Referensi skema peringatan keamanan Microsoft Sentinel

Aturan analitik Microsoft Sentinel membuat insiden sebagai hasil dari peringatan keamanan. Peringatan keamanan dapat berasal dari sumber yang berbeda, dan karenanya menggunakan berbagai jenis aturan analitik untuk membuat insiden:

• Aturan analitik terjadwal membuat peringatan sebagai hasil dari kueri reguler data dalam log yang diproses dari sumber eksternal, dan aturan yang sama itu akan membuat insiden dari peringatan tersebut. (Untuk tujuan dokumen ini, pengaturan aturan "terjadwal" mencakup peringatan aturan NRT.)

• Aturan analitik Keamanan Microsoft membuat insiden dari pemberitahuan yang diserap apa adanya dari produk keamanan Microsoft lainnya, misalnya, Pertahanan Microsoft XDR dan Microsoft Defender untuk Cloud.

Terlepas dari sumbernya, semua peringatan ini disimpan bersama di tabel SecurityAlert di ruang kerja Log Analitik Anda. Artikel ini akan menjelaskan skema tabel ini.

Karena peringatan berasal dari banyak sumber, tidak semua bidang digunakan oleh semua penyedia. Beberapa bidang mungkin dibiarkan kosong.

Definisi skema

Nama kolom	Jenis	Deskripsi
AlertLink	string	Tautan ke peringatan di portal produk asal.
AlertName	string	Nama tampilan pemberitahuan. Peringatan aturan terjadwal: diambil dari nama aturan. Peringatan yang diproses: nama tampilan peringatan di produk asal
AlertSeverity	string	Tingkat keseriusan pemberitahuan. [Informatif/Rendah/Sedang/Tinggi]
AlertType	string	Jenis pemberitahuan. Peringatan aturan terjadwal: diambil dari ID aturan. Peringatan yang diproses: beberapa produk mengelompokkan peringatan mereka menurut jenisnya. Dalam beberapa kasus, mungkin identik atau sama dengan nama produk.
CompromisedEntity	string	Nama tampilan entitas utama yang sedang diperingatkan.
ConfidenceLevel	string	Tingkat keyakinan peringatan ini: seberapa yakin penyedia bahwa ini bukan positif palsu.
ConfidenceScore	real	Skor keyakinan peringatan, pada skala 0,0-1,0, jika berlaku. Properti ini memungkinkan representasi yang lebih halus dari tingkat keyakinan peringatan dibandingkan dengan bidang ConfidenceLevel.
Keterangan	string	Deskripsi peringatan.
DisplayName	string	Nama tampilan pemberitahuan. Sama dengan AlertName tetapi dipertahankan untuk kompatibilitas.
EndTime	datetime	Waktu berakhirnya dampak peringatan. Peringatan aturan terjadwal: nilai bidang TimeGenerated untuk peristiwa terakhir yang diambil oleh kueri. Peringatan yang diproses:waktu peristiwa atau aktivitas terakhir yang disertakan dalam peringatan.
Entitas	string	Daftar entitas yang diidentifikasi dalam peringatan. Daftar ini dapat mencakup kombinasi entitas dari berbagai jenis. Jenis entitas dapat berupa salah satu dari yang ditentukan dalam skema, seperti yang dijelaskan dalam dokumentasi entitas.
ExtendedLinks	string	Tas (koleksi) untuk semua tautan yang terkait dengan peringatan tersebut. Tas ini dapat mencakup kombinasi tautan dari berbagai jenis.
ExtendedProperties	string	Kumpulan properti peringatan lainnya, termasuk properti yang ditentukan pengguna. Setiap detail kustom yang ditentukan dalam peringatan, dan setiap konten dinamis dalam detail peringatan, disimpan di sini.
IsIncident	Boolean	TIDAK DIGUNAKAN LAGI. Selalu atur ke false.
ProcessingEndTime	datetime	Waktu penerbitan peringatan. Peringatan aturan terjadwal: nilai bidang TimeGenerated. Peringatan yang diproses: waktu produk asal menyelesaikan pembuatan peringatan.
ProductComponentName	string	Nama komponen produk yang membuat peringatan.
ProductName	string	Nama produk yang membuat peringatan.
ProviderName	string	Nama penyedia peringatan (layanan dalam produk) yang membuat peringatan.
RemediationSteps	string	Daftar item tindakan yang harus diambil untuk memulihkan peringatan.
ResourceId	string	Pengidentifikasi unik untuk sumber daya yang menjadi subjek peringatan.
SourceComputerId	string	TIDAK DIGUNAKAN LAGI. Merupakan ID agen di server yang membuat peringatan.
SourceSystem	string	TIDAK DIGUNAKAN LAGI. Selalu mengisi dengan string "Deteksi".
StartTime	datetime	Waktu mulai dampak peringatan. Peringatan aturan terjadwal: nilai bidang TimeGenerated untuk peristiwa pertama yang diambil oleh kueri. Peringatan yang diproses: waktu peristiwa atau aktivitas pertama yang disertakan dalam peringatan.
Keadaan	string	Status peringatan dalam siklus hidup. [Baru/InProgress/Diselesaikan/Ditutup/Tidak Diketahui]
SystemAlertId	string	ID unik internal untuk peringatan di Microsoft Sentinel.
Taktik	string	Daftar taktik MITRE ATT&CK yang digambarkan koma yang terkait dengan pemberitahuan.
Teknik	string	Daftar teknik MITRE ATT&CK yang digambarkan koma yang terkait dengan pemberitahuan.
TenantId	string	ID unik penyewa.
TimeGenerated	datetime	Waktu peringatan dibuat (dalam UTC).
Jenis	string	Konstanta ('SecurityAlert')
VendorName	string	Vendor produk yang membuat peringatan.
VendorOriginalId	string	ID unik untuk instans peringatan tertentu, yang diatur oleh produk asal.
WorkspaceResourceGroup	string	TIDAK DIGUNAKAN LAGI
WorkspaceSubscriptionId	string	TIDAK DIGUNAKAN LAGI

Langkah berikutnya

Pelajari selengkapnya tentang peringatan keamanan dan aturan analitik:

• Mendeteksi ancaman secara siap pakai

• Membuat aturan analitik kustom untuk mendeteksi ancaman

• Mengekspor dan mengimpor aturan analitik ke dan dari templat ARM