Alerte Microsoft Defender pour cloud
Microsoft Defender pour Cloud est un système de gestion de la sécurité d’infrastructure unifié qui renforce la posture de sécurité de vos centres de données et fournit une protection avancée contre les menaces sur vos charges de travail hybrides dans le cloud, qu’elles se situent dans Azure ou non, ainsi qu’en local
Ce connecteur est disponible dans les produits et régions suivants :
| Service | classe | Régions |
|---|---|---|
| Applications logiques | Norme | Toutes les régions Logic Apps , à l’exception des suivantes : - Us Department of Defense (DoD) |
| Contact | |
|---|---|
| Nom | Microsoft |
| URL |
Microsoft LogicApps Support |
| Métadonnées du connecteur | |
|---|---|
| Éditeur | Microsoft |
| Pour en savoir plus> | https://docs.microsoft.com/connectors/ascalert |
| Site internet | https://azure.microsoft.com/services/security-center/ |
Limitations
| Nom | Appels | Période de renouvellement |
|---|---|---|
| Appels d’API par connexion | 100 | 60 secondes |
Déclencheurs
| Lorsqu’une alerte Microsoft Defender pour cloud est créée ou déclenchée |
Se déclenche lorsqu’une alerte est créée dans Microsoft Defender pour Cloud et correspond aux critères d’évaluation configurés dans une automatisation ou lorsqu’elle est exécutée manuellement sur une alerte spécifique. Remarque : l’exécution automatisée de ce déclencheur nécessite l’activation de l’automatisation dans Microsoft Defender pour cloud et l’activation d’un plan de protection de charge de travail en tant qu’étape préliminaire. Pour ce faire, visitez Microsoft Defender pour cloud. |
Lorsqu’une alerte Microsoft Defender pour cloud est créée ou déclenchée
Se déclenche lorsqu’une alerte est créée dans Microsoft Defender pour Cloud et correspond aux critères d’évaluation configurés dans une automatisation ou lorsqu’elle est exécutée manuellement sur une alerte spécifique. Remarque : l’exécution automatisée de ce déclencheur nécessite l’activation de l’automatisation dans Microsoft Defender pour cloud et l’activation d’un plan de protection de charge de travail en tant qu’étape préliminaire. Pour ce faire, visitez Microsoft Defender pour cloud.
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
URI d’alerte
|
AlertUri | string |
Lien direct pour afficher l’alerte avec tous ses détails dans Microsoft Defender for Cloud dans le portail Azure. |
|
Nom complet de l’alerte
|
AlertDisplayName | string |
Nom complet de l’alerte, cette valeur est affichée aux utilisateurs as-is ou avec des paramètres supplémentaires. (pour obtenir des exemples de mise en forme des espaces réservés, consultez la section Notes). Il est conseillé de ne pas placer les titulaires dans le champ AlertDisplayName et d’avoir la même valeur pour toutes les alertes partageant la même valeur AlertType, car les alertes peuvent être agrégées en fonction du champ AlertType et affichées aux utilisateurs finaux comme tels. |
|
Type d’alerte
|
AlertType | string |
Nom de type de l’alerte. Les alertes du même type doivent avoir le même nom. Ce champ est une chaîne clé représentant la catégorie ou le type de l’alerte et non d’une instance d’alerte. Toutes les instances d’alerte de la même logique/analytique de détection doivent partager la même valeur pour le type d’alerte. |
|
Entité compromise
|
CompromisedEntity | string |
Nom complet de l’entité principale signalée. Ce champ est présenté à l’utilisateur AS-IS et n’est pas requis pour se conformer à un format quelconque. Il peut contenir l’ordinateur, les adresses IP, les machines virtuelles ou tout ce que le fournisseur d’alertes décide de présenter. |
|
Descriptif
|
Description | string |
Description de l’alerte, peut avoir des espaces réservés de paramètres (pour des exemples de mise en forme des espaces réservés voir dans la section Notes) |
|
Heure de fin (UTC)
|
EndTimeUtc | date-time |
Heure de fin de l’alerte d’impact (heure du dernier événement contribuant à l’alerte). |
|
Intention
|
Intent | string |
Champ facultatif qui spécifie l’intention liée à la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge, figure dans l’énumération Kill Chain Intent. Plusieurs valeurs peuvent être sélectionnées dans ce champ. Le format JSON de ce champ doit sérialiser les valeurs d’énumération sous forme de chaînes. Plusieurs valeurs doivent être séparées par des virgules, par exemple la détection, l’exploitation. |
|
Nom du produit
|
ProductName | string |
Nom du produit qui a publié cette alerte, c’est-à-dire ASC, WDATP, MCAS. |
|
Niveau de gravité
|
Severity | string |
Gravité de l’alerte telle qu’elle est signalée par le fournisseur. Valeurs possibles : Informational (a.k.a Silent), Low, Medium, High |
|
Heure de début (UTC)
|
StartTimeUtc | date-time |
Heure de début de l’impact de l’alerte (heure du premier événement contribuant à l’alerte). |
|
ID d’alerte système
|
SystemAlertId | string |
Contient l’identificateur du produit de l’alerte pour le produit. Il s’agit de l’identificateur d’alerte qui est généralement disponible en externe pour interroger des alertes par les clients ou les systèmes externes. L’éditeur d’alerte interne à un produit doit utiliser le champ ProviderAlertId pour signaler tout identificateur à utiliser dans une étendue d’un seul produit. |
|
Heure générée (UTC)
|
TimeGenerated | date-time |
Heure de génération de l’alerte. Cette fois-ci doit contenir l’heure à laquelle il a été généré par le fournisseur d’alertes, s’il manque que le système lui attribue l’heure à laquelle il a été reçu pour traitement. |
|
Nom du fournisseur
|
VendorName | string |
Nom du fournisseur qui déclenche l’alerte, cette valeur est affichée aux utilisateurs, c’est-à-dire Microsoft ou Deep Security Agent ou Microsoft Antimalware, etc. |
|
Entities
|
Entities | array of object |
Liste des entités associées à l’alerte. Cette liste peut contenir un mélange d’entités de différents types. Le type d’entités peut être l’un des types définis dans Entitiessection. Les entités qui ne figurent pas dans la liste ci-dessous peuvent également être envoyées, mais nous ne garantissons pas qu’elles seront traitées (mais l’alerte n’échouera pas). Impossible de définir la valeur Null (est défini sur énumérable vide à la place). |
|
Liens étendus
|
ExtendedLinks | array of object |
Sac pour tous les liens liés à l’alerte. Ce sac peut contenir un mélange de liens pour divers types. Les liens qui ne figurent pas dans la liste ci-dessous peuvent également être envoyés, mais nous ne garantissons pas qu’ils seront traités (mais l’alerte n’échouera pas). Impossible de définir la valeur Null (sera défini sur énumérable vide à la place) |
|
Étapes de correction
|
RemediationSteps | array of string |
Éléments d’action manuels à entreprendre pour corriger l’alerte. Peut avoir des espaces réservés de paramètres. (pour obtenir des exemples de mise en forme des espaces réservés, consultez la section Notes). |
|
Identificateurs de ressources
|
ResourceIdentifiers | array of object |
Identificateurs de ressource pour cette alerte qui peuvent être utilisés pour diriger l’alerte vers le groupe d’exposition de produit approprié (espace de travail, abonnement, etc.). Il peut y avoir plusieurs identificateurs de type différent par alerte. Pour plus d’informations, consultez Les identificateurs de ressource. |