Microsoft Sentinel referencia de esquema de alertas de seguridad

Microsoft Sentinel reglas de análisis crean incidentes como resultado de alertas de seguridad. Las alertas de seguridad pueden provenir de diferentes orígenes y, en consecuencia, usar diferentes tipos de reglas de análisis para crear incidentes:

• Las reglas de análisis programadas generan alertas como resultado de sus consultas regulares de datos en los registros ingeridos de orígenes externos y esas mismas reglas crean incidentes a partir de esas alertas. (Para los fines de este documento, las alertas de reglas "programadas" incluyen alertas de reglas de NRT).

• Las reglas de análisis de seguridad de Microsoft crean incidentes a partir de alertas que se ingieren tal cual de otros productos de seguridad de Microsoft, por ejemplo, Microsoft Defender XDR y Microsoft Defender for Cloud.

Independientemente del origen, estas alertas se almacenan juntas en la tabla SecurityAlert del área de trabajo de Log Analytics. En este artículo se describe el esquema de esta tabla.

Dado que las alertas proceden de muchos orígenes, no todos los proveedores usan todos los campos. Algunos campos pueden dejarse en blanco.

Definiciones de esquema

Nombre de columna	Tipo	Description
AlertLink	string	Vínculo a la alerta en el portal del producto de origen.
AlertName	string	Nombre para mostrar de la alerta. Alertas de regla programadas: tomadas del nombre de la regla. Alertas ingeridas: nombre para mostrar de la alerta en el producto de origen.
AlertSeverity	string	Gravedad de la alerta. [Informativo / Bajo / Medio / Alto]
AlertType	string	Tipo de alerta. Alertas de regla programadas: tomadas del identificador de regla. Alertas ingeridas: algunos productos agrupan sus alertas por tipo. En algunos casos, puede ser idéntico o sinónimo del nombre del producto.
CompromisedEntity	string	Nombre para mostrar de la entidad principal en la que se está alertando.
ConfidenceLevel	string	El nivel de confianza de esta alerta: cuán seguro está el proveedor de que no se trata de un falso positivo.
ConfidenceScore	real	La puntuación de confianza de la alerta, en una escala de 0,0 a 1,0, si procede. Esta propiedad permite una representación más detallada del nivel de confianza de la alerta en comparación con el campo ConfidenceLevel.
Descripción	string	Descripción de la alerta.
DisplayName	string	Nombre para mostrar de la alerta. Sinónimo de AlertName , pero se conserva por compatibilidad.
EndTime	datetime	Hora de finalización del impacto de la alerta. Alertas de regla programadas: el valor del campo TimeGenerated para el último evento capturado por la consulta. Alertas ingeridas: la hora del último evento o actividad incluido en la alerta.
Entities	string	Lista de las entidades identificadas en la alerta. Esta lista puede incluir una combinación de entidades de tipos diferentes. Los tipos de las entidades pueden ser cualquiera de los definidos en el esquema, como se describe en la documentación de entidades.
ExtendedLinks	string	Un contenedor (una colección) para todos los vínculos relacionados con la alerta. Esta bolsa puede incluir una combinación de vínculos de diferentes tipos.
ExtendedProperties	string	Colección de otras propiedades de la alerta, incluidas las propiedades definidas por el usuario. Aquí se almacenan todos los detalles personalizados definidos en la alerta y cualquier contenido dinámico en los detalles de la alerta.
IsIncident	booleano	EN DESUSO. Siempre se establece en false.
ProcessingEndTime	datetime	Hora de publicación de la alerta. Alertas de reglas programadas: el valor del campo TimeGenerated . Alertas ingeridas: la hora en que el producto de origen completa la producción de la alerta.
ProductComponentName	string	Nombre del componente del producto que generó la alerta.
ProductName	string	Nombre del producto que generó la alerta.
ProviderName	string	Nombre del proveedor de alertas (el servicio dentro del producto) que generó la alerta.
RemediationSteps	string	Lista de elementos de acción que se deben realizar para corregir la alerta.
ResourceId	string	Identificador único del recurso que es el sujeto de la alerta.
SourceComputerId	string	EN DESUSO. Era el identificador de agente en el servidor que creó la alerta.
SourceSystem	string	EN DESUSO. Siempre se rellena con la cadena "Detection".
StartTime	datetime	Hora de inicio del impacto de la alerta. Alertas de regla programadas: el valor del campo TimeGenerated para el primer evento capturado por la consulta. Alertas ingeridas: la hora del primer evento o actividad incluido en la alerta.
Estado	string	Estado de la alerta dentro del ciclo de vida. [Nuevo / InProgress / Resuelto / Descartado / Desconocido]
SystemAlertId	string	Identificador único interno de la alerta en Microsoft Sentinel.
Tácticas	string	Una lista delimitada por comas de MITRE ATT&tácticas de CK asociadas a la alerta.
Técnicas	string	Una lista delimitada por comas de MITRE ATT&técnicas de CK asociadas a la alerta.
TenantId	string	Identificador único del inquilino.
TimeGenerated	datetime	La hora en que se generó la alerta (en UTC).
Tipo	string	Constante ('SecurityAlert')
VendorName	string	Proveedor del producto que produjo la alerta.
VendorOriginalId	string	Identificador único para la instancia de alerta específica, establecida por el producto de origen.
WorkspaceResourceGroup	string	EN DESUSO
WorkspaceSubscriptionId	string	EN DESUSO

Pasos siguientes

Obtenga más información sobre las alertas de seguridad y las reglas de análisis:

• Detección de amenazas de forma inmediata

• Creación de reglas de análisis personalizadas para detectar amenazas

• Exportación e importación de reglas de análisis hacia y desde plantillas de ARM