Schemi di avvisi

Defender per il cloud fornisce avvisi che consentono di identificare, comprendere e rispondere alle minacce alla sicurezza. Gli avvisi vengono generati quando Defender per il cloud rileva attività sospette o un problema correlato alla sicurezza nell'ambiente. È possibile visualizzare questi avvisi nel portale di Defender per il cloud oppure esportarli in strumenti esterni per un'ulteriore analisi e risposta.

È possibile visualizzare questi avvisi di sicurezza nelle pagine di Microsoft Defender per il cloud: dashboard di panoramica, avvisi, pagine di integrità delle risorse o dashboard delle protezioni dei carichi di lavoro e tramite strumenti esterni, ad esempio:

• Microsoft Sentinel - SIEM nativo del cloud di Microsoft. Sentinel Connessione or riceve avvisi da Microsoft Defender per il cloud e li invia all'area di lavoro Log Analytics per Microsoft Sentinel.
• SIEM di terze parti: inviare dati a Hub eventi di Azure. Integrare quindi i dati di Hub eventi con una soluzione SIEM di terze parti. Per altre informazioni, vedere Trasmettere avvisi a una soluzione SIEM, SOAR o di gestione dei servizi IT.
• API REST: se si usa l'API REST per accedere agli avvisi, vedere la documentazione dell'API avvisi online.

Se si usano metodi programmatici per utilizzare gli avvisi, è necessario lo schema corretto per trovare i campi pertinenti. Inoltre, se si esegue l'esportazione in un hub eventi o si tenta di attivare l'automazione del flusso di lavoro con connettori HTTP generici, è consigliabile usare gli schemi per analizzare correttamente gli oggetti JSON.

Importante

Poiché lo schema è diverso per ognuno di questi scenari, assicurarsi di selezionare la scheda pertinente.

Schemi

Microsoft Sentinel

Il Connessione or di Sentinel riceve avvisi da Microsoft Defender per il cloud e li invia all'area di lavoro Log Analytics per Microsoft Sentinel.

Per creare un caso o un evento imprevisto di Microsoft Sentinel usando gli avvisi di Defender per il cloud, è necessario lo schema per tali avvisi visualizzati.

Per altre informazioni, vedere la documentazione di Microsoft Sentinel.

Modello di dati dello schema

Campo	Descrizione
AlertName	Nome visualizzato dell'avviso
AlertType	identificatore di avviso univoco
ConfidenceLevel	(Facoltativo) Livello di attendibilità di questo avviso (alto/basso)
ConfidenceScore	(Facoltativo) Indicatore di attendibilità numerica dell'avviso di sicurezza
Descrizione	Testo della descrizione per l'avviso
DisplayName	Nome visualizzato dell'avviso
EndTime	Ora di fine dell'avviso (ora dell'ultimo evento che contribuisce all'avviso)
Entità	Elenco di entità correlate all'avviso. Questo elenco può contenere una combinazione di entità di tipi diversi
ExtendedLinks	(Facoltativo) Contenitore per tutti i collegamenti correlati all'avviso. Questa borsa può contenere una miscela di collegamenti per diversi tipi
ExtendedProperties	Contenitore di campi aggiuntivi rilevanti per l'avviso
IsIncident	Determina se l'avviso è un evento imprevisto o un normale avviso. Un evento imprevisto è un avviso di sicurezza che aggrega più avvisi in un evento imprevisto di sicurezza
ProcessingEndTime	Timestamp UTC in cui è stato creato l'avviso
ProductComponentName	(Facoltativo) Nome di un componente all'interno del prodotto che ha generato l'avviso.
ProductName	costante ('Centro sicurezza di Azure')
ProviderName	Inutilizzati
CorrezioneSteps	Elementi di azione manuali da intraprendere per correggere la minaccia per la sicurezza
ResourceId	Identificatore completo della risorsa interessata
Gravità	Gravità dell'avviso (alta/media/bassa/informativa)
SourceComputerId	GUID univoco per il server interessato (se l'avviso viene generato nel server)
SourceSystem	Inutilizzati
StartTime	Ora di inizio dell'avviso di impatto (l'ora del primo evento che contribuisce all'avviso)
SystemAlertId	Identificatore univoco di questa istanza di avviso di sicurezza
TenantId	identificatore del tenant padre di Azure Active Directory della sottoscrizione in cui risiede la risorsa analizzata
TimeGenerated	Timestamp UTC in cui è stata eseguita la valutazione (ora di analisi del Centro sicurezza) (identica a DiscoveredTimeUTC)
Type	constant ('SecurityAlert')
VendorName	Nome del fornitore che ha fornito l'avviso ,ad esempio 'Microsoft'.
VendorOriginalId	Inutilizzati
WorkspaceResourceGroup	nel caso in cui l'avviso venga generato in una macchina virtuale, in un server, in un set di scalabilità di macchine virtuali o in un'istanza di servizio app che segnala a un'area di lavoro, contiene il nome del gruppo di risorse dell'area di lavoro
WorkspaceSubscriptionId	nel caso in cui l'avviso venga generato in una macchina virtuale, in un server, in un set di scalabilità di macchine virtuali o in un'istanza di servizio app che segnala a un'area di lavoro, contiene tale id sottoscrizione dell'area di lavoro

Log attività di Azure

Microsoft Defender per il cloud controlli generati avvisi di sicurezza come eventi nel log attività di Azure.

È possibile visualizzare gli eventi degli avvisi di sicurezza nel log attività cercando l'evento Attiva avviso, come illustrato di seguito:

Json di esempio per gli avvisi inviati al log attività di Azure

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Modello di dati dello schema

Campo	Descrizione
Canali	Costante, "Operazione"
correlationId	ID avviso Microsoft Defender per il cloud
description	Descrizione dell'avviso
eventDataId	Vedere correlationId
Eventname	I sottocampi value e localizedValue contengono il nome visualizzato dell'avviso
category	I sottocampi value e localizedValue sono costanti - "Security"
eventTimestamp	Timestamp UTC per il momento in cui è stato generato l'avviso
id	ID avviso completo
level	Costante, "Informativo"
operationId	Vedere correlationId
operationName	Il campo valore è costante - Microsoft.Security/locations/alerts/activate/actione il valore localizzato è Activate Alert (può essere potenzialmente localizzato in base alle impostazioni locali dell'utente)
resourceGroupName	Include il nome del gruppo di risorse
resourceProviderName	I sottocampi value e localizedValue sono costanti - "Microsoft.Security"
resourceType	I sottocampi value e localizedValue sono costanti : "Microsoft.Security/locations/alerts"
resourceId	ID risorsa di Azure completo
status	I sottocampi value e localizedValue sono costanti : "Active"
subStatus	I sottocampi value e localizedValue sono vuoti
submissionTimestamp	Timestamp UTC dell'invio di eventi al log attività
subscriptionId	ID sottoscrizione della risorsa compromessa
properties	Contenitore JSON di altre proprietà relative all'avviso. Le proprietà possono passare da un avviso all'altro, tuttavia, i campi seguenti vengono visualizzati in tutti gli avvisi: - gravità: gravità dell'attacco - compromisedEntity: nome della risorsa compromessa - correzioneSteps: matrice di passaggi di correzione da eseguire - finalità: finalità della kill chain dell'avviso. Le finalità possibili sono documentate nella tabella Intenti
relatedEvents	Costante - Matrice vuota

Automazione del flusso di lavoro

Per lo schema degli avvisi quando si usa l'automazione del flusso di lavoro, vedere la documentazione dei connettori.

Esportazione continua

la funzionalità di esportazione continua di Defender per il cloud passa i dati degli avvisi a:

• Hub eventi di Azure usando lo stesso schema dell'API degli avvisi.
• Aree di lavoro Log Analytics in base allo schema SecurityAlert nella documentazione dei dati di Monitoraggio di Azure.

API Microsoft Graph

Microsoft Graph è il gateway per i dati e l'intelligence in Microsoft 365. Fornisce un modello di programmabilità unificato che è possibile usare per accedere a una vastissima quantità di dati in Microsoft 365, Windows 10 e Enterprise Mobility + Security. Usare la grande quantità di dati in Microsoft Graph per creare app per organizzazioni e consumatori che interagiscono con milioni di utenti.

Lo schema e una rappresentazione JSON per gli avvisi di sicurezza inviati a MS Graph sono disponibili nella documentazione di Microsoft Graph.

Articoli correlati

• Aree di lavoro Log Analytics - Monitoraggio di Azure archivia i dati di log in un'area di lavoro Log Analytics, un contenitore che include informazioni di configurazione e dati
• Microsoft Sentinel - SIEM nativo del cloud di Microsoft
• Hub eventi di Azure - Servizio di inserimento dati completamente gestito e in tempo reale di Microsoft

Passaggio successivo

Esportare continuamente i dati Defender per il cloud