Referenční informace ke schématu upozornění zabezpečení služby Microsoft Sentinel

Analytická pravidla Microsoft Sentinelu vytvářejí incidenty v důsledku výstrah zabezpečení. Výstrahy zabezpečení můžou pocházet z různých zdrojů a odpovídajícím způsobem používají různé druhy analytických pravidel k vytváření incidentů:

• Plánovaná analytická pravidla generují výstrahy v důsledku pravidelných dotazů na data v protokolech přijatých z externích zdrojů a stejná pravidla vytvářejí incidenty z těchto výstrah. (Pro účely tohoto dokumentu zahrnují "naplánovaná" upozornění pravidelUpozornění pravidel NRT.)

• Pravidla analýzy zabezpečení Microsoftu vytvářejí incidenty z výstrah, které se ingestují tak, jak jsou, z jiných produktů zabezpečení Microsoftu, například Z XDR v programu Microsoft Defender a Microsoft Defender for Cloud.

Bez ohledu na zdroj se tato upozornění ukládají společně v tabulce SecurityAlert v pracovním prostoru služby Log Analytics. Tento článek popisuje schéma této tabulky.

Protože výstrahy pocházejí z mnoha zdrojů, ne všechna pole používají všichni poskytovatelé. Některá pole můžou zůstat prázdná.

Definice schématu

Název sloupce	Typ	Popis
AlertLink	string	Odkaz na výstrahu na portálu původního produktu.
AlertName	string	Zobrazovaný název výstrahy. Upozornění naplánovaného pravidla: převzatá z názvu pravidla Ingestované výstrahy: zobrazovaný název výstrahy v původním produktu.
Výstrahy bez ohledu na to	string	Závažnost výstrahy. [Informační / Nízká / Střední / Vysoká]
AlertType	string	Typ výstrahy. Upozornění naplánovaného pravidla: odebraná z ID pravidla. Ingestované výstrahy: Některé produkty seskupují výstrahy podle typu. V některých případech může být shodný s názvem produktu nebo synonymem.
Ohrožená hodnotaEntity	string	Zobrazovaný název hlavní entity, na které se zobrazuje upozornění.
ConfidenceLevel	string	Úroveň spolehlivosti tohoto upozornění: jak se ujistěte, že poskytovatel není falešně pozitivní.
ConfidenceScore	real	Skóre spolehlivosti výstrahy v rozsahu 0,0–1,0, pokud je to možné. Tato vlastnost umožňuje jemněji odstupňovanou reprezentaci úrovně spolehlivosti výstrahy v porovnání s polem ConfidenceLevel.
Popis	string	Popis výstrahy.
DisplayName	string	Zobrazovaný název výstrahy. Synonymum s AlertName , ale zachovává se kvůli kompatibilitě.
Endtime	datetime	Koncový čas dopadu výstrahy. Upozornění naplánovaného pravidla: hodnota pole TimeGenerated pro poslední událost zachycenou dotazem. Ingestované výstrahy: čas poslední události nebo aktivity zahrnuté v upozornění.
Entity	string	Seznam entit identifikovaných v upozornění Tento seznam může obsahovat kombinaci entit různých typů. Typy entit můžou být libovolné z entit definovaných ve schématu, jak je popsáno v dokumentaci k entitám.
ExtendedLinks	string	Taška (kolekce) pro všechny odkazy související s upozorněním. Tato taška může obsahovat kombinaci propojení různých typů.
ExtendedProperties	string	Kolekce dalších vlastností výstrahy, včetně uživatelem definovaných vlastností. Zde jsou uloženy všechny vlastní podrobnosti definované v upozornění a veškerý dynamický obsah v podrobnostech výstrahy.
IsIncident	boolean	ZASTARALÉ. Vždy je nastavená na false.
ProcessingEndTime	datetime	Čas publikování výstrahy. Upozornění naplánovaného pravidla: hodnota pole TimeGenerated . Ingestované výstrahy: čas, kdy původní produkt dokončí výrobu výstrahy.
ProductComponentName	string	Název komponenty produktu, který výstrahu vygeneroval.
Productname	string	Název produktu, který výstrahu vygeneroval.
Providername	string	Název poskytovatele upozornění (služba v rámci produktu), který výstrahu vygeneroval.
Nápravné kroky	string	Seznam položek akcí, které se mají provést k nápravě výstrahy.
ResourceId	string	Jedinečný identifikátor prostředku, který je předmětem výstrahy.
SourceComputerId	string	ZASTARALÉ. Bylo ID agenta na serveru, který výstrahu vytvořil.
SourceSystem	string	ZASTARALÉ. Vždy naplněný řetězcem "Detection".
Starttime	datetime	Počáteční čas dopadu výstrahy. Upozornění naplánovaného pravidla: hodnota pole TimeGenerated pro první událost zachycenou dotazem. Ingestované výstrahy: čas první události nebo aktivity zahrnuté v upozornění.
Stav	string	Stav výstrahy v rámci životního cyklu. [Nový / InProgress / Vyřešeno / Zamítnuto / Neznámé]
SystemAlertId	string	Interní jedinečné ID výstrahy v Microsoft Sentinelu.
Taktiky	string	Seznam taktik MITRE ATT&CK přidružených k upozornění
Techniky	string	Seznam technik MITRE ATT&CK přidružených k upozornění
Id tenanta	string	Jedinečné ID tenanta.
TimeGenerated	datetime	Čas vygenerování výstrahy (v UTC).
Typ	string	Konstanta (SecurityAlert)
VendorName	string	Dodavatel produktu, který výstrahu vytvořil.
VendorOriginalId	string	Jedinečné ID konkrétní instance výstrahy nastavené původního produktu.
WorkspaceResourceGroup	string	ZASTARALÉ
WorkspaceSubscriptionId	string	ZASTARALÉ

Další kroky

Další informace o upozorněních zabezpečení a analytických pravidlech:

• Integrovaná detekce hrozeb

• Vytváření vlastních analytických pravidel pro detekci hrozeb

• Export a import analytických pravidel do a z šablon ARM