Microsoft Defender for Cloud のアラート

Microsoft Defender for Cloud は、データ センターのセキュリティ対策を強化し、Azure 上または Azure 以外のクラウドやオンプレミスのハイブリッド ワークロード全体について、脅威からの高度な保護を提供する、統合インフラストラクチャ セキュリティ管理システムです

このコネクタは、次の製品および地域で利用可能です。

Service クラス 地域
Logic Apps 標準 以下を除くすべての Logic Apps 地域 :
     -   国防総省 (DoD)
連絡先
件名 Microsoft
URL Microsoft LogicApps サポート
コネクタのメタデータ
パブリッシャー マイクロソフト
詳細情報> https://docs.microsoft.com/connectors/ascalert
Web サイト https://azure.microsoft.com/services/security-center/

調整制限

名前 呼び出し 更新期間
接続ごとの API 呼び出し 100 60 秒

トリガー

Microsoft Defender for Cloud のアラートが作成またはトリガーされた場合

アラートが Microsoft Defender for Cloud で作成され、自動化で構成された評価基準に一致した場合、または特定のアラートに対して手動で実行された場合にトリガーされます。 注: このトリガーを自動実行するには、準備段階として Microsoft Defender for Cloud で自動化を有効にし、ワークロード保護計画を有効にする必要があります。 これを行うには、Microsoft Defender for Cloud にアクセスしてください。

Microsoft Defender for Cloud のアラートが作成またはトリガーされた場合

アラートが Microsoft Defender for Cloud で作成され、自動化で構成された評価基準に一致した場合、または特定のアラートに対して手動で実行された場合にトリガーされます。 注: このトリガーを自動実行するには、準備段階として Microsoft Defender for Cloud で自動化を有効にし、ワークロード保護計画を有効にする必要があります。 これを行うには、Microsoft Defender for Cloud にアクセスしてください。

戻り値

名前 パス 説明
通知 URI
AlertUri string

Azure Portal で Microsoft Defender for Cloud 内のすべての詳細と共にアラートを表示する直接リンクです。

通知の表示名
AlertDisplayName string

通知の表示名。この値は、ユーザーにそのままの状態で、または追加のパラメーターとともに表示されます。 (プレースホルダーの形式の例については、メモ セクションを参照してください)。 通知は AlertType フィールドに従って集約され、エンド ユーザーに表示されるため、AlertDisplayName フィールドにプレースホルダーを配置せず、同じ AlertType 値を共有するすべての通知に同じ値を設定することを推奨します。

通知の種類
AlertType string

通知の種類名。 同じ種類の通知は、同じ名前にする必要があります。 このフィールドは、通知インスタンスではなく、通知のカテゴリまたは種類を表すキー付き文字列です。 同じ検出ロジック/分析からのすべての通知インスタンスは、通知の種類に同じ値を共有する必要があります。

侵害されたエンティティ
CompromisedEntity string

報告されているメイン エンティティの表示名。 このフィールドはユーザーにそのままの状態で表示され、どの形式にも準拠する必要はありません。 コンピュータ、IP アドレス、VM など、通知プロバイダーが表示することを決定したあらゆるものを保持することができます。

内容
Description string

通知の説明。パラメーター プレースホルダーを含めることができます。(プレースホルダーの形式の例については、メモ セクションを参照してください)

終了時刻 (UTC)
EndTimeUtc date-time

通知の影響終了時刻 (通知に影響を与えた最後のイベントの時刻)。

インテント
Intent string

通知の背後にあるキル チェーン関連の意図を指定するオプション フィールド。 サポートされている値の一覧については、キル チェーン意図の列挙のセクションを参照してください。 このフィールドでは、複数の値を選択できます。 このフィールドの JSON 形式では、列挙値を文字列としてシリアル化する必要があります。 複数の値はコンマで区切る必要があります (例: プローブ、エクスプロイト)。

製品名
ProductName string

この通知を発行した製品の名前 (例: SC, WDATP, MCAS)

重要度
Severity string

プロバイダーによって報告される通知の重要度。 可能な値: 情報 (別名サイレント)、低、中、高

開始時刻 (UTC)
StartTimeUtc date-time

通知の影響開始時刻 (通知に影響を与えた最初のイベントの時刻)。

システム通知 ID
SystemAlertId string

製品の通知を表す製品識別子を保持します。 これは通知識別子であり、通常、顧客または外部システムが通知にクエリを実行するために外部からも使用できます。 製品の内部にある通知発行元は、単一の製品のスコープで使用される識別子を報告するために、ProviderAlertId フィールドを使用する必要があります。

生成された時刻 (UTC)
TimeGenerated date-time

通知が生成された時刻。 この時刻には、通知プロバイダーによって生成された時刻が含まれている必要があります。欠落している場合、システムは処理のために受信した時間を割り当てます。

ベンダー名
VendorName string

通知を生成するベンダーの名前。この値はユーザーにそのままの状態で表示されます。Microsoft、Deep Security Agent、MicrosoftAntimalware など

エンティティ
Entities array of object

アラートが関連エンティティのリスト。 このリストは、さまざまな種類のエンティティを組み合わせて保持できます。 エンティティの種類には、Entitiessection で定義されている任意の種類を指定できます。 以下の一覧に含まれていないエンティティも送信できますが、それらのエンティティが処理される保証はありません (ただし、通知が検証に失敗することはありません)。 null に設定することはできません (代わりに空の列挙可能に設定されます)。

拡張リンク
ExtendedLinks array of object

通知に関連するすべてのリンクのバッグ。 このバッグは、さまざまな種類のリンクの組み合わせを保持できます。 以下の一覧に含まれていないリンクも送信できますが、それらのリンクが処理される保証はありません (ただし、通知が検証に失敗することはありません)。 null に設定することはできません (代わりに空の列挙可能に設定されます)

修復の手順
RemediationSteps array of string

通知を修復するために実行する手動アクション項目。 パラメーター プレースホルダーを含めることができます。 (プレースホルダーの形式の例については、メモ セクションを参照してください)。

リソース識別子
ResourceIdentifiers array of object

適切な製品公開グループ (ワークスペース、サブスクリプションなど) に通知を指示するために使用できる、この通知のリソース識別子です。 通知ごとに異なる種類の識別子が複数存在する場合があります。 詳細については、リソース識別子を参照してください。