Avviso di Microsoft Defender per cloud
Microsoft Defender for Cloud è un sistema di gestione della sicurezza dell'infrastruttura unificato che rafforza il comportamento di sicurezza dei data center e fornisce protezione avanzata dalle minacce nei carichi di lavoro ibridi nel cloud, sia che si tratti di Azure che di locale
Questo connettore è disponibile nei prodotti e nelle aree seguenti:
| Servizio | Class | Regions |
|---|---|---|
| App per la logica | Normale | Tutte le aree di App per la logica , ad eccezione delle seguenti: - Dipartimento della Difesa degli Stati Uniti (DoD) |
| Contatto | |
|---|---|
| Nome | Microsoft |
| URL |
Supporto di Microsoft LogicApps |
| Metadati del connettore | |
|---|---|
| Editore | Microsoft |
| Ulteriori informazioni> | https://docs.microsoft.com/connectors/ascalert |
| Sito web | https://azure.microsoft.com/services/security-center/ |
Limiti per la limitazione delle richieste
| Nome | Chiamate | Periodo di rinnovo |
|---|---|---|
| Chiamate API per connessione | 100 | 60 secondi |
Trigger
| Quando viene creato o attivato un avviso di Microsoft Defender for Cloud |
Viene attivato quando viene creato un avviso in Microsoft Defender for Cloud e corrisponde ai criteri di valutazione configurati in un'automazione o quando viene eseguito manualmente in un avviso specifico. Nota: l'esecuzione automatica di questo trigger richiede l'abilitazione dell'automazione in Microsoft Defender for Cloud e l'abilitazione di un piano di protezione del carico di lavoro come passaggio preliminare. A tale scopo, visitare Microsoft Defender for Cloud. |
Quando viene creato o attivato un avviso di Microsoft Defender for Cloud
Viene attivato quando viene creato un avviso in Microsoft Defender for Cloud e corrisponde ai criteri di valutazione configurati in un'automazione o quando viene eseguito manualmente in un avviso specifico. Nota: l'esecuzione automatica di questo trigger richiede l'abilitazione dell'automazione in Microsoft Defender for Cloud e l'abilitazione di un piano di protezione del carico di lavoro come passaggio preliminare. A tale scopo, visitare Microsoft Defender for Cloud.
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Uri avviso
|
AlertUri | string |
Collegamento diretto per visualizzare l'avviso con tutti i relativi dettagli in Microsoft Defender for Cloud nel portale di Azure. |
|
Nome visualizzato avviso
|
AlertDisplayName | string |
Il nome visualizzato dell'avviso, questo valore viene visualizzato agli utenti as-is o con parametri aggiuntivi. (per esempi per la formattazione dei segnaposto vedere nella sezione Note). È consigliabile non inserire i segnaposto nel campo AlertDisplayName e avere lo stesso valore per tutti gli avvisi che condividono lo stesso valore alertType, poiché gli avvisi possono essere aggregati in base al campo AlertType e visualizzati agli utenti finali come tali. |
|
Tipo di avviso
|
AlertType | string |
Nome del tipo dell'avviso. Gli avvisi dello stesso tipo devono avere lo stesso nome. Questo campo è una stringa con chiave che rappresenta la categoria o il tipo di avviso e non di un'istanza di avviso. Tutte le istanze di avviso dalla stessa logica di rilevamento/analisi devono condividere lo stesso valore per il tipo di avviso. |
|
Entità compromessa
|
CompromisedEntity | string |
Nome visualizzato dell'entità principale interessata dalla segnalazione. Questo campo viene presentato all'utente AS-IS e non è necessario per essere conforme ad alcun formato. Potrebbe contenere computer, indirizzi IP, macchine virtuali o qualsiasi elemento che il provider di avvisi decide di presentare. |
|
Description
|
Description | string |
Descrizione dell'avviso, potrebbe avere segnaposto parametri (per esempi per la formattazione dei segnaposto vedere nella sezione Note) |
|
Ora di fine (UTC)
|
EndTimeUtc | date-time |
Ora di fine dell'avviso (ora dell'ultimo evento che contribuisce all'avviso). |
|
Intento
|
Intent | string |
Campo facoltativo che specifica la finalità correlata alla kill chain dietro l'avviso. Per l'elenco dei valori supportati, vedere la sezione Kill Chain Intent enumeration (Enumerazione Kill Chain Intent). In questo campo è possibile selezionare più valori. Il formato JSON per questo campo deve serializzare i valori di enumerazione come stringhe. Più valori devono essere separati da virgole, ad esempio probe, sfruttamento. |
|
Nome prodotto
|
ProductName | string |
Nome del prodotto che ha pubblicato questo avviso, ad esempio ASC, WDATP, MCAS. |
|
Severity
|
Severity | string |
Gravità dell'avviso in quanto segnalata dal provider. Valori possibili: informativo (a.k.a Silent), Low, Medium, High |
|
Ora di inizio (UTC)
|
StartTimeUtc | date-time |
Ora di inizio dell'avviso di impatto (ora del primo evento che contribuisce all'avviso). |
|
ID avviso di sistema
|
SystemAlertId | string |
Contiene l'identificatore del prodotto dell'avviso per il prodotto. Si tratta dell'identificatore di avviso che in genere è disponibile esternamente per eseguire query sugli avvisi da parte di clienti o sistemi esterni. L'autore di avvisi interno a un prodotto deve utilizzare il campo ProviderAlertId per segnalare qualsiasi identificatore da utilizzare in un ambito di un singolo prodotto. |
|
Ora generata (UTC)
|
TimeGenerated | date-time |
Ora in cui è stato generato l'avviso. Questa volta deve contenere l'ora in cui è stata generata dal provider di avvisi, se manca il sistema verrà assegnato al momento della ricezione per l'elaborazione. |
|
Nome fornitore
|
VendorName | string |
Il nome del fornitore che genera l'avviso, questo valore viene visualizzato così come è, ad esempio Microsoft o Deep Security Agent o Microsoft Antimalware e così via. |
|
Entities
|
Entities | array of object |
Elenco di entità correlate all'avviso. Questo elenco può contenere una combinazione di entità di tipi diversi. Il tipo di entità può essere qualsiasi tipo definito nella sezione Entitiessection. Le entità che non sono nell'elenco seguente possono anche essere inviate, ma non si garantisce che verranno elaborate (tuttavia l'avviso non avrà esito negativo). Non può essere impostato su Null (verrà impostato su enumerabile vuoto). |
|
Collegamenti estesi
|
ExtendedLinks | array of object |
Contenitore per tutti i collegamenti correlati all'avviso. Questa borsa può contenere una miscela di collegamenti per diversi tipi. I collegamenti che non sono presenti nell'elenco seguente possono anche essere inviati, ma non è garantito che verranno elaborati (tuttavia l'avviso non avrà esito negativo). Non può essere impostato su Null (verrà impostato su enumerabile vuoto) |
|
Passaggi di correzione
|
RemediationSteps | array of string |
Elementi di azione manuali da intraprendere per correggere l'avviso. Potrebbe avere segnaposto parametri. (per esempi per la formattazione dei segnaposto vedere nella sezione Note). |
|
Identificatori di risorsa
|
ResourceIdentifiers | array of object |
Identificatori di risorsa per questo avviso che può essere usato per indirizzare l'avviso al gruppo di esposizione del prodotto corretto (area di lavoro, sottoscrizione e così via). Possono essere presenti più identificatori di tipo diverso per ogni avviso. Per altri dettagli, vedere Identificatori di risorsa. |