A Microsoft Sentinel biztonsági riasztási sémájának referenciája

A Microsoft Sentinel elemzési szabályai biztonsági riasztások eredményeként incidenseket hoznak létre. A biztonsági riasztások különböző forrásokból származhatnak, és ennek megfelelően különböző elemzési szabályokat használnak incidensek létrehozásához:

• Az ütemezett elemzési szabályok riasztásokat hoznak létre a külső forrásokból beszúrt naplókban lévő adatok rendszeres lekérdezései miatt, és ugyanezek a szabályok incidenseket hoznak létre ezekből a riasztásokból. (A dokumentum alkalmazásában az "ütemezett" szabályriasztások a következők: NRT-szabályriasztások.)

• A Microsoft Security analytics szabályai olyan incidenseket hoznak létre, amelyek más Microsoft biztonsági termékekből, például a Microsoft Defender XDR-ből és Felhőhöz készült Microsoft Defender származó riasztásokból származnak.

A forrástól függetlenül ezek a riasztások együtt vannak tárolva a Log Analytics-munkaterület SecurityAlert táblájában. Ez a cikk a táblázat sémáját ismerteti.

Mivel a riasztások számos forrásból származnak, nem minden mezőt használ az összes szolgáltató. Előfordulhat, hogy egyes mezők üresen maradnak.

Sémadefiníciók

Oszlop neve	Type	Description
AlertLink	sztring	A riasztásra mutató hivatkozás a származó termék portálján.
AlertName	sztring	A riasztás megjelenítendő neve. Ütemezett szabályriasztások: a szabály nevéből származnak. Betöltött riasztások: a riasztás megjelenítendő neve az eredeti termékben.
AlertSeverity	sztring	A riasztás súlyossága. [Információs / Alacsony / Közepes / Magas]
AlertType	sztring	A riasztás típusa. Ütemezett szabályriasztások: a szabályazonosítóból származnak. Betöltött riasztások: egyes termékek típus szerint csoportosítják a riasztásokat. Bizonyos esetekben előfordulhat, hogy azonos vagy szinonimája a termék nevével.
CompromisedEntity	sztring	A riasztásban szereplő fő entitás megjelenítendő neve.
Megbízhatósági szint	sztring	A riasztás megbízhatósági szintje: mennyire biztos abban, hogy a szolgáltató nem hamis pozitív.
ConfidenceScore	valós szám	A riasztás megbízhatósági pontszáma, ha van, 0,0-1,0-s skálán. Ez a tulajdonság lehetővé teszi a riasztás megbízhatósági szintjének részletesebb megjelenítését a ConfidenceLevel mezőhöz képest.
Ismertetés	sztring	A riasztás leírása.
Megjelenítendő név	sztring	A riasztás megjelenítendő neve. A AlertName szinonimája, de a kompatibilitás érdekében megtartva.
EndTime	dátum/idő	A riasztás hatásának befejezési ideje. Ütemezett szabályriasztások: a lekérdezés által rögzített utolsó esemény TimeGenerated mezőjének értéke. Betöltött riasztások: a riasztásban szereplő utolsó esemény vagy tevékenység időpontja.
Entitások	sztring	A riasztásban azonosított entitások listája. Ez a lista különböző típusú entitások kombinációját is tartalmazhatja. Az entitások típusai lehetnek a sémában meghatározottak bármelyike, az entitások dokumentációjában leírtak szerint.
ExtendedLinks	sztring	Egy táska (gyűjtemény) a riasztáshoz kapcsolódó összes hivatkozáshoz. Ez a táska különböző típusú kapcsolatok kombinációját is tartalmazhatja.
ExtendedProperties	sztring	A riasztás egyéb tulajdonságainak gyűjteménye, beleértve a felhasználó által definiált tulajdonságokat is. A riasztásban definiált egyéni adatok és a riasztás részleteinek dinamikus tartalmai itt lesznek tárolva.
IsIncident	Logikai	ELAVULT. Mindig állítsa hamisra.
ProcessingEndTime	dátum/idő	A riasztás közzétételének időpontja. Ütemezett szabályriasztások: a TimeGenerated mező értéke. Betöltött riasztások: az az idő, amikor a származó termék befejezi a riasztás előállítását.
ProductComponentName	sztring	A riasztást létrehozó termék összetevőjének neve.
Productname	sztring	A riasztást létrehozó termék neve.
ProviderName	sztring	A riasztást létrehozó riasztásszolgáltató (a terméken belüli szolgáltatás) neve.
RemediationSteps	sztring	A riasztás szervizeléséhez végrehajtandó műveletelemek listája.
ResourceId	sztring	A riasztás tárgyát képező erőforrás egyedi azonosítója.
SourceComputerId	sztring	ELAVULT. Az ügynök azonosítója volt a riasztást létrehozó kiszolgálón.
SourceSystem	sztring	ELAVULT. Mindig fel van töltve az "Észlelés" sztringgel.
StartTime	dátum/idő	A riasztás hatásának kezdő időpontja. Ütemezett szabályriasztások: a lekérdezés által rögzített első esemény TimeGenerated mezőjének értéke. Betöltött riasztások: a riasztásban szereplő első esemény vagy tevékenység időpontja.
Állapot	sztring	A riasztás állapota az életcikluson belül. [Új / Bejövő forgalom / Megoldott / Elutasítva / Ismeretlen]
SystemAlertId	sztring	A Riasztás belső egyedi azonosítója a Microsoft Sentinelben.
Taktika	sztring	A riasztáshoz társított MITRE ATT&CK-taktikák vesszővel tagolt listája.
Technikák	sztring	A riasztáshoz társított MITRE ATT&CK technikák vesszővel tagolt listája.
TenantId	sztring	A bérlő egyedi azonosítója.
TimeGenerated	dátum/idő	A riasztás létrehozásának időpontja (UTC-ben).
Típus	sztring	Az állandó ('SecurityAlert')
Szállítónév	sztring	A riasztást előállító termék szállítója.
VendorOriginalId	sztring	Az adott riasztási példány egyedi azonosítója, amelyet az eredeti termék állít be.
WorkspaceResourceGroup	sztring	ELAVULT
WorkspaceSubscriptionId	sztring	ELAVULT

További lépések

További információ a biztonsági riasztásokról és az elemzési szabályokról:

• Fenyegetések beépített észlelése

• Egyéni elemzési szabályok létrehozása fenyegetések észleléséhez

• Elemzési szabályok exportálása és importálása ARM-sablonokba és -sablonokból