Teilen über


Schemareferenz zu Microsoft Sentinel-Sicherheitswarnungen

Microsoft Sentinel-Analyseregeln erstellen Incidents als Ergebnis von Sicherheitswarnungen. Sicherheitswarnungen können aus verschiedenen Quellen stammen und entsprechend verschiedene Arten von Analyseregeln verwenden, um Incidents zu erstellen:

  • Geplante Analyseregeln generieren Warnungen als Ergebnis ihrer regulären Abfragen von Daten in Protokollen, die aus externen Quellen erfasst wurden, und diese Regeln erstellen Incidents aus diesen Warnungen. (Für die Zwecke dieses Dokuments enthalten „geplante“ Regelwarnungen NRT-Regelwarnungen.)

  • Microsoft Security Analytics-Regeln erstellen Vorfälle aus Warnungen, die as-is von anderen Microsoft-Sicherheitsprodukten aufgenommen werden, z. B. Microsoft Defender XDR und Microsoft Defender für Cloud.

Unabhängig von der Quelle werden diese Warnungen alle zusammen in der SecurityAlert-Tabelle in Ihrem Log Analytics-Arbeitsbereich gespeichert. In diesem Artikel wird das Schema dieser Tabelle beschrieben.

Da Warnungen aus vielen Quellen stammen, werden nicht alle Felder von allen Anbietern verwendet. Einige Felder werden möglicherweise leer gelassen.

Schemadefinitionen

Spaltenname type BESCHREIBUNG
AlertLink Zeichenfolge Ein Link zur Warnung im Portal des auslösenden Produkts.
AlertName Zeichenfolge Der Anzeigename der Warnung.
  • Geplante Regelwarnungen: aus dem Regelnamen.
  • Erfasste Warnungen: der Anzeigename der Warnung im auslösenden Produkt.
AlertSeverity Zeichenfolge Der Schweregrad der Warnung. [Information / Niedrig / Mittel / Hoch]
AlertType Zeichenfolge Der Warnungstyp.
  • Geplante Regelwarnungen: aus der Regel-ID.
  • Erfasste Warnungen: Einige Produkte gruppieren ihre Warnungen nach Typ. Kann in manchen Fällen mit dem Produktnamen identisch oder synonym sein.
CompromisedEntity Zeichenfolge Der Anzeigename der Hauptentität, zu der Warnungen ausgelöst werden.
ConfidenceLevel Zeichenfolge Der Konfidenzniveau dieser Warnung: Wie sicher ist der Anbieter, dass dies kein falsch positives Ergebnis ist.
ConfidenceScore real Die Konfidenzbewertung der Warnung auf einer Skala von 0,0 bis 1,0, falls zutreffend. Diese Eigenschaft ermöglicht eine differenziertere Darstellung des Konfidenzniveaus der Warnung im Vergleich zum Feld ConfidenceLevel.
Beschreibung string Die Beschreibung der Warnung.
DisplayName Zeichenfolge Der Anzeigename der Warnung. Synonym mit AlertName, wird aber aus Kompatibilitätsgründen beibehalten.
EndTime datetime Die Endzeit der Auswirkungen der Warnung.
  • Geplante Regelwarnungen: der Wert des Felds TimeGenerated für das letzte von der Abfrage erfasste Ereignis.
  • Erfasste Warnungen: der Zeitpunkt des letzten in der Warnung enthaltenen Ereignisses oder der letzten Aktivität.
Entitäten Zeichenfolge Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste kann eine Kombination aus Entitäten verschiedener Typen enthalten. Als Entitätstypen kommen alle im Schema definierten Typen infrage, wie in der Entitätsdokumentation beschrieben.
ExtendedLinks Zeichenfolge Eine Sammlung für alle Links im Zusammenhang mit der Warnung. Diese Sammlung kann eine Kombination aus Links verschiedener Typen enthalten.
ExtendedProperties Zeichenfolge Eine Sammlung anderer Eigenschaften der Warnung, einschließlich benutzerdefinierter Eigenschaften. Alle in der Warnung definierten benutzerdefinierten Details und alle dynamischen Inhalte in den Warnungsdetails werden hier gespeichert.
IsIncident boolean VERALTET. Immer auf false festgelegt.
ProcessingEndTime datetime Der Zeitpunkt der Veröffentlichung der Warnung.
  • Geplante Regelwarnungen: der Wert des Felds TimeGenerated.
  • Erfasste Warnungen: die Zeit, zu der das auslösende Produkt die Erzeugung der Warnung abschließt.
ProductComponentName Zeichenfolge Der Name der Komponente des Produkts, die die Warnung ausgelöst hat.
ProductName Zeichenfolge Der Name des Produkts, das die Warnung ausgelöst hat.
ProviderName Zeichenfolge Der Name des Warnungsanbieters (des Diensts innerhalb des Produkts), der die Warnung ausgelöst hat.
RemediationSteps Zeichenfolge Eine Liste von Aktionselementen zum Beheben der Warnung.
ResourceId Zeichenfolge Ein eindeutiger Bezeichner für die Ressource, die das Subjekt der Warnung ist.
SourceComputerId Zeichenfolge VERALTET. Dies war die Agent-ID auf dem Server, der die Warnung erstellt hat.
SourceSystem Zeichenfolge VERALTET. Wird immer mit der Zeichenfolge „Detection“ aufgefüllt.
StartTime datetime Die Startzeit der Auswirkungen der Warnung.
  • Geplante Regelwarnungen: der Wert des Felds TimeGenerated für das erste von der Abfrage erfasste Ereignis.
  • Erfasste Warnungen: der Zeitpunkt des ersten in der Warnung enthaltenen Ereignisses oder der ersten Aktivität.
Status Zeichenfolge Der Status der Warnung innerhalb des Lebenszyklus. [Neu / InProgress / Gelöst / Verworfen / Unbekannt]
SystemAlertId Zeichenfolge Die interne eindeutige ID für die Warnung in Microsoft Sentinel.
Taktik Zeichenfolge Eine durch Trennzeichen getrennte Liste der MITRE ATT&CK-Taktiken, die der Warnung zugeordnet sind.
Techniken Zeichenfolge Eine durch Trennzeichen getrennte Liste der MITRE ATT&CK-Techniken, die der Warnung zugeordnet sind.
TenantId Zeichenfolge Die eindeutige ID des Mandanten.
TimeGenerated datetime Der Zeitpunkt, zu dem die Warnung generiert wurde (in UTC).
Type Zeichenfolge Die Konstante („SecurityAlert“)
VendorName Zeichenfolge Der Hersteller des Produkts, das die Warnung erzeugt hat.
VendorOriginalId Zeichenfolge Eindeutige ID für die jeweilige Warnungsinstanz, festgelegt durch das auslösende Produkt.
WorkspaceResourceGroup Zeichenfolge VERALTET
WorkspaceSubscriptionId Zeichenfolge VERALTET

Nächste Schritte

Weitere Informationen zu Sicherheitswarnungen und Analyseregeln: