Microsoft Sentinel informazioni di riferimento sullo schema degli avvisi di sicurezza

Microsoft Sentinel regole di analisi creano eventi imprevisti come risultato degli avvisi di sicurezza. Gli avvisi di sicurezza possono provenire da origini diverse e di conseguenza usare diversi tipi di regole di analisi per creare eventi imprevisti:

• Le regole di analisi pianificata generano avvisi in seguito alle normali query sui dati nei log inseriti da origini esterne e queste stesse regole creano eventi imprevisti da tali avvisi. Ai fini di questo documento, gli avvisi delle regole "pianificate" includono avvisi delle regole NRT.

• Le regole di analisi della sicurezza Microsoft creano eventi imprevisti da avvisi inseriti così come sono da altri prodotti di sicurezza Microsoft, ad esempio Microsoft Defender XDR e Microsoft Defender per il cloud.

Indipendentemente dall'origine, questi avvisi vengono tutti archiviati insieme nella tabella SecurityAlert nell'area di lavoro Log Analytics. Questo articolo descrive lo schema di questa tabella.

Poiché gli avvisi provengono da molte origini, non tutti i campi vengono usati da tutti i provider. Alcuni campi possono essere lasciati vuoti.

Definizioni dello schema

Column Name	Tipo	Descrizione
AlertLink	stringa	Collegamento all'avviso nel portale del prodotto di origine.
AlertName	stringa	Nome visualizzato dell'avviso. Avvisi delle regole pianificati: tratti dal nome della regola. Avvisi inseriti: nome visualizzato dell'avviso nel prodotto di origine.
AlertSeverity	stringa	Gravità dell'avviso. [Informativo/Basso/Medio/Alto]
AlertType	stringa	Tipo di avviso. Avvisi delle regole pianificati: tratti dall'ID regola. Avvisi inseriti: alcuni prodotti raggruppano gli avvisi in base al tipo. In alcuni casi, può essere identico o sinonimo del nome del prodotto.
CompromissioneEntità	stringa	Nome visualizzato dell'entità principale su cui viene generato l'avviso.
ConfidenceLevel	stringa	Il livello di confidenza di questo avviso: la certezza che il provider non sia un falso positivo.
ConfidenceScore	real	Punteggio di attendibilità dell'avviso, su una scala da 0,0 a 1,0, se applicabile. Questa proprietà consente una rappresentazione più dettagliata del livello di attendibilità dell'avviso rispetto al campo ConfidenceLevel.
Descrizione	stringa	Descrizione dell'avviso.
DisplayName	stringa	Nome visualizzato dell'avviso. Sinonimo di AlertName ma conservato per la compatibilità.
EndTime	datetime	Ora di fine dell'impatto dell'avviso. Avvisi regola pianificata: il valore del campo TimeGenerated per l'ultimo evento acquisito dalla query. Avvisi inseriti: l'ora dell'ultimo evento o attività inclusa nell'avviso.
Entità	stringa	Elenco delle entità identificate nell'avviso. Questo elenco può includere una combinazione di entità di tipi diversi. I tipi delle entità possono essere uno qualsiasi di quelli definiti nello schema, come descritto nella documentazione delle entità.
ExtendedLinks	stringa	Un contenitore (una raccolta) per tutti i collegamenti correlati all'avviso. Questa borsa può includere una combinazione di collegamenti di diversi tipi.
ExtendedProperties	stringa	Raccolta di altre proprietà dell'avviso, incluse le proprietà definite dall'utente. Tutti i dettagli personalizzati definiti nell'avviso e qualsiasi contenuto dinamico nei dettagli dell'avviso vengono archiviati qui.
IsIncident	booleano	DEPRECATO. Impostare sempre su false.
ProcessingEndTime	datetime	Ora di pubblicazione dell'avviso. Avvisi delle regole pianificate: il valore del campo TimeGenerated . Avvisi inseriti: ora in cui il prodotto di origine completa la produzione dell'avviso.
ProductComponentName	stringa	Nome del componente del prodotto che ha generato l'avviso.
Productname	stringa	Nome del prodotto che ha generato l'avviso.
Providername	stringa	Nome del provider di avvisi (il servizio all'interno del prodotto) che ha generato l'avviso.
Passaggi di correzione	stringa	Elenco di elementi di azione da eseguire per correggere l'avviso.
Resourceid	stringa	Identificatore univoco per la risorsa oggetto dell'avviso.
SourceComputerId	stringa	DEPRECATO. ID agente nel server che ha creato l'avviso.
SourceSystem	stringa	DEPRECATO. Sempre popolato con la stringa "Detection".
StartTime	datetime	Ora di inizio dell'impatto dell'avviso. Avvisi regola pianificata: il valore del campo TimeGenerated per il primo evento acquisito dalla query. Avvisi inseriti: ora del primo evento o attività inclusa nell'avviso.
Stato	stringa	Stato dell'avviso all'interno del ciclo di vita. [Nuovo/InProgress/Risolto/Ignorato/Sconosciuto]
SystemAlertId	stringa	ID univoco interno per l'avviso in Microsoft Sentinel.
Tattiche	stringa	Elenco delimitato da virgole di MITRE ATT&tattiche CK associate all'avviso.
Tecniche	stringa	Elenco delimitato da virgole di MITRE ATT&tecniche CK associate all'avviso.
TenantId	stringa	ID univoco del tenant.
TimeGenerated	datetime	Ora di generazione dell'avviso (in formato UTC).
Tipo	stringa	Costante ('SecurityAlert')
NomeFornitore	stringa	Fornitore del prodotto che ha generato l'avviso.
VendorOriginalId	stringa	ID univoco per l'istanza di avviso specifica, impostata dal prodotto di origine.
WorkspaceResourceGroup	stringa	DEPRECATO
WorkspaceSubscriptionId	stringa	DEPRECATO

Passaggi successivi

Altre informazioni sugli avvisi di sicurezza e sulle regole di analisi:

• Rilevare le minacce predefinite

• Creare regole di analisi personalizzate per rilevare le minacce

• Esportare e importare regole di analisi da e verso i modelli di Resource Manager