Referensi skema peringatan keamanan Microsoft Sentinel
Aturan analitik Microsoft Sentinel membuat insiden sebagai hasil dari peringatan keamanan. Peringatan keamanan dapat berasal dari sumber yang berbeda, dan karenanya menggunakan berbagai jenis aturan analitik untuk membuat insiden:
Aturan analitik terjadwal membuat peringatan sebagai hasil dari kueri reguler data dalam log yang diproses dari sumber eksternal, dan aturan yang sama itu akan membuat insiden dari peringatan tersebut. (Untuk tujuan dokumen ini, pengaturan aturan "terjadwal" mencakup peringatan aturan NRT.)
Aturan analitik Keamanan Microsoft membuat insiden dari pemberitahuan yang diserap apa adanya dari produk keamanan Microsoft lainnya, misalnya, Pertahanan Microsoft XDR dan Microsoft Defender untuk Cloud.
Terlepas dari sumbernya, semua peringatan ini disimpan bersama di tabel SecurityAlert di ruang kerja Log Analitik Anda. Artikel ini akan menjelaskan skema tabel ini.
Karena peringatan berasal dari banyak sumber, tidak semua bidang digunakan oleh semua penyedia. Beberapa bidang mungkin dibiarkan kosong.
Definisi skema
Nama kolom | Jenis | Deskripsi |
---|---|---|
AlertLink | string | Tautan ke peringatan di portal produk asal. |
AlertName | string | Nama tampilan pemberitahuan.
|
AlertSeverity | string | Tingkat keseriusan pemberitahuan. [Informatif/Rendah/Sedang/Tinggi] |
AlertType | string | Jenis pemberitahuan.
|
CompromisedEntity | string | Nama tampilan entitas utama yang sedang diperingatkan. |
ConfidenceLevel | string | Tingkat keyakinan peringatan ini: seberapa yakin penyedia bahwa ini bukan positif palsu. |
ConfidenceScore | real | Skor keyakinan peringatan, pada skala 0,0-1,0, jika berlaku. Properti ini memungkinkan representasi yang lebih halus dari tingkat keyakinan peringatan dibandingkan dengan bidang ConfidenceLevel. |
Keterangan | string | Deskripsi peringatan. |
DisplayName | string | Nama tampilan pemberitahuan. Sama dengan AlertName tetapi dipertahankan untuk kompatibilitas. |
EndTime | datetime | Waktu berakhirnya dampak peringatan.
|
Entitas | string | Daftar entitas yang diidentifikasi dalam peringatan. Daftar ini dapat mencakup kombinasi entitas dari berbagai jenis. Jenis entitas dapat berupa salah satu dari yang ditentukan dalam skema, seperti yang dijelaskan dalam dokumentasi entitas. |
ExtendedLinks | string | Tas (koleksi) untuk semua tautan yang terkait dengan peringatan tersebut. Tas ini dapat mencakup kombinasi tautan dari berbagai jenis. |
ExtendedProperties | string | Kumpulan properti peringatan lainnya, termasuk properti yang ditentukan pengguna. Setiap detail kustom yang ditentukan dalam peringatan, dan setiap konten dinamis dalam detail peringatan, disimpan di sini. |
IsIncident | Boolean | TIDAK DIGUNAKAN LAGI. Selalu atur ke false. |
ProcessingEndTime | datetime | Waktu penerbitan peringatan.
|
ProductComponentName | string | Nama komponen produk yang membuat peringatan. |
ProductName | string | Nama produk yang membuat peringatan. |
ProviderName | string | Nama penyedia peringatan (layanan dalam produk) yang membuat peringatan. |
RemediationSteps | string | Daftar item tindakan yang harus diambil untuk memulihkan peringatan. |
ResourceId | string | Pengidentifikasi unik untuk sumber daya yang menjadi subjek peringatan. |
SourceComputerId | string | TIDAK DIGUNAKAN LAGI. Merupakan ID agen di server yang membuat peringatan. |
SourceSystem | string | TIDAK DIGUNAKAN LAGI. Selalu mengisi dengan string "Deteksi". |
StartTime | datetime | Waktu mulai dampak peringatan.
|
Keadaan | string | Status peringatan dalam siklus hidup. [Baru/InProgress/Diselesaikan/Ditutup/Tidak Diketahui] |
SystemAlertId | string | ID unik internal untuk peringatan di Microsoft Sentinel. |
Taktik | string | Daftar taktik MITRE ATT&CK yang digambarkan koma yang terkait dengan pemberitahuan. |
Teknik | string | Daftar teknik MITRE ATT&CK yang digambarkan koma yang terkait dengan pemberitahuan. |
TenantId | string | ID unik penyewa. |
TimeGenerated | datetime | Waktu peringatan dibuat (dalam UTC). |
Jenis | string | Konstanta ('SecurityAlert') |
VendorName | string | Vendor produk yang membuat peringatan. |
VendorOriginalId | string | ID unik untuk instans peringatan tertentu, yang diatur oleh produk asal. |
WorkspaceResourceGroup | string | TIDAK DIGUNAKAN LAGI |
WorkspaceSubscriptionId | string | TIDAK DIGUNAKAN LAGI |
Langkah berikutnya
Pelajari selengkapnya tentang peringatan keamanan dan aturan analitik: