Warnungsschemas

Defender for Cloud bietet Warnungen, die Ihnen helfen, Sicherheitsbedrohungen zu identifizieren, zu verstehen und darauf zu reagieren. Warnungen werden generiert, wenn Defender for Cloud verdächtige Aktivitäten oder ein sicherheitsbezogenes Problem in Ihrer Umgebung erkennt. Sie können diese Warnungen im Defender for Cloud-Portal anzeigen oder sie für weitere Analysen und Reaktionen in externe Tools exportieren.

Sie können diese Sicherheitswarnungen auf den Seiten von Microsoft Defender für Cloud anzeigen – Dashboard „Übersicht“, Warnungen, Seiten zur Ressourcenintegrität oder Dashboard zum Workloadschutz – und mithilfe externer Tools wie z. B.:

• Microsoft Sentinel: die cloudnative SIEM-Lösung von Microsoft. Der Sentinel-Connector ruft Warnungen von Microsoft Defender für Cloud ab und sendet sie an den Log Analytics-Arbeitsbereich für Microsoft Sentinel.
• SIEMs von Drittanbietern: Senden von Daten an Azure Event Hubs. Integrieren Sie anschließend Ihre Event Hubs-Daten in eine SIEM-Lösung eines Drittanbieters. Weitere Informationen finden Sie unter Streamen von Warnungen in eine SIEM-, SOAR- oder IT-Service-Management-Lösung.
• Die REST-API: Wenn Sie die REST-API für den Zugriff auf Warnungen verwenden, finden Sie weitere Informationen in der Online-API-Dokumentation zu Warnungen.

Wenn Sie programmgesteuerte Methoden verwenden, um die Warnungen zu verarbeiten, benötigen Sie das richtige Schema, um die für Sie relevanten Felder zu finden. Wenn Sie in Event Hubs exportieren oder die Workflowautomatisierung mit generischen HTTP-Connectors auslösen möchten, sollten Schemas verwendet werden, um die JSON-Objekte ordnungsgemäß zu parsen.

Wichtig

Da das Schema für jedes dieser Szenarien etwas anders ist, achten Sie darauf, die entsprechende Registerkarte auszuwählen.

Die Schemas

Microsoft Sentinel

Der Sentinel-Connector ruft Warnungen von Microsoft Defender für Cloud ab und sendet sie an den Log Analytics-Arbeitsbereich für Microsoft Sentinel.

Zum Erstellen eines Sentinel-Falls oder -Vorfalls mithilfe von Defender für Cloud-Warnungen benötigen Sie das Schema für die angezeigten Warnungen.

In der Dokumentation zu Microsoft Sentinel können Sie mehr erfahren.

Das Datenmodell des Schemas

Feld	BESCHREIBUNG
AlertName	Anzeigename der Warnung
AlertType	Eindeutiger Warnungsbezeichner
ConfidenceLevel	(Optional) Konfidenzniveau dieser Warnung (hoch/niedrig)
ConfidenceScore	(Optional) Numerischer Konfidenzindikator der Sicherheitswarnung
Beschreibung	Beschreibungstext für die Warnung
DisplayName	Anzeigename der Warnung
EndTime	Der Endzeitpunkt der Auswirkung der Warnung (der Zeitpunkt des letzten Ereignisses, das zur Warnung beiträgt)
Entitäten	Eine Liste der Entitäten im Zusammenhang mit der Warnung. Diese Liste kann eine Mischung aus Entitäten unterschiedlicher Typen enthalten.
ExtendedLinks	(Optional) Eine Behälter für alle Links im Zusammenhang mit der Warnung. Dieser Behälter kann eine Mischung aus Links für verschiedene Typen enthalten.
ExtendedProperties	Ein Behälter zusätzlicher Felder, die für die Warnung relevant sind
IsIncident	Bestimmt, ob es sich bei der Warnung um einen Incident oder eine reguläre Warnung handelt. Ein Incident ist eine Sicherheitswarnung, die mehrere Warnungen in einem Sicherheitsincident aggregiert.
ProcessingEndTime	UTC-Zeitstempel der Erstellung der Warnung
ProductComponentName	(Optional) Der Name einer Komponente innerhalb des Produkts, das die Warnung generiert hat.
ProductName	Konstante („Azure Security Center“)
ProviderName	unused
RemediationSteps	Manuelle Aktionselemente zum Beheben der Sicherheitsbedrohung
ResourceId	Vollständige Bezeichner der betroffenen Ressource
Severity	Der Schweregrad der Warnung (hoch/mittel/niedrig/Information)
SourceComputerId	eine eindeutige GUID für den betroffenen Server (wenn die Warnung auf dem Server generiert wird)
SourceSystem	unused
StartTime	Der Startzeitpunkt der Auswirkung der Warnung (der Zeitpunkt des ersten Ereignisses, das zur Warnung beiträgt)
SystemAlertId	Eindeutiger Bezeichner dieser Instanz der Sicherheitswarnung
TenantId	der Bezeichner des übergeordneten Azure Active Directory-Mandanten des Abonnements, unter dem sich die überprüfte Ressource befindet
TimeGenerated	UTC-Zeitstempel der Bewertung (Security Center-Überprüfungszeit) (identisch mit „DiscoveredTimeUTC“)
Typ	Konstante („SecurityAlert“)
VendorName	Der Name des Anbieters, der die Warnung ausgelöst hat (z. B. „Microsoft“)
VendorOriginalId	unused
WorkspaceResourceGroup	wenn die Warnung auf einem virtuellen Computer, einem Server, einer VM-Skalierungsgruppe oder einer App Service-Instanz generiert wird, die Meldungen an einen Arbeitsbereich sendet: Name dieser Ressourcengruppe des Arbeitsbereichs
WorkspaceSubscriptionId	wenn die Warnung auf einem virtuellen Computer, einem Server, einer VM-Skalierungsgruppe oder einer App Service-Instanz generiert wird, die Meldungen an einen Arbeitsbereich sendet: Abonnement-ID des Arbeitsbereichs

Azure-Aktivitätsprotokoll

Microsoft Defender für Cloud überwacht generierte Sicherheitswarnungen im Azure-Aktivitätsprotokoll als Ereignisse.

Sie können die Sicherheitswarnungen im Aktivitätsprotokoll anzeigen, indem Sie folgendermaßen nach dem Ereignis „Activate Alert“ suchen:

JSON-Beispiel für Warnungen, die an das Azure-Aktivitätsprotokoll gesendet werden

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Das Datenmodell des Schemas

Feld	BESCHREIBUNG
channels	Konstant („Operation“)
correlationId	Die Warnungs-ID von Microsoft Defender für Cloud
description	Beschreibung der Warnung
eventDataId	Siehe correlationId
eventName	Die Unterfelder „value“ und „localizedValue“ enthalten den Anzeigenamen der Warnung.
category	Die Unterfelder „value“ und „localizedValue“ sind konstant („Security“).
eventTimestamp	UTC-Zeitstempel, wann die Warnung generiert wurde
id	Die vollqualifizierte Warnungs-ID
level	Konstant („Informational“)
operationId	Siehe „correlationId“
operationName	Das Wertfeld ist konstant – Microsoft.Security/locations/alerts/activate/action, und der lokalisierte Wert istActivate Alert (kann potenziell nach dem Gebietsschema des Benutzers lokalisiert werden)
resourceGroupName	Enthält den Namen der Ressourcengruppe
resourceProviderName	Die Unterfelder „value“ und „localizedValue“ sind konstant („Microsoft.Security“).
resourceType	Die Unterfelder „value“ und „localizedValue“ sind konstant („Microsoft.Security/locations/alerts“).
Ressourcen-ID	Die vollqualifizierte Azure-Ressourcen-ID
status	Die Unterfelder „value“ und „localizedValue“ sind konstant („Active“).
subStatus	Die Unterfelder „value“ und „localizedValue“ sind leer.
submissionTimestamp	Der UTC-Zeitstempel der Ereignisübermittlung an das Aktivitätsprotokoll
subscriptionId	Die Abonnement-ID der kompromittierten Ressource
properties	Ein JSON-Behälter mit anderen Eigenschaften, die sich auf die Warnung beziehen. Eigenschaften können sich je nach Warnung ändern. Die folgenden Felder werden jedoch in allen Warnungen angezeigt: - severity: Der Schweregrad des Angriffs - compromisedEntity: Der Name der kompromittierten Ressource - remediationSteps: Array von Problembehandlungsschritten, die durchgeführt werden müssen - intent: Absicht des Angriffs. Mögliche Absichten finden Sie in der Tabelle mit den Absichten.
relatedEvents	Konstant, leeres Array

Workflowautomatisierung (Vorschauversion)

Informationen zum Warnungsschema bei Verwendung der Workflowautomatisierung finden Sie in der Connectors-Dokumentation.

Fortlaufendem Export

Das Defender für Cloud-Feature für den fortlaufenden Export übergibt Warnungsdaten an:

• Azure Event Hubs verwendet das gleiche Schema wie die Warnungs-API.
• Log Analytics-Arbeitsbereiche gemäß dem SecurityAlert-Schema in der Azure Monitor-Datendokumentation.

MS Graph-API

Microsoft Graph ist das Gateway zu Daten und Intelligence in Microsoft 365. Microsoft Graph bietet ein einheitliches Programmierbarkeitsmodell, mit dem Sie auf die enormen Datenmengen in Microsoft 365, Windows 10 und Enterprise Mobility + Security zugreifen können. Verwenden Sie die Vielzahl von Daten in Microsoft Graph, um Apps für Organisationen und Consumer zu erstellen, die mit Millionen von Benutzern interagieren.

Das Schema und eine JSON-Darstellung für Sicherheitswarnungen, die an MS Graph gesendet werden, sind in der Microsoft Graph-Dokumentation verfügbar.

Verwandte Artikel

• Log Analytics-Arbeitsbereiche: Azure Monitor speichert die Protokolldaten in einem Log Analytics-Arbeitsbereich, einem Container, der Daten und Konfigurationsinformationen enthält.
• Microsoft Sentinel: die cloudnative SIEM-Lösung von Microsoft
• Azure Event Hubs: der vollständig verwaltete Microsoft-Dienst für die Datenerfassung in Echtzeit

Nächster Schritt

Fortlaufender Export von Defender für Cloud-Daten