英語で読む

次の方法で共有


Microsoft Sentinel セキュリティ アラート スキーマ リファレンス

Microsoft Sentinel の分析ルールでは、セキュリティ アラートの結果としてインシデントが作成されます。 セキュリティ アラートのソースは 1 つではない場合があるため、インシデントの作成には異なる種類の分析ルールが使用されます。

  • スケジュールされた分析ルールでは、外部ソースから取り込まれたログに含まれるデータの通常のクエリの結果としてアラートが生成され、同じルールによってそれらのアラートからインシデントが作成されます。 (このドキュメントの目的では、"スケジュールされた" ルールのアラートには NRT ルールのアラートが含まれます。)

  • Microsoft セキュリティ分析ルールは、他の Microsoft セキュリティ 製品 (Microsoft Defender XDR や Microsoft Defender for Cloud など) からそのまま取り込まれたアラートからインシデントを作成します。

ソースに関係なく、これらのアラートはすべてまとめて Log Analytics ワークスペースの SecurityAlert テーブルに格納されます。 この記事では、このテーブルのスキーマについて説明します。

アラートには多くのソースがあるため、すべてのフィールドがすべてのプロバイダーによって使われるわけではありません。 一部のフィールドは空白のままになる場合があります。

スキーマ定義

列名 種類 説明
AlertLink string 元の製品のポータルでのアラートへのリンク。
AlertName string アラートの表示名。
  • スケジュールされたルールのアラート: ルール名から取得されます。
  • 取り込まれたアラート: 生成元の製品でのアラートの表示名。
AlertSeverity string アラートの重大度。 [Informational / Low / Medium / High]
AlertType string アラートの種類。
  • スケジュールされたルールのアラート: ルール ID から取得されます。
  • 取り込まれたアラート: 一部の製品では、アラートは種類別にグループ化されます。 製品名と同一または同意語である場合があります。
CompromisedEntity string アラート対象のメイン エンティティの表示名。
ConfidenceLevel string このアラートの信頼度レベル: これが擬陽性ではないことを、プロバイダーがどの程度確信しているか。
ConfidenceScore real 該当する場合、アラートの信頼度スコア (0.0 から 1.0 のスケール)。 このプロパティを使用すると、ConfidenceLevel フィールドよりさらに細かくアラートの信頼度レベルを表現できます。
説明 string アラートの説明。
DisplayName string アラートの表示名。 AlertName と同意ですが、互換性のために残されています。
EndTime DATETIME アラートの影響の終了日時。
  • スケジュールされたルールのアラート: クエリによってキャプチャされた最後の "イベント" の TimeGenerated フィールドの値。
  • 取り込まれたアラート: アラートに含まれる最後のイベントまたはアクティビティの日時。
エンティティ string アラートで識別されたエンティティのリスト。 このリストには、異なる種類のエンティティの組み合わせが含まれる場合があります。 エンティティの種類は、スキーマで定義されているいずれかのものです (エンティティのドキュメントを参照)。
ExtendedLinks string アラートに関連するすべてのリンクのバッグ (コレクション)。 このバッグには、異なる種類のリンクの組み合わせが含まれる場合があります。
ExtendedProperties string ユーザー定義プロパティなど、アラートのその他のプロパティのコレクション。 アラートで定義されているカスタムの詳細と、アラートの詳細に含まれる動的な内容は、ここに格納されます。
IsIncident boolean 非推奨。 常に false に設定します。
ProcessingEndTime DATETIME アラートの発行の日時。
  • スケジュールされたルールのアラート:TimeGenerated フィールドの値。
  • 取り込まれたアラート: 元の製品でアラートの生成が完了した日時。
ProductComponentName string アラートを生成した製品のコンポーネントの名前。
ProductName string アラートを生成した製品の名前。
ProviderName string アラートを生成したアラート プロバイダー (製品内のサービス) の名前。
RemediationSteps string アラートを修復するために実行するアクション項目の一覧。
ResourceId string アラートの対象となるリソースの一意識別子。
SourceComputerId string 非推奨。 アラートを作成したサーバーでのエージェント ID でした。
SourceSystem string 非推奨。 常に文字列 "Detection" が設定されます。
StartTime DATETIME アラートの影響の開始日時。
  • スケジュールされたルールのアラート: クエリによってキャプチャされた最初の "イベント" の TimeGenerated フィールドの値。
  • 取り込まれたアラート: アラートに含まれる最初のイベントまたはアクティビティの日時。
状態 string ライフ サイクル内のアラートの状態。 [New / InProgress / Resolved / Dismissed / Unknown]
SystemAlertId string Microsoft Sentinel 内部でのアラートの一意の ID。
方針 string アラートに関連付けられている MITRE ATT&CK 戦術のコンマ区切りのリスト。
Techniques string アラートに関連付けられている MITRE ATT&CK 手法のコンマ区切りのリスト。
TenantId string テナントの一意の ID。
TimeGenerated DATETIME アラートが生成された日時 (UTC)。
Type string 定数 ("SecurityAlert")
VendorName string アラートを生成した製品のベンダー。
VendorOriginalId string 生成元の製品によって設定される、特定のアラート インスタンスに対する一意の ID。
WorkspaceResourceGroup string 非推奨
WorkspaceSubscriptionId string 非推奨

次のステップ

セキュリティ アラートと分析ルールの詳細を確認します。