A Microsoft Sentinel biztonsági riasztási sémájának referenciája
A Microsoft Sentinel elemzési szabályai biztonsági riasztások eredményeként incidenseket hoznak létre. A biztonsági riasztások különböző forrásokból származhatnak, és ennek megfelelően különböző elemzési szabályokat használnak incidensek létrehozásához:
Az ütemezett elemzési szabályok riasztásokat hoznak létre a külső forrásokból beszúrt naplókban lévő adatok rendszeres lekérdezései miatt, és ugyanezek a szabályok incidenseket hoznak létre ezekből a riasztásokból. (A dokumentum alkalmazásában az "ütemezett" szabályriasztások a következők: NRT-szabályriasztások.)
A Microsoft Security analytics szabályai olyan incidenseket hoznak létre, amelyek más Microsoft biztonsági termékekből, például a Microsoft Defender XDR-ből és Felhőhöz készült Microsoft Defender származó riasztásokból származnak.
A forrástól függetlenül ezek a riasztások együtt vannak tárolva a Log Analytics-munkaterület SecurityAlert táblájában. Ez a cikk a táblázat sémáját ismerteti.
Mivel a riasztások számos forrásból származnak, nem minden mezőt használ az összes szolgáltató. Előfordulhat, hogy egyes mezők üresen maradnak.
Sémadefiníciók
Oszlop neve | Type | Description |
---|---|---|
AlertLink | sztring | A riasztásra mutató hivatkozás a származó termék portálján. |
AlertName | sztring | A riasztás megjelenítendő neve.
|
AlertSeverity | sztring | A riasztás súlyossága. [Információs / Alacsony / Közepes / Magas] |
AlertType | sztring | A riasztás típusa.
|
CompromisedEntity | sztring | A riasztásban szereplő fő entitás megjelenítendő neve. |
Megbízhatósági szint | sztring | A riasztás megbízhatósági szintje: mennyire biztos abban, hogy a szolgáltató nem hamis pozitív. |
ConfidenceScore | valós szám | A riasztás megbízhatósági pontszáma, ha van, 0,0-1,0-s skálán. Ez a tulajdonság lehetővé teszi a riasztás megbízhatósági szintjének részletesebb megjelenítését a ConfidenceLevel mezőhöz képest. |
Ismertetés | sztring | A riasztás leírása. |
Megjelenítendő név | sztring | A riasztás megjelenítendő neve. A AlertName szinonimája, de a kompatibilitás érdekében megtartva. |
EndTime | dátum/idő | A riasztás hatásának befejezési ideje.
|
Entitások | sztring | A riasztásban azonosított entitások listája. Ez a lista különböző típusú entitások kombinációját is tartalmazhatja. Az entitások típusai lehetnek a sémában meghatározottak bármelyike, az entitások dokumentációjában leírtak szerint. |
ExtendedLinks | sztring | Egy táska (gyűjtemény) a riasztáshoz kapcsolódó összes hivatkozáshoz. Ez a táska különböző típusú kapcsolatok kombinációját is tartalmazhatja. |
ExtendedProperties | sztring | A riasztás egyéb tulajdonságainak gyűjteménye, beleértve a felhasználó által definiált tulajdonságokat is. A riasztásban definiált egyéni adatok és a riasztás részleteinek dinamikus tartalmai itt lesznek tárolva. |
IsIncident | Logikai | ELAVULT. Mindig állítsa hamisra. |
ProcessingEndTime | dátum/idő | A riasztás közzétételének időpontja.
|
ProductComponentName | sztring | A riasztást létrehozó termék összetevőjének neve. |
Productname | sztring | A riasztást létrehozó termék neve. |
ProviderName | sztring | A riasztást létrehozó riasztásszolgáltató (a terméken belüli szolgáltatás) neve. |
RemediationSteps | sztring | A riasztás szervizeléséhez végrehajtandó műveletelemek listája. |
ResourceId | sztring | A riasztás tárgyát képező erőforrás egyedi azonosítója. |
SourceComputerId | sztring | ELAVULT. Az ügynök azonosítója volt a riasztást létrehozó kiszolgálón. |
SourceSystem | sztring | ELAVULT. Mindig fel van töltve az "Észlelés" sztringgel. |
StartTime | dátum/idő | A riasztás hatásának kezdő időpontja.
|
Állapot | sztring | A riasztás állapota az életcikluson belül. [Új / Bejövő forgalom / Megoldott / Elutasítva / Ismeretlen] |
SystemAlertId | sztring | A Riasztás belső egyedi azonosítója a Microsoft Sentinelben. |
Taktika | sztring | A riasztáshoz társított MITRE ATT&CK-taktikák vesszővel tagolt listája. |
Technikák | sztring | A riasztáshoz társított MITRE ATT&CK technikák vesszővel tagolt listája. |
TenantId | sztring | A bérlő egyedi azonosítója. |
TimeGenerated | dátum/idő | A riasztás létrehozásának időpontja (UTC-ben). |
Típus | sztring | Az állandó ('SecurityAlert') |
Szállítónév | sztring | A riasztást előállító termék szállítója. |
VendorOriginalId | sztring | Az adott riasztási példány egyedi azonosítója, amelyet az eredeti termék állít be. |
WorkspaceResourceGroup | sztring | ELAVULT |
WorkspaceSubscriptionId | sztring | ELAVULT |
További lépések
További információ a biztonsági riasztásokról és az elemzési szabályokról:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: