Microsoft Defender for Cloud Alert
A Microsoft Defender for Cloud egy egységes infrastruktúrabiztonsági felügyeleti rendszer, amely erősíti az adatközpontok biztonsági pozícióját, és fejlett fenyegetésvédelmet biztosít a hibrid számítási feladatokhoz a felhőben – akár az Azure-ban, akár nem – és a helyszínen is.
Ez az összekötő a következő termékekben és régiókban érhető el:
| Service | Class | Régiók |
|---|---|---|
| Logikai alkalmazások | Standard | Az összes Logic Apps-régió , kivéve a következőket: - Amerikai Védelmi Minisztérium (DoD) |
| Érintkezés | |
|---|---|
| Név | Microsoft |
| URL |
Microsoft LogicApps-támogatás |
| Összekötő metaadatai | |
|---|---|
| Kiadó | Microsoft |
| tudj meg többet> | https://docs.microsoft.com/connectors/ascalert |
| Webhely | https://azure.microsoft.com/services/security-center/ |
Szabályozási korlátok
| Name | Hívások | Megújítási időszak |
|---|---|---|
| API-hívások kapcsolatonként | 100 | 60 másodperc |
Triggerek
| Microsoft Defender for Cloud-riasztás létrehozásakor vagy aktiválásakor |
Aktiválja, ha egy riasztás a Microsoft Defender for Cloudban jön létre, és megfelel az automatizálásban konfigurált értékelési feltételeknek, vagy ha manuálisan futtat egy adott riasztást. Megjegyzés: Az eseményindító automatikus futtatásához engedélyezni kell az automatizálást a Microsoft Defender for Cloudban, és engedélyezni kell egy számítási feladatvédelmi tervet előzetes lépésként. Ehhez látogasson el a Microsoft Defender for Cloud webhelyre. |
Microsoft Defender for Cloud-riasztás létrehozásakor vagy aktiválásakor
Aktiválja, ha egy riasztás a Microsoft Defender for Cloudban jön létre, és megfelel az automatizálásban konfigurált értékelési feltételeknek, vagy ha manuálisan futtat egy adott riasztást. Megjegyzés: Az eseményindító automatikus futtatásához engedélyezni kell az automatizálást a Microsoft Defender for Cloudban, és engedélyezni kell egy számítási feladatvédelmi tervet előzetes lépésként. Ehhez látogasson el a Microsoft Defender for Cloud webhelyre.
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
Riasztási URI
|
AlertUri | string |
Közvetlen hivatkozás a riasztás és annak részleteinek megtekintéséhez a Microsoft Defender for Cloudban az Azure Portalon. |
|
Riasztás megjelenítendő neve
|
AlertDisplayName | string |
A riasztás megjelenítendő neve, ez az érték as-is vagy további paraméterekkel jelenik meg a felhasználók számára. (például a helyőrzők formázására vonatkozó példákat lásd a Megjegyzések szakaszban). Javasoljuk, hogy ne helyezzen el tulajdonosokat a AlertDisplayName mezőben, és ugyanazt az értéket használja az azonos AlertType értékkel rendelkező összes riasztás esetében, mivel a riasztások a AlertType mező alapján összesíthetők, és így jeleníthetők meg a végfelhasználók számára. |
|
Riasztástípus
|
AlertType | string |
A riasztás típusneve. Az azonos típusú riasztásoknak ugyanazzal a névvel kell rendelkezniük. Ez a mező egy kulcsos sztring, amely a riasztás kategóriáját vagy típusát jelöli, nem pedig egy riasztáspéldányt. Az azonos észlelési logikából/elemzésből származó összes riasztáspéldánynak ugyanazt az értéket kell használnia a riasztástípushoz. |
|
Sérült entitás
|
CompromisedEntity | string |
A jelentett fő entitás neve. Ez a mező a felhasználó AS-IS jelenik meg, és nem szükséges semmilyen formátumnak megfelelnie. Tartalmazhat számítógépeket, IP-címeket, virtuális gépeket vagy bármi mást, amelyet a riasztásszolgáltató úgy dönt, hogy bemutat. |
|
Description
|
Description | string |
Riasztás leírása, lehetnek paraméterek helyőrzői (például a helyőrzők formázására vonatkozó példák, lásd a Megjegyzések szakaszban) |
|
Befejezési idő (UTC)
|
EndTimeUtc | date-time |
A riasztás hatásának befejezési ideje (a riasztáshoz hozzájáruló utolsó esemény időpontja). |
|
Szándék
|
Intent | string |
Nem kötelező mező, amely megadja a riasztás mögötti leölési lánchoz kapcsolódó szándékot. A támogatott értékek listáját a Kill Chain Intent enumerálás című szakaszban találja. Ebben a mezőben több érték is kijelölhető. A mező JSON-formátumának sztringekként kell szerializálnia az enumerálási értékeket. Több értéket vesszővel kell elválasztani, például vesszővel, kihasználással. |
|
Terméknév
|
ProductName | string |
A riasztást közzétevő termék neve, azaz ASC, WDATP, MCAS. |
|
Súlyosság
|
Severity | string |
A riasztás súlyossága a szolgáltató által jelentett módon. Lehetséges értékek: Tájékoztató (más néven Csendes), Alacsony, Közepes, Magas |
|
Kezdés időpontja (UTC)
|
StartTimeUtc | date-time |
A riasztás kezdési időpontja (a riasztáshoz hozzájáruló első esemény időpontja). |
|
Rendszerriasztás azonosítója
|
SystemAlertId | string |
A termékre vonatkozó riasztás termékazonosítóját tartalmazza. Ez a riasztásazonosító, amely általában külsőleg is elérhető az ügyfelek vagy külső rendszerek riasztásainak lekérdezéséhez. A terméken belüli riasztás közzétevőjének a ProviderAlertId mezőt kell használnia, hogy jelentse az egyetlen termék hatókörében használandó azonosítókat. |
|
Generált idő (UTC)
|
TimeGenerated | date-time |
A riasztás létrehozásának időpontja. Ennek az időnek tartalmaznia kell a riasztásszolgáltató által generált időt, ha hiányzik, a rendszer hozzá fogja rendelni a feldolgozásra kapott időt. |
|
Szállító neve
|
VendorName | string |
A riasztást küldő szállító neve, ez az érték jelenik meg a felhasználók számára, például a Microsoft, a Deep Security Agent vagy a Microsoft Antimalware stb. |
|
Entities
|
Entities | array of object |
A riasztáshoz kapcsolódó entitások listája. Ez a lista különböző típusú entitások keverékét tartalmazhatja. Az entitások típusa az Entitások műveletben definiált bármely típus lehet. Az alábbi listában nem szereplő entitások is elküldhetők, de nem garantáljuk, hogy feldolgozásra kerülnek (a riasztás azonban nem fog meghiúsulni az ellenőrzés során). Nem lehet null értékűre állítani (ehelyett üresre lesz állítva). |
|
Kiterjesztett hivatkozások
|
ExtendedLinks | array of object |
Egy táska a riasztáshoz kapcsolódó összes hivatkozáshoz. Ez a táska különböző típusú hivatkozások keverékét képes tárolni. Az alábbi listában nem szereplő hivatkozások is elküldhetők, azonban nem garantáljuk, hogy feldolgozásra kerülnek (a riasztás azonban nem fog meghiúsulni az ellenőrzés során). Null értékre nem állítható be (ehelyett üres számba lesz állítva) |
|
Szervizelési lépések
|
RemediationSteps | array of string |
Manuális műveletelemek a riasztás szervizeléséhez. Lehetnek paraméterek helyőrzői. (például a helyőrzők formázására vonatkozó példákat lásd a Megjegyzések szakaszban). |
|
Erőforrás-azonosítók
|
ResourceIdentifiers | array of object |
A riasztás erőforrás-azonosítói, amelyekkel a riasztás a megfelelő termékexpozíciós csoporthoz irányítható (munkaterület, előfizetés stb.). Riasztásonként több különböző típusú azonosító is lehet. További részletekért tekintse meg az erőforrás-azonosítókat. |