Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel analyseregler opretter hændelser som følge af sikkerhedsbeskeder. Sikkerhedsbeskeder kan komme fra forskellige kilder og derfor bruge forskellige typer analyseregler til at oprette hændelser:
Planlagte analyseregler genererer beskeder som følge af deres almindelige forespørgsler af data i logge, der er hentet fra eksterne kilder, og de samme regler opretter hændelser ud fra disse beskeder. (I dette dokument omfatter "planlagte" regelbeskeder beskeder om NRT-regler.
Regler for Microsoft Security-analyse opretter hændelser fra beskeder, der indtages, som de er, fra andre Microsoft-sikkerhedsprodukter, f.eks. Microsoft Defender XDR og Microsoft Defender for Cloud.
Uanset kilden gemmes disse beskeder i tabellen SecurityAlert i dit Log Analytics-arbejdsområde. I denne artikel beskrives skemaet for denne tabel.
Da beskeder kommer fra mange kilder, bruges ikke alle felter af alle providere. Nogle felter kan være tomme.
Skemadefinitioner
| Kolonnenavn | Type | Beskrivelse |
|---|---|---|
| Beskedlink | Streng | Et link til beskeden på portalen for det oprindelige produkt. |
| Beskednavn | Streng | Beskedens viste navn.
|
| AlertSeverity | Streng | Alvorsgraden af beskeden. [Oplysende/lav/mellem/høj] |
| AlertType | Streng | Typen af besked.
|
| CompromisedEntity | Streng | Det viste navn på det hovedobjekt, der advares om. |
| Konfidensniveau | Streng | Tillidsniveauet for denne besked: Hvor sikker udbyderen er på, at dette ikke er et falsk positivt. |
| ConfidenceScore | Reel | Konfidensscoren for beskeden på en skala fra 0,0-1,0, hvis det er relevant. Denne egenskab giver en mere detaljeret repræsentation af beskedens konfidensniveau sammenlignet med feltet ConfidenceLevel. |
| Beskrivelse | Streng | Beskrivelsen af beskeden. |
| Displayname | Streng | Beskedens viste navn. Synonym med AlertName , men bevares af hensyn til kompatibilitet. |
| Sluttidspunkt | Datetime | Sluttidspunktet for virkningen af beskeden.
|
| Enheder | Streng | En liste over de enheder, der er identificeret i beskeden. Denne liste kan indeholde en kombination af objekter af forskellige typer. Objekternes typer kan være en af dem, der er defineret i skemaet, som beskrevet i dokumentationen til enheder. |
| ExtendedLinks | Streng | En taske (en samling) til alle links, der er relateret til beskeden. Denne taske kan indeholde en kombination af links af forskellige typer. |
| Udvidedeegenskaber | Streng | En samling af andre egenskaber for beskeden, herunder brugerdefinerede egenskaber. Alle brugerdefinerede oplysninger , der er defineret i beskeden, og eventuelt dynamisk indhold i beskedoplysningerne, gemmes her. |
| IsIncident | Boolesk | FORÆLDET. Angiv altid som falsk. |
| ProcessingEndTime | Datetime | Tidspunktet for publiceringen af beskeden.
|
| ProductComponentName | Streng | Navnet på komponenten for det produkt, der genererede beskeden. |
| Productname | Streng | Navnet på det produkt, der genererede beskeden. |
| ProviderName | Streng | Navnet på den beskedudbyder (tjenesten i produktet), der genererede beskeden. |
| Afhjælpningstrin | Streng | En liste over handlingselementer, der skal udføres for at afhjælpe beskeden. |
| Ressource-id | Streng | Et entydigt id for den ressource, der er emnet for beskeden. |
| Kildecomputer-id | Streng | FORÆLDET. Var agent-id'et på den server, der oprettede beskeden. |
| Kildesystem | Streng | FORÆLDET. Altid udfyldt med strengen "Detection". |
| Starttidspunkt | Datetime | Starttidspunktet for virkningen af beskeden.
|
| Status | Streng | Status for beskeden i livscyklussen. [Ny/InProgress/Løst/Afvist/Ukendt] |
| SystemAlertId | Streng | Det interne entydige id for beskeden i Microsoft Sentinel. |
| Taktik | Streng | En kommasepareret liste over MITRE ATT-&CK-taktikker, der er knyttet til beskeden. |
| Teknikker | Streng | En kommasepareret liste over MITRE ATT-&CK-teknikker, der er knyttet til advarslen. |
| Lejer-id | Streng | Det entydige id for lejeren. |
| Tid genereret | Datetime | Det tidspunkt, hvor beskeden blev genereret (i UTC). |
| Type | Streng | Konstanten ('SecurityAlert') |
| Producentnavn | Streng | Leverandøren af det produkt, der har produceret beskeden. |
| LeverandørOriginalId | Streng | Entydigt id for den specifikke beskedforekomst, der er angivet af det oprindelige produkt. |
| Ressourcegruppe for arbejdsområde | Streng | FORÆLDET |
| Abonnements-id for arbejdsområde | Streng | FORÆLDET |
Næste trin
Få mere at vide om sikkerhedsbeskeder og analyseregler: