Schemareferenz zu Microsoft Sentinel-Sicherheitswarnungen

Microsoft Sentinel-Analyseregeln erstellen Incidents als Ergebnis von Sicherheitswarnungen. Sicherheitswarnungen können aus verschiedenen Quellen stammen und entsprechend verschiedene Arten von Analyseregeln verwenden, um Incidents zu erstellen:

• Geplante Analyseregeln generieren Warnungen als Ergebnis ihrer regulären Abfragen von Daten in Protokollen, die aus externen Quellen erfasst wurden, und diese Regeln erstellen Incidents aus diesen Warnungen. (Für die Zwecke dieses Dokuments enthalten „geplante“ Regelwarnungen NRT-Regelwarnungen.)

• Microsoft Security Analytics-Regeln erstellen Vorfälle aus Warnungen, die as-is von anderen Microsoft-Sicherheitsprodukten aufgenommen werden, z. B. Microsoft Defender XDR und Microsoft Defender für Cloud.

Unabhängig von der Quelle werden diese Warnungen alle zusammen in der SecurityAlert-Tabelle in Ihrem Log Analytics-Arbeitsbereich gespeichert. In diesem Artikel wird das Schema dieser Tabelle beschrieben.

Da Warnungen aus vielen Quellen stammen, werden nicht alle Felder von allen Anbietern verwendet. Einige Felder werden möglicherweise leer gelassen.

Schemadefinitionen

Spaltenname	type	BESCHREIBUNG
AlertLink	Zeichenfolge	Ein Link zur Warnung im Portal des auslösenden Produkts.
AlertName	Zeichenfolge	Der Anzeigename der Warnung. Geplante Regelwarnungen: aus dem Regelnamen. Erfasste Warnungen: der Anzeigename der Warnung im auslösenden Produkt.
AlertSeverity	Zeichenfolge	Der Schweregrad der Warnung. [Information / Niedrig / Mittel / Hoch]
AlertType	Zeichenfolge	Der Warnungstyp. Geplante Regelwarnungen: aus der Regel-ID. Erfasste Warnungen: Einige Produkte gruppieren ihre Warnungen nach Typ. Kann in manchen Fällen mit dem Produktnamen identisch oder synonym sein.
CompromisedEntity	Zeichenfolge	Der Anzeigename der Hauptentität, zu der Warnungen ausgelöst werden.
ConfidenceLevel	Zeichenfolge	Der Konfidenzniveau dieser Warnung: Wie sicher ist der Anbieter, dass dies kein falsch positives Ergebnis ist.
ConfidenceScore	real	Die Konfidenzbewertung der Warnung auf einer Skala von 0,0 bis 1,0, falls zutreffend. Diese Eigenschaft ermöglicht eine differenziertere Darstellung des Konfidenzniveaus der Warnung im Vergleich zum Feld ConfidenceLevel.
Beschreibung	string	Die Beschreibung der Warnung.
DisplayName	Zeichenfolge	Der Anzeigename der Warnung. Synonym mit AlertName, wird aber aus Kompatibilitätsgründen beibehalten.
EndTime	datetime	Die Endzeit der Auswirkungen der Warnung. Geplante Regelwarnungen: der Wert des Felds TimeGenerated für das letzte von der Abfrage erfasste Ereignis. Erfasste Warnungen: der Zeitpunkt des letzten in der Warnung enthaltenen Ereignisses oder der letzten Aktivität.
Entitäten	Zeichenfolge	Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste kann eine Kombination aus Entitäten verschiedener Typen enthalten. Als Entitätstypen kommen alle im Schema definierten Typen infrage, wie in der Entitätsdokumentation beschrieben.
ExtendedLinks	Zeichenfolge	Eine Sammlung für alle Links im Zusammenhang mit der Warnung. Diese Sammlung kann eine Kombination aus Links verschiedener Typen enthalten.
ExtendedProperties	Zeichenfolge	Eine Sammlung anderer Eigenschaften der Warnung, einschließlich benutzerdefinierter Eigenschaften. Alle in der Warnung definierten benutzerdefinierten Details und alle dynamischen Inhalte in den Warnungsdetails werden hier gespeichert.
IsIncident	boolean	VERALTET. Immer auf false festgelegt.
ProcessingEndTime	datetime	Der Zeitpunkt der Veröffentlichung der Warnung. Geplante Regelwarnungen: der Wert des Felds TimeGenerated. Erfasste Warnungen: die Zeit, zu der das auslösende Produkt die Erzeugung der Warnung abschließt.
ProductComponentName	Zeichenfolge	Der Name der Komponente des Produkts, die die Warnung ausgelöst hat.
ProductName	Zeichenfolge	Der Name des Produkts, das die Warnung ausgelöst hat.
ProviderName	Zeichenfolge	Der Name des Warnungsanbieters (des Diensts innerhalb des Produkts), der die Warnung ausgelöst hat.
RemediationSteps	Zeichenfolge	Eine Liste von Aktionselementen zum Beheben der Warnung.
ResourceId	Zeichenfolge	Ein eindeutiger Bezeichner für die Ressource, die das Subjekt der Warnung ist.
SourceComputerId	Zeichenfolge	VERALTET. Dies war die Agent-ID auf dem Server, der die Warnung erstellt hat.
SourceSystem	Zeichenfolge	VERALTET. Wird immer mit der Zeichenfolge „Detection“ aufgefüllt.
StartTime	datetime	Die Startzeit der Auswirkungen der Warnung. Geplante Regelwarnungen: der Wert des Felds TimeGenerated für das erste von der Abfrage erfasste Ereignis. Erfasste Warnungen: der Zeitpunkt des ersten in der Warnung enthaltenen Ereignisses oder der ersten Aktivität.
Status	Zeichenfolge	Der Status der Warnung innerhalb des Lebenszyklus. [Neu / InProgress / Gelöst / Verworfen / Unbekannt]
SystemAlertId	Zeichenfolge	Die interne eindeutige ID für die Warnung in Microsoft Sentinel.
Taktik	Zeichenfolge	Eine durch Trennzeichen getrennte Liste der MITRE ATT&CK-Taktiken, die der Warnung zugeordnet sind.
Techniken	Zeichenfolge	Eine durch Trennzeichen getrennte Liste der MITRE ATT&CK-Techniken, die der Warnung zugeordnet sind.
TenantId	Zeichenfolge	Die eindeutige ID des Mandanten.
TimeGenerated	datetime	Der Zeitpunkt, zu dem die Warnung generiert wurde (in UTC).
Type	Zeichenfolge	Die Konstante („SecurityAlert“)
VendorName	Zeichenfolge	Der Hersteller des Produkts, das die Warnung erzeugt hat.
VendorOriginalId	Zeichenfolge	Eindeutige ID für die jeweilige Warnungsinstanz, festgelegt durch das auslösende Produkt.
WorkspaceResourceGroup	Zeichenfolge	VERALTET
WorkspaceSubscriptionId	Zeichenfolge	VERALTET

Nächste Schritte

Weitere Informationen zu Sicherheitswarnungen und Analyseregeln:

• Standardmäßig verfügbare Erkennung von Bedrohungen

• Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen

• Exportieren und Importieren von Analyseregeln in und aus ARM-Vorlagen