يجب استخدام المخططات لتحليل كائنات JSON بشكل صحيح.

هام

نظرا لأن المخطط مختلف لكل سيناريو من هذه السيناريوهات، تأكد من تحديد علامة التبويب ذات الصلة.

المخططات

Microsoft Sentinel

يحصل موصل Sentinel على تنبيهات من Microsoft Defender for Cloud ويرسلها إلى مساحة عمل Log Analytics لـMicrosoft Sentinel.

لإنشاء حالة أو حدث Microsoft Sentinel باستخدام تنبيهات Defender for Cloud، تحتاج إلى مخطط لتلك التنبيهات المعروضة.

تعرف على المزيد في وثائق Microsoft Sentinel.

نموذج بيانات المخطط

الحقل	‏‏الوصف
اسم التنبيه	اسم عرض التنبيه
نوع التنبيه	معرف التنبيه الفريد
ConfidenceLevel	(اختياري) مستوى الثقة لهذا التنبيه (مرتفع/منخفض)
ConfidenceScore	(اختياري) مؤشر الثقة الرقمية لتنبيه الأمان
الوصف	نص الوصف للتنبيه
DisplayName	اسم عرض التنبيه
EndTime	وقت انتهاء التأثير للتنبيه (وقت الحدث الأخير المساهم في التنبيه)
الكيانات	قائمة بالكيانات المتعلقة بالتنبيه. يمكن أن تحتوي هذه القائمة على مزيج من الكيانات من أنواع متنوعة
ExtendedLinks	(اختياري) حقيبة لجميع الارتباطات المتعلقة بالتنبيه. يمكن أن تحمل هذه الحقيبة مزيجا من الارتباطات للأنواع المتنوعة
ExtendedProperties	حقيبة من الحقول الإضافية ذات الصلة بالتنبيه
IsIncident	تحديد ما إذا كان التنبيه حادثًا أو تنبيها منتظمًا. الحدث هو تنبيه أمني يجمع تنبيهات متعددة في حادث أمان واحد
ProcessingEndTime	الطابع الزمني UTC الذي تم فيه إنشاء التنبيه
ProductComponentName	(اختياري) اسم مكون داخل المنتج الذي أنشأ التنبيه.
اسم المنتج	ثابت ('مركز أمان Azure')
اسم الموفر	غير مستخدم
RemediationSteps	عناصر الإجراءات اليدوية التي يجب اتخاذها لمعالجة تهديد الأمان
Resourceid	المعرف الكامل للمورد المتأثر
الخطورة	شدة التنبيه (عالية/متوسطة/منخفضة/إعلامية)
SourceComputerId	GUID فريد للخادم المتأثر (إذا تم إنشاء التنبيه على الخادم)
نظام المصدر	غير مستخدم
StartTime	وقت بدء التأثير للتنبيه (وقت الحدث الأول المساهم في التنبيه)
معرّف تنبيه النظام	المعرف الفريد لمثيل تنبيه الأمان هذا
TenantId	معرف مستأجر Azure Active Directory الأصل للاشتراك الذي يوجد بموجبه المورد الممسوح ضوئيًا
TimeGenerated	الطابع الزمني UTC الذي تم التقييم عليه (وقت فحص مركز الأمان) (مطابق لـ DiscoveredTimeUTC)
النوع	ثابت ('SecurityAlert')
Vendorname	اسم المورد الذي قدم التنبيه (مثل "Microsoft")
VendorOriginalId	غير مستخدم
WorkspaceResourceGroup	في حالة إنشاء التنبيه على جهاز ظاهري أو خادم أو مجموعة مقياس الجهاز الظاهري أو مثيل App Service الذي يبلغ عن مساحة عمل، يحتوي على اسم مجموعة موارد مساحة العمل هذه
WorkspaceSubscriptionId	في حالة إنشاء التنبيه على جهاز ظاهري أو خادم أو مجموعة مقياس الجهاز الظاهري أو مثيل App Service الذي يبلغ عن مساحة عمل، يحتوي على معرف اشتراك مساحة العمل هذا

سجل Azure Activity

تقوم Microsoft Defender for Cloud بمراجعة تنبيهات الأمان التي تم إنشاؤها كأحداث في سجل نشاط Azure.

يمكنك عرض أحداث تنبيهات الأمان في سجل النشاط عن طريق البحث عن حدث تنشيط التنبيه كما هو موضح:

نموذج JSON للتنبيهات المرسلة إلى سجل نشاط Azure

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

نموذج بيانات المخطط

الحقل	‏‏الوصف
القنوات	ثابت، "عملية"
correlationId	معرف تنبيه Microsoft Defender for Cloud
الوصف	وصف التنبيه
معرف بيانات الحدث	راجع معرف الارتباط
eventName	تحتوي القيمة والحقول الفرعية localizedValue على اسم عرض التنبيه
الفئة	القيمة والحقول الفرعية localizedValue ثابتة - "الأمان"
الطابع الزمني للحدث	الطابع الزمني UTC لوقت إنشاء التنبيه
معرف	معرف التنبيه المؤهل بالكامل
مستوي	ثابت، "إعلامي"
معرف العملية	راجع معرف الارتباط
اسم العملية	حقل القيمة ثابت - Microsoft.Security/locations/alerts/activate/actionوالقيمة المترجمة هي Activate Alert (من المحتمل أن تكون مترجمة على قدم المساواة مع إعدادات المستخدم المحلية)
resourceGroupName	يتضمن اسم مجموعة الموارد
resourceProviderName	القيمة والحقول الفرعية localizedValue ثابتة - "Microsoft.Security"
resourceType	القيمة والحقول الفرعية localizedValue ثابتة - "Microsoft.Security/locations/alerts"
resourceId	معرف مورد Azure المؤهل بالكامل
الحالة	القيمة والحقول الفرعية localizedValue ثابتة - "نشطة"
subStatus	القيمة والحقول الفرعية localizedValue فارغة
طابع وقت الإرسال	الطابع الزمني UTC لإرسال الحدث إلى سجل النشاط
subscriptionId	معرف الاشتراك للمورد الذي تم اختراقه
الخصائص	حقيبة JSON من الخصائص الأخرى المتعلقة بالتنبيه. يمكن تغيير الخصائص من تنبيه إلى آخر، ومع ذلك، تظهر الحقول التالية في جميع التنبيهات: - الخطورة: شدة الهجوم - compromisedEntity: اسم المورد المخترق - خطوات المعالجة: صفيف من خطوات المعالجة التي يجب اتخاذها - الهدف: هدف سلسلة القتل للتنبيه. يتم توثيق الأهداف المحتملة في جدول الأهداف
الأحداث ذات الصلة	ثابت - صفيف فارغ

أتمتة سير العمل

للحصول على مخطط التنبيهات عند استخدام أتمتة سير العمل، راجع وثائق الموصلات.

Continuous export

تمرر ميزة التصدير المستمر لـDefender for Cloud بيانات التنبيه إلى:

• Azure Event Hubs باستخدام نفس المخطط مثل واجهة برمجة تطبيقات التنبيهات.
• مساحات عمل Log Analytics وفقا لمخطط SecurityAlert في وثائق بيانات Azure Monitor.

MS Graph API

تُعد Microsoft Graph هي بوابة البيانات والاستخبارات في Microsoft 365. وتوفر نموذج برمجة موحدة الذي يمكنك استخدامه للوصول إلى كمية هائلة من البيانات في Microsoft 365،Windows 10، والتنقل المؤسسة + الأمن. استخدم ثروة البيانات في Microsoft Graph لإنشاء تطبيقات للمؤسسات والمستهلكين الذين يتفاعلون مع ملايين المستخدمين.

يتوفر المخطط وتمثيل JSON لتنبيهات الأمان المرسلة إلى MS Graph في وثائق Microsoft Graph.

المقالات ذات الصلة

• مساحات عمل Log Analytics - يخزن Azure Monitor بيانات السجل في مساحة عمل Log Analytics، وهي حاوية تتضمن معلومات البيانات والتكوين
• Microsoft Sentinel - SIEM السحابي الأصلي من Microsoft
• مركز أحداث Azure - خدمة استيعاب البيانات المدارة بالكامل في الوقت الحقيقي من Microsoft

الخطوة التالية

التصدير المستمر لبيانات Defender for Cloud