Informations de référence sur le schéma d’alerte de sécurité Microsoft Sentinel

Les règles analytiques Microsoft Sentinel créent des incidents à la suite des alertes de sécurité. Les alertes de sécurité peuvent provenir de différentes sources et, par conséquent, utilisent différents types de règles analytiques pour créer des incidents :

• Les règles analytiques planifiées génèrent des alertes à la suite de leurs requêtes normales de données dans les journaux ingérés à partir de sources externes, et ces mêmes règles créent des incidents à partir de ces alertes. (Pour les besoins de ce document, les alertes de règle « planifiée » comprennent des alertes de règle NRT.)

• Les règles d’analyse de sécurité Microsoft créent des incidents à partir d’alertes ingérées telles quelles à partir d’autres produits de sécurité Microsoft, par exemple Microsoft Defender XDR et Microsoft Defender pour le cloud.

Quelle que soit la source, ces alertes sont toutes stockées dans la table SecurityAlert dans votre espace de travail Log Analytics. Cet article décrit le schéma de cette table.

Comme les alertes proviennent de nombreuses sources, les champs ne sont pas tous utilisés par tous les fournisseurs. Certains champs peuvent être vides.

Définitions de schéma

Nom de la colonne	Type	Description
AlertLink	string	Lien vers l’alerte dans le portail du produit d’origine.
AlertName	string	Nom complet de l’alerte. Alertes de règle planifiée : nom inspiré du nom de la règle. Alertes ingérées : nom d’affichage de l’alerte dans le produit d’origine.
AlertSeverity	string	Gravité de l’alerte. [Information / Bas / Moyen / Haut]
AlertType	string	Type d’alerte. Alertes de règle planifiée : type tiré de l’ID de la règle. Alertes ingérées : certains produits regroupent leurs alertes par type. Dans certains cas, peut être identique ou un synonyme du nom du produit.
CompromisedEntity	string	Nom complet de l’entité principale objet de l’alerte.
ConfidenceLevel	string	Niveau de confiance de cette alerte : degré de certitude du fournisseur qu’il ne s’agit pas d’un faux positif.
ConfidenceScore	real	Score de confiance de l’alerte, sur une échelle de 0,0-1,0, le cas échéant. Cette propriété permet de représenter de manière plus fine le niveau de confiance de l’alerte par rapport au champ ConfidenceLevel.
Description	string	Description de l’alerte.
DisplayName	string	Nom complet de l’alerte. Synonyme d’AlertName, mais conservé pour la compatibilité.
EndTime	DATETIME	Heure de fin de l’impact de l’alerte. Alertes de règle planifiée : valeur du champ TimeGenerated pour le dernier événement capturé par la requête. Alertes ingérées : heure du dernier événement ou de la dernière activité compris dans l’alerte.
Entités	string	Liste des entités identifiées dans l’alerte. Cette liste peut comprendre une combinaison d’entités de types différents. Les types d’entités peuvent être ceux définis dans le schéma, comme décrit dans la documentation sur les entités.
ExtendedLinks	string	Conteneur (collection) pour tous les liens liés à l’alerte. Ce conteneur peut comprendre une combinaison de liens de types différents.
ExtendedProperties	string	Collection d’autres propriétés de l’alerte, y compris les propriétés définies par l’utilisateur. Les détails personnalisés définis dans l’alerte et le contenu dynamique dans les détails de l’alerte sont stockés ici.
IsIncident	boolean	DÉPRÉCIÉ. Toujours défini sur false.
ProcessingEndTime	DATETIME	Heure de publication de l’alerte. Alertes de règle planifiée : valeur du champ TimeGenerated. Alertes ingérées : heure à laquelle le produit d’origine a produit l’alerte.
ProductComponentName	string	Nom du composant du produit qui a généré l’alerte.
ProductName	string	Nom du produit qui a généré l’alerte.
ProviderName	string	Nom du fournisseur d’alerte (service dans le produit) qui a généré l’alerte.
RemediationSteps	string	Liste d’éléments d’action à appliquer pour corriger l’alerte.
ResourceId	string	Identificateur unique de la ressource qui est objet de l’alerte.
SourceComputerId	string	DÉPRÉCIÉ. Était l’ID de l’agent sur le serveur qui a créé l’alerte.
SourceSystem	string	DÉPRÉCIÉ. Toujours rempli par la chaîne « Detection ».
StartTime	DATETIME	Heure de début de l’impact de l’alerte. Alertes de règle planifiée : valeur du champ TimeGenerated pour le premier événement capturé par la requête. Alertes ingérées : heure du premier événement ou de la première activité compris dans l’alerte.
État	string	État de l’alerte dans le cycle de vie. [Nouveau / En cours / Résolu / Ignoré / Inconnu]
SystemAlertId	string	ID unique interne de l’alerte dans Microsoft Sentinel.
Tactique	string	Liste délimitée par des virgules des tactiques MITRE ATT&CK associées à l’alerte.
Techniques	string	Liste délimitée par des virgules des techniques MITRE ATT&CK associées à l’alerte.
TenantId	string	ID unique du locataire.
TimeGenerated	DATETIME	Heure à laquelle l’alerte a été générée (en heure UTC).
Type	string	Constante (« SecurityAlert »)
VendorName	string	Fournisseur du produit qui a généré l’alerte.
VendorOriginalId	string	ID unique de l’instance d’alerte spécifique, défini par le produit d’origine.
WorkspaceResourceGroup	string	DÉPRÉCIÉ
WorkspaceSubscriptionId	string	DÉPRÉCIÉ

Étapes suivantes

En savoir plus sur les alertes de sécurité et les règles analytiques :

• Détection des menaces prête à l’emploi

• Créer des règles d’analytique personnalisées pour détecter des menaces

• Exporter et importer des règles analytiques vers et depuis des modèles ARM