referenční informace ke schématu výstrah zabezpečení Microsoft Sentinel

Microsoft Sentinel analytická pravidla vytvářejí incidenty jako výsledek výstrah zabezpečení. Výstrahy zabezpečení můžou pocházet z různých zdrojů a podle toho k vytváření incidentů používat různé druhy analytických pravidel:

• Pravidla plánované analýzy generují výstrahy jako výsledek svých pravidelných dotazů na data v protokolech přijatých z externích zdrojů a stejná pravidla vytvářejí incidenty z těchto výstrah. (Pro účely tohoto dokumentu zahrnují "naplánovaná" upozornění na pravidla NRT.)

• Pravidla analýzy zabezpečení microsoftu vytvářejí incidenty z výstrah, které se ingestují stejně jako ostatní produkty zabezpečení Microsoftu, například Microsoft Defender XDR a Microsoft Defender pro cloud.

Bez ohledu na zdroj jsou všechny tyto výstrahy uložené společně v tabulce SecurityAlert ve vašem pracovním prostoru služby Log Analytics. Tento článek popisuje schéma této tabulky.

Vzhledem k tomu, že výstrahy pocházejí z mnoha zdrojů, nepoužívají všechna pole všichni poskytovatelé. Některá pole můžou zůstat prázdná.

Definice schématu

Název sloupce	Typ	Popis
Odkaz na výstrahu	řetězec	Odkaz na výstrahu na portálu původního produktu.
Název výstrahy	řetězec	Zobrazovaný název upozornění. Upozornění na naplánovaná pravidla: převzato z názvu pravidla. Ingestované výstrahy: zobrazovaný název výstrahy v původním produktu.
VýstrahaSeverity	řetězec	Závažnost výstrahy. [Informační / Nízká / Střední / Vysoká]
AlertType	řetězec	Typ výstrahy. Upozornění naplánovaných pravidel: převzato z ID pravidla. Ingestované výstrahy: Některé produkty seskupují výstrahy podle typu. V některých případech může být stejný nebo synonymní pro název produktu.
CompromisedEntity	řetězec	Zobrazovaný název hlavní entity, na které se zobrazuje upozornění.
Úroveň spolehlivosti	řetězec	Úroveň spolehlivosti této výstrahy: jak je poskytovatel jistý, že se nejedná o falešně pozitivní zprávu.
ConfidenceScore	real	Skóre spolehlivosti výstrahy na škále 0,0–1,0, pokud je k dispozici. Tato vlastnost umožňuje podrobnější znázornění úrovně spolehlivosti výstrahy v porovnání s polem ConfidenceLevel.
Popis	řetězec	Popis výstrahy.
Displayname	řetězec	Zobrazovaný název upozornění. Synonymum pro AlertName , ale zachovává se kvůli kompatibilitě.
Endtime	Datetime	Čas ukončení dopadu výstrahy. Upozornění naplánovaného pravidla: hodnota pole TimeGenerated pro poslední událost zachycenou dotazem. Ingestované výstrahy: čas poslední události nebo aktivity zahrnuté do výstrahy.
Entity	řetězec	Seznam entit identifikovaných v upozornění Tento seznam může obsahovat kombinaci entit různých typů. Typy entit můžou být libovolné typy definované ve schématu, jak je popsáno v dokumentaci k entitám.
ExtendedLinks	řetězec	Taška (kolekce) pro všechny odkazy související s upozorněním. Tato taška může obsahovat kombinaci odkazů různých typů.
Rozšířené vlastnosti	řetězec	Kolekce dalších vlastností výstrahy, včetně uživatelem definovaných vlastností. Všechny vlastní podrobnosti definované v upozornění a veškerý dynamický obsah v podrobnostech výstrahy jsou zde uložené.
IsIncident	Boolean	ZASTARALÉ. Vždy nastaveno na hodnotu false.
ProcessingEndTime	Datetime	Čas publikování výstrahy. Upozornění naplánovaných pravidel: hodnota pole TimeGenerated . Ingestované výstrahy: Čas, kdy původní produkt dokončí výrobu výstrahy.
ProductComponentName	řetězec	Název komponenty produktu, který výstrahu vygeneroval.
Productname	řetězec	Název produktu, který výstrahu vygeneroval.
Providername	řetězec	Název poskytovatele upozornění (služby v rámci produktu), který výstrahu vygeneroval.
Nápravné kroky	řetězec	Seznam položek akcí, které se mají provést k nápravě výstrahy.
Resourceid	řetězec	Jedinečný identifikátor prostředku, který je předmětem výstrahy.
SourceComputerId	řetězec	ZASTARALÉ. Bylo ID agenta na serveru, který výstrahu vytvořil.
SourceSystem	řetězec	ZASTARALÉ. Vždy se naplní řetězcem "Detection".
Starttime	Datetime	Počáteční čas dopadu výstrahy. Upozornění naplánovaného pravidla: hodnota pole TimeGenerated pro první událost zachycenou dotazem. Ingestované výstrahy: čas první události nebo aktivity zahrnuté do výstrahy.
Stav	řetězec	Stav výstrahy v rámci životního cyklu. [Nové / Probíhající / Vyřešeno / Zamítnuto / Neznámé]
Id systemAlertId	řetězec	Interní jedinečné ID výstrahy v Microsoft Sentinel.
Taktiky	řetězec	Seznam taktik MITRE ATT&CK přidružených k upozornění
Techniky	řetězec	Seznam metod MITRE ATT&CK spojených s výstrahou
Id tenanta	řetězec	Jedinečné ID tenanta.
TimeGenerated	Datetime	Čas vygenerování výstrahy (v UTC).
Typ	řetězec	Konstanta ('SecurityAlert')
Název dodavatele	řetězec	Dodavatel produktu, který výstrahu vytvořil.
VendorOriginalId	řetězec	Jedinečné ID konkrétní instance výstrahy nastavené původním produktem
WorkspaceResourceGroup	řetězec	ZASTARALÉ
Id předplatného pracovního prostoru	řetězec	ZASTARALÉ

Další kroky

Další informace o upozorněních zabezpečení a analytických pravidlech:

• Předdefinované zjišťování hrozeb

• Vytvoření vlastních analytických pravidel pro detekci hrozeb

• Export a import analytických pravidel do šablon ARM a z šablon ARM