Informazioni di riferimento sullo schema degli avvisi di sicurezza di Microsoft Sentinel

Le regole di analisi di Microsoft Sentinel creano eventi imprevisti come risultato degli avvisi di sicurezza. Gli avvisi di sicurezza possono provenire da origini diverse e usare di conseguenza diversi tipi di regole di analisi per creare eventi imprevisti:

• Le regole di analisi pianificate generano avvisi come risultato delle query regolari dei dati nei log inseriti da origini esterne e queste stesse regole creano eventi imprevisti da tali avvisi. Ai fini di questo documento, gli avvisi delle regole "pianificati" includono Avvisi delle regole NRT.

• Le regole di analisi della sicurezza Microsoft creano eventi imprevisti da avvisi inseriti così come sono provenienti da altri prodotti di sicurezza Microsoft, ad esempio Microsoft Defender XDR e Microsoft Defender per il cloud.

Indipendentemente dall'origine, questi avvisi vengono tutti archiviati insieme nella tabella SecurityAlert nell'area di lavoro Log Analytics. Questo articolo descrive lo schema di questa tabella.

Poiché gli avvisi provengono da molte origini, non tutti i campi vengono usati da tutti i provider. Alcuni campi potrebbero essere lasciati vuoti.

Definizioni dello schema

Nome colonna	Tipo	Descrizione
AlertLink	string	Collegamento all'avviso nel portale del prodotto di origine.
AlertName	string	Nome visualizzato dell'avviso. Avvisi delle regole pianificati: ricavati dal nome della regola. Avvisi inseriti: nome visualizzato dell'avviso nel prodotto di origine.
AlertSeverity	string	La gravità dell'avviso. [Informativo/Basso/Medio/Alto]
AlertType	string	Tipo di avviso. Avvisi delle regole pianificati: ricavati dall'ID regola. Avvisi inseriti: alcuni prodotti raggruppano gli avvisi per tipo. In alcuni casi, può essere identico o sinonimo del nome del prodotto.
CompromisedEntity	string	Nome visualizzato dell'entità principale in cui viene visualizzato un avviso.
ConfidenceLevel	string	Livello di attendibilità di questo avviso: come assicurarsi che il provider non sia un falso positivo.
ConfidenceScore	real	Punteggio di attendibilità dell'avviso, su una scala di 0,0-1,0, se applicabile. Questa proprietà consente una rappresentazione più dettagliata del livello di attendibilità dell'avviso rispetto al campo ConfidenceLevel.
Descrizione	string	Descrizione dell'avviso.
DisplayName	string	Nome visualizzato dell'avviso. Sinonimo di AlertName ma mantenuto per la compatibilità.
EndTime	datetime	Ora di fine dell'impatto dell'avviso. Avvisi delle regole pianificate: valore del campo TimeGenerated per l'ultimo evento acquisito dalla query. Avvisi inseriti: l'ora dell'ultimo evento o dell'attività inclusa nell'avviso.
Entità	string	Elenco delle entità identificate nell'avviso. Questo elenco può includere una combinazione di entità di tipi diversi. I tipi di entità possono essere uno qualsiasi di quelli definiti nello schema, come descritto nella documentazione delle entità.
ExtendedLinks	string	Contenitore (raccolta) per tutti i collegamenti correlati all'avviso. Questa borsa può includere una combinazione di collegamenti di tipi diversi.
ExtendedProperties	string	Raccolta di altre proprietà dell'avviso, incluse le proprietà definite dall'utente. Tutti i dettagli personalizzati definiti nell'avviso e qualsiasi contenuto dinamico nei dettagli dell'avviso vengono archiviati qui.
IsIncident	boolean	DEPRECATO. Impostare sempre su false.
ProcessingEndTime	datetime	Ora della pubblicazione dell'avviso. Avvisi delle regole pianificate: valore del campo TimeGenerated . Avvisi inseriti: ora in cui il prodotto di origine completa la produzione dell'avviso.
ProductComponentName	string	Nome del componente del prodotto che ha generato l'avviso.
ProductName	string	Nome del prodotto che ha generato l'avviso.
ProviderName	string	Nome del provider di avvisi (il servizio all'interno del prodotto) che ha generato l'avviso.
CorrezioneSteps	string	Elenco di elementi di azione da eseguire per correggere l'avviso.
ResourceId	string	Identificatore univoco per la risorsa oggetto dell'avviso.
SourceComputerId	string	DEPRECATO. ID agente nel server che ha creato l'avviso.
SourceSystem	string	DEPRECATO. Popolato sempre con la stringa "Rilevamento".
StartTime	datetime	Ora di inizio dell'impatto dell'avviso. Avvisi delle regole pianificate: valore del campo TimeGenerated per il primo evento acquisito dalla query. Avvisi inseriti: l'ora del primo evento o dell'attività inclusa nell'avviso.
Stato	string	Stato dell'avviso all'interno del ciclo di vita. [Nuovo/InProgress/Risolto/Ignorato/Sconosciuto]
SystemAlertId	string	ID univoco interno per l'avviso in Microsoft Sentinel.
Tattiche	string	Elenco delimitato da virgole delle tattiche MITRE ATT&CK associate all'avviso.
Tecniche	string	Elenco delimitato da virgole delle tecniche MITRE ATT&CK associate all'avviso.
TenantId	string	ID univoco del tenant.
TimeGenerated	datetime	Ora in cui è stato generato l'avviso (in formato UTC).
Type	string	Costante ('SecurityAlert')
VendorName	string	Fornitore del prodotto che ha generato l'avviso.
VendorOriginalId	string	ID univoco per l'istanza di avviso specifica, impostata dal prodotto di origine.
WorkspaceResourceGroup	string	DEPRECATO
WorkspaceSubscriptionId	string	DEPRECATO

Passaggi successivi

Altre informazioni sugli avvisi di sicurezza e sulle regole di analisi:

• Rilevare le minacce in modo automatico

• Creare regole di analisi personalizzate per rilevare le minacce

• Esportare e importare regole di analisi da e verso modelli di Resource Manager