Referencia del esquema de alertas de seguridad de Microsoft Sentinel

Las reglas de análisis de Microsoft Sentinel crean incidentes como resultado de las alertas de seguridad. Las alertas de seguridad pueden proceden de distintos orígenes y, en consecuencia, usan diferentes tipos de reglas de análisis para crear incidentes:

• Las reglas de análisis programadas generan alertas como resultado de sus consultas periódicas de datos en registros ingeridos desde orígenes externos, y esas mismas reglas crean incidentes a partir de esas alertas. (Para los fines de este documento, las alertas de reglas "programadas" incluyen alertas de reglas NRT).

• Las reglas de análisis de seguridad de Microsoft crean incidentes a partir de alertas que se ingieren tal como están de otros productos de seguridad de Microsoft, por ejemplo, XDR de Microsoft Defender y Microsoft Defender for Cloud.

Independientemente del origen, estas alertas se almacenan juntas en la tabla SecurityAlert de su área de trabajo de Log Analytics. En este artículo se describe el esquema de esta tabla.

Dado que las alertas proceden de muchos orígenes, no todos los campos son usados por todos los proveedores. Es posible que algunos campos se queden en blanco.

Definiciones de esquema

Nombre de columna	Tipo	Descripción
AlertLink	string	Un vínculo a la alerta en el portal del producto de origen.
AlertName	string	Nombre para mostrar de la alerta. Alertas de reglas programadas: tomadas del nombre de la regla Alertas ingeridas: el nombre para mostrar de la alerta en el producto de origen.
AlertSeverity	string	Gravedad de la alerta. [Informativo / Bajo / Medio / Alto]
AlertType	string	Tipo de alerta. Alertas de reglas programadas: tomadas del identificador de regla. Alertas ingeridas: algunos productos agrupan sus alertas por tipo. En algunos casos, pueden ser idénticas o sinónimas del nombre del producto.
CompromisedEntity	string	El nombre para mostrar de la entidad principal sobre la que se va a alertar.
ConfidenceLevel	string	Nivel de confianza de esta alerta: la seguridad del proveedor de que no se trata de un falso positivo.
ConfidenceScore	real	La puntuación de confianza de la alerta, en una escala de 0,0-1,0, si procede. Esta propiedad permite una representación más detallada del nivel de confianza de la alerta en comparación con el campo ConfidenceLevel.
Descripción	string	La descripción de la alerta.
DisplayName	string	Nombre para mostrar de la alerta. Sinónimo de AlertName, pero se conserva por compatibilidad.
EndTime	datetime	La hora de finalización del impacto de la alerta. Alertas de reglas programadas: el valor del campo TimeGenerated para el último evento registrado por la consulta. Alertas ingeridas: la hora del último evento o actividad incluido en la alerta.
Entidades	string	Una lista de las entidades identificadas en la alerta. Esta lista puede incluir una combinación de entidades de distintos tipos. Los tipos de entidades pueden ser cualquiera de los definidos en el esquema, como se describe en la documentación de entidades.
ExtendedLinks	string	Un contenedor (una recopilación) de todos los vínculos relacionados con la alerta. Este contenedor puede incluir una combinación de vínculos de distintos tipos.
ExtendedProperties	string	Una recopilación de otras propiedades de la alerta, incluidas las propiedades definidas por el usuario. Los detalles personalizados definidos en la alerta y cualquier contenido dinámico en los detalles de la alerta se almacenan aquí.
IsIncident	boolean	EN DESUSO. Siempre se establece en falso.
ProcessingEndTime	datetime	La hora de la publicación de la alerta. Alertas de reglas programadas: el valor del campo TimeGenerated. Alertas ingeridas: la hora a la que el producto de origen finaliza la producción de la alerta.
ProductComponentName	string	El nombre del componente del producto que ha generado la alerta.
ProductName	string	El nombre del producto que ha generado la alerta.
ProviderName	string	El nombre del proveedor de alertas (el servicio dentro del producto) que ha generado la alerta.
RemediationSteps	string	Una lista de elementos de acción que se deben llevar a cabo para corregir la alerta.
ResourceId	string	Un identificador único para el recurso que es el asunto de la alerta.
SourceComputerId	string	EN DESUSO. Era el identificador del agente en el servidor que ha creado la alerta.
SourceSystem	string	EN DESUSO. Siempre se rellena con la cadena "Detection".
StartTime	datetime	La hora de inicio del impacto de la alerta. Alertas de reglas programadas: el valor del campo TimeGenerated para el primer evento registrado por la consulta. Alertas ingeridas: la hora del último evento o actividad incluido en la alerta.
Estado	string	El estado de la alerta dentro del ciclo de vida. [Nuevo / En curso / Resuelto / Descartado / Desconocido]
SystemAlertId	string	El identificador único interno de la alerta en Microsoft Sentinel.
Tácticas	string	Una lista delimitada por comas de tácticas de MITRE ATT&CK asociadas a la alerta.
Técnicas	string	Una lista delimitada por comas de técnicas DE MITRE ATT&CK asociadas a la alerta.
TenantId	string	El identificador único del inquilino.
TimeGenerated	datetime	La hora en la que la alerta ha sido generada (en UTC).
Tipo	string	La constante ("SecurityAlert")
VendorName	string	El proveedor del producto que ha producido la alerta.
VendorOriginalId	string	Identificador único para la instancia de alerta específica, establecida por el producto de origen.
WorkspaceResourceGroup	string	EN DESUSO
WorkspaceSubscriptionId	string	EN DESUSO

Pasos siguientes

Más información sobre las alertas de seguridad y las reglas de análisis:

• Detección de amenazas integrada

• Creación de reglas de análisis personalizadas para detectar amenazas

• Exportación de reglas de análisis a plantillas de ARM y su importación desde