مرجع مخطط تنبيه أمان Microsoft Azure Sentinel
تنشئ قواعد تحليلات Microsoft Azure Sentinel حوادث نتيجةً لتنبيهات الأمان. يمكن أن تأتي التنبيهات الأمنية من مصادر مختلفة، وبالتالي تستخدم أنواعًا مختلفة من قواعد التحليلات لإنشاء الحوادث:
تنشئ قواعد التحليلات المجدولة تنبيهات نتيجة استعلاماتها المنتظمة للبيانات في السجلات التي تم تناولها من مصادر خارجية، وتنشئ هذه القواعد نفسها حوادث من تلك التنبيهات. (لأغراض هذا المستند، تتضمن تنبيهات القواعد "المجدولة" تنبيهات قاعدة NRT).
تنشئ قواعد تحليلات أمان Microsoft حوادث من التنبيهات التي يتم استيعابها كما هي من منتجات أمان Microsoft الأخرى، على سبيل المثال، Microsoft Defender XDR وMicrosoft Defender for Cloud.
بغض النظر عن المصدر، يتم تخزين هذه التنبيهات معًا في جدول SecurityAlert في مساحة عمل Log Analytics. تصف هذه المقالة مُخطط هذا الجدول.
نظرًا لأن التنبيهات تأتي من العديد من المصادر، لا يتم استخدام كافة الحقول من قبل جميع الموفرين. قد تُترك بعض الحقول فارغة.
تعريفات المخطط
| اسم العمود | النوع | الوصف |
|---|---|---|
| ارتباط التنبيه | سلسلة | ارتباط إلى التنبيه في مدخل المُنتج الأصلي. |
| اسم التنبيه | سلسلة | اسم مستخدم التنبيه المعروض.
|
| AlertSeverity | سلسلة | شدة التنبيه. [إعلامية/ منخفضة/ متوسطة/ عالية] |
| نوع التنبيه | سلسلة | نوعُ التنبيه.
|
| الكيان المعرض للخطر | سلسلة | الاسم المعروض للكيان الرئيسي الذي يتم التنبيه عليه. |
| ConfidenceLevel | سلسلة | مستوى الثقة لهذا التنبيه: ما مدى التأكد من أن الموفر ليس إيجابيًا مزيفًا. |
| ConfidenceScore | real | درجة الثقة للتنبيه، على مقياس من 0.0 إلى 1.0، إذا كان ذلك ممكنًا. تسمح هذه الخاصية بتمثيل أكثر دقة لمستوى الثقة للتنبيه مقارنةً بحقل مستوى الثقة. |
| الوصف | سلسلة | وصفُ التنبيه. |
| DisplayName | سلسلة | اسم مستخدم التنبيه المعروض. مرادف لـ اسم التنبيه ولكن يتم الاحتفاظ به للتوافق. |
| EndTime | datetime | وقت انتهاء تأثيرِ التنبيه.
|
| الكيانات | سلسلة | قائمة بالعناصر المُحددة في التنبيه. يمكن أن تتضمن هذه القائمة مجموعة من الكيانات من أنواعٍ مختلفة. يمكن أن تكون أنواع الكيانات أيًا من تلك المحددة في المخطط، كما هو موضح في وثائق الكيانات. |
| ExtendedLinks | سلسلة | حقيبة (مجموعة) لجميع الارتباطات المُتعلقة بالتنبيه. يمكن أن تتضمن هذه الحقيبة مزيجًا من روابط من أنواع مختلفة. |
| ExtendedProperties | سلسلة | مجموعة من الخصائص الأخرى للتنبيه، بما في ذلك الخصائص المعرّفة من قبل المستخدم. يتم تخزين أي تفاصيل مُخصصة محددة في التنبيه، وأي محتوى ديناميكي في تفاصيل التنبيه، هنا. |
| IsIncident | boolean | مُهملة. تعيين دائمًا إلى خطأ. |
| ProcessingEndTime | datetime | وقت نشر التنبيه.
|
| ProductComponentName | سلسلة | اسم مكوّن المنتج الذي أنشأ التنبيه. |
| اسم المنتج | سلسلة | اسم المنتج الذي أنشأ التنبيه. |
| اسم الموفر | سلسلة | اسم موّفر التنبيه (الخدمة داخل المنتج) الذي أنشأ التنبيه. |
| RemediationSteps | سلسلة | قائمة بعناصر الإجراءات التي يجب اتخاذها لمعالجةِ التنبيه. |
| Resourceid | سلسلة | معرّف فريد للمورد الذي هو موضوع التنبيه. |
| SourceComputerId | سلسلة | مُهملة. هو معرّف العامل على الخادم الذي أنشأ التنبيه. |
| نظام المصدر | سلسلة | مُهملة. يتم ملؤها دائمًا بالسلسلة "الكشف". |
| StartTime | datetime | وقت بدء تأثيرِ التنبيه.
|
| الحالة | سلسلة | حالة التنبيه خلال دورة الحياة. [جديد / قيد التقدم / تم حله / تم تجاهله / غير معروف] |
| معرّف تنبيه النظام | سلسلة | المعرّف الداخلي الفريد للتنبيه في Microsoft Azure Sentinel. |
| التكتيكات | سلسلة | قائمة بفواصل لتكتيكات MITRE ATT&CK المرتبطة بالتنبيه. |
| فنيات | سلسلة | قائمة بفواصل لتقنيات MITRE ATT&CK المقترنة بالتنبيه. |
| TenantId | سلسلة | المعرّف الفريد للمستأجر. |
| TimeGenerated | datetime | وقت إنشاء التنبيه (بالتوقيت العالمي المُتفق عليه). |
| النوع | سلسلة | الثابت ('تنبيه أمان') |
| Vendorname | سلسلة | بائع المنتجِ الذي أنتج التنبيه. |
| VendorOriginalId | سلسلة | معرّف فريد لمثيل التنبيه المحدد، الذي تم تعيينه بواسطة المنتج الأصلي. |
| WorkspaceResourceGroup | سلسلة | مهملة |
| WorkspaceSubscriptionId | سلسلة | مهملة |
الخطوات التالية
تعرّف على المزيد حول تنبيهات الأمان وقواعد التحليلات: