Upozornění Microsoft Defenderu pro cloud
Microsoft Defender for Cloud je jednotný systém pro správu zabezpečení infrastruktury, který posiluje stav zabezpečení vašich datových center a poskytuje pokročilou ochranu před hrozbami napříč hybridními úlohami v cloudu – ať už jsou v Azure nebo ne – i místně.
Tento konektor je dostupný v následujících produktech a oblastech:
| Service | Class | Regions |
|---|---|---|
| Logic Apps | Standard | Všechny oblasti Logic Apps s výjimkou následujících: - Ministerstvo obrany USA (DoD) |
| Kontakt | |
|---|---|
| Název | Microsoft |
| URL |
Podpora Microsoft LogicApps |
| Metadata konektoru | |
|---|---|
| Vydavatel | Microsoft |
| Víc se uč> | https://docs.microsoft.com/connectors/ascalert |
| Internetová stránka | https://azure.microsoft.com/services/security-center/ |
Limity omezování
| Name | Volání | Období obnovení |
|---|---|---|
| Volání rozhraní API na připojení | 100 | 60 sekund |
Aktivační události
| Když se vytvoří nebo aktivuje upozornění Microsoft Defenderu pro cloud |
Aktivuje se, když se v Programu Microsoft Defender for Cloud vytvoří upozornění a vyhovuje kritériím vyhodnocení nakonfigurovaným v automatizaci nebo při ručním spuštění u konkrétní výstrahy. Poznámka: Automatizované spouštění tohoto triggeru vyžaduje povolení automatizace v programu Microsoft Defender for Cloud a povolení plánu ochrany úloh jako předběžného kroku. Uděláte to tak, že navštívíte Microsoft Defender for Cloud. |
Když se vytvoří nebo aktivuje upozornění Microsoft Defenderu pro cloud
Aktivuje se, když se v Programu Microsoft Defender for Cloud vytvoří upozornění a vyhovuje kritériím vyhodnocení nakonfigurovaným v automatizaci nebo při ručním spuštění u konkrétní výstrahy. Poznámka: Automatizované spouštění tohoto triggeru vyžaduje povolení automatizace v programu Microsoft Defender for Cloud a povolení plánu ochrany úloh jako předběžného kroku. Uděláte to tak, že navštívíte Microsoft Defender for Cloud.
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
Identifikátor URI upozornění
|
AlertUri | string |
Přímý odkaz pro zobrazení výstrahy se všemi podrobnostmi v programu Microsoft Defender for Cloud na webu Azure Portal. |
|
Zobrazovaný název upozornění
|
AlertDisplayName | string |
Zobrazovaný název výstrahy se uživatelům zobrazí buď as-is, nebo s dalšími parametry. (příklady pro formátování držitelů místa najdete v oddílu poznámek). Doporučujeme nezadávat do pole AlertDisplayName držitele a mít stejnou hodnotu pro všechny výstrahy, které sdílejí stejnou hodnotu AlertType, protože výstrahy lze agregovat podle pole AlertType a zobrazit koncovým uživatelům, jako je například. |
|
Typ upozornění
|
AlertType | string |
Název typu výstrahy. Výstrahy stejného typu by měly mít stejný název. Toto pole je řetězec s klíči představující kategorii nebo typ výstrahy, a ne instanci výstrahy. Všechny instance výstrah ze stejné logiky detekce nebo analýzy by měly mít stejnou hodnotu pro typ výstrahy. |
|
Ohrožená entita
|
CompromisedEntity | string |
Zobrazovaný název hlavní entity hlášené. Toto pole se zobrazí uživateli AS-IS a nemusí odpovídat žádnému formátu. Může obsahovat počítače, IP adresy, virtuální počítače nebo cokoli, co se poskytovatel upozornění rozhodne prezentovat. |
|
Description
|
Description | string |
Popis výstrahy může obsahovat zástupné symboly parametrů (příklady pro formátování držitelů místa v oddílu poznámek). |
|
Koncový čas (UTC)
|
EndTimeUtc | date-time |
Koncový čas upozornění na dopad (čas poslední události, která do výstrahy přispívá). |
|
Záměr
|
Intent | string |
Volitelné pole, které za výstrahou určuje záměr související s řetězem ukončení. Seznam podporovaných hodnot je v části Kill Chain Intent výčtu. V tomto poli lze vybrat více hodnot. Formát JSON pro toto pole by měl serializovat hodnoty výčtu jako řetězce. Více hodnot by mělo být odděleno čárkami, například sondou, zneužitím. |
|
Název produktu
|
ProductName | string |
Název produktu, který publikoval toto upozornění, tj. ASC, WDATP, MCAS. |
|
Závažnost
|
Severity | string |
Závažnost výstrahy, jak ji hlásí poskytovatel. Možné hodnoty: informační (ticho), Nízká, Střední, Vysoká |
|
Čas zahájení (UTC)
|
StartTimeUtc | date-time |
Počáteční čas upozornění na dopad (čas první události, která přispívá k upozornění). |
|
ID upozornění systému
|
SystemAlertId | string |
Obsahuje identifikátor produktu výstrahy pro daný produkt. Toto je identifikátor výstrahy, který je obvykle k dispozici externě pro dotazování výstrah zákazníky nebo externími systémy. Vydavatel upozornění, který je interní pro produkt, by měl použít pole ProviderAlertId, aby mohl hlásit jakýkoli identifikátor, který se má použít v oboru jednoho produktu. |
|
Čas vygenerovaný (UTC)
|
TimeGenerated | date-time |
Čas vygenerování výstrahy Tento čas by měl obsahovat čas, který vygeneroval poskytovatel upozornění, pokud k němu systém chybí, přiřadí mu čas přijetí ke zpracování. |
|
Jméno dodavatele
|
VendorName | string |
Název dodavatele, který výstrahu vyvolá, se tato hodnota zobrazí uživatelům stejně, jako je Microsoft nebo Deep Security Agent nebo Microsoft Antimalware atd. |
|
Entitety
|
Entities | array of object |
Seznam entit souvisejících s výstrahou Tento seznam může obsahovat kombinaci entit různých typů. Typ entit může být libovolný z typů definovaných v části Entitiessection. Entity, které nejsou v níže uvedeném seznamu, se dají odeslat, ale nezaručujeme, že se budou zpracovávat (upozornění ale nebude neúspěšné ověření). Nelze nastavit na hodnotu null (místo toho bude nastavena na prázdný výčet). |
|
Rozšířené odkazy
|
ExtendedLinks | array of object |
Taška pro všechny odkazy související s upozorněním. Tato taška může obsahovat kombinaci odkazů pro různé typy. Odkazy, které nejsou v níže uvedeném seznamu, se dají také odeslat, ale nezaručujeme, že se budou zpracovávat (upozornění ale nebude neúspěšné ověření). Nelze nastavit na hodnotu null (místo toho bude nastavena na prázdný výčet). |
|
Kroky nápravy
|
RemediationSteps | array of string |
Položky ruční akce, které se mají provést k nápravě výstrahy. Může obsahovat zástupné symboly parametrů. (příklady pro formátování držitelů místa najdete v oddílu poznámek). |
|
Identifikátory prostředků
|
ResourceIdentifiers | array of object |
Identifikátory prostředků pro tuto výstrahu, které lze použít k nasměrování výstrahy na správnou skupinu expozic produktů (pracovní prostor, předplatné atd.). Pro každou výstrahu může existovat více identifikátorů různých typů. Další podrobnosti najdete v tématu Identifikátory prostředků. |