Microsoft Sentinel 분석 규칙은보안 경고의 결과로 인시던트가 생성됩니다. 보안 경고는 서로 다른 원본에서 발생할 수 있으며 그에 따라 다양한 종류의 분석 규칙을 사용하여 인시던트 만들기를 수행할 수 있습니다.
예약된 분석 규칙은 외부 원본에서 수집된 로그의 데이터를 정기적으로 쿼리한 결과로 경고를 생성하며, 이러한 동일한 규칙은 해당 경고에서 인시던트 생성합니다. (이 문서의 목적을 위해 "예약된" 규칙 경고에는 NRT 규칙 경고가 포함됩니다.)
Microsoft 보안 분석 규칙은 다른 Microsoft 보안 제품(예: 클라우드용 Microsoft Defender XDR 및 Microsoft Defender)에서 있는 그대로 수집되는 경고에서 인시던트가 생성됩니다.
원본에 관계없이 이러한 경고는 모두 Log Analytics 작업 영역의 SecurityAlert 테이블에 함께 저장됩니다. 이 문서에서는 이 테이블의 스키마에 대해 설명합니다.
경고는 많은 원본에서 제공되므로 모든 필드가 모든 공급자에서 사용되는 것은 아닙니다. 일부 필드는 비워 둘 수 있습니다.
스키마 정의
| 열 이름 | 유형 | 설명 |
|---|---|---|
| AlertLink | 문자열 | 원래 제품의 포털에서 경고에 대한 링크입니다. |
| AlertName | 문자열 | 경고의 표시 이름입니다.
|
| 경고 심각도 | 문자열 | 경고의 심각도입니다. [정보/낮음/중간/높음] |
| AlertType | 문자열 | 경고 유형입니다.
|
| CompromisedEntity | 문자열 | 경고를 받는 주 엔터티의 표시 이름입니다. |
| ConfidenceLevel | 문자열 | 이 경고의 신뢰도 수준: 공급자가 가양성 이 아닌지 확인합니다. |
| ConfidenceScore | real | 해당하는 경우 경고의 신뢰도 점수(0.0-1.0)입니다. 이 속성을 사용하면 ConfidenceLevel 필드에 비해 경고의 신뢰도 수준을 보다 세밀하게 표시할 수 있습니다. |
| 설명 | 문자열 | 경고에 대한 설명입니다. |
| DisplayName | 문자열 | 경고의 표시 이름입니다. AlertName과 동의어이지만 호환성을 위해 유지됩니다. |
| EndTime | datetime | 경고의 영향 종료 시간입니다.
|
| 엔터티 | 문자열 | 경고에서 식별된 엔터티 목록입니다. 이 목록에는 다양한 형식의 엔터티 조합이 포함될 수 있습니다. 엔터티의 형식은 엔 터티 설명서에 설명된 대로 스키마에 정의된 형식일 수 있습니다. |
| ExtendedLinks | 문자열 | 경고와 관련된 모든 링크에 대한 모음(컬렉션)입니다. 이 모음에는 다양한 유형의 링크 조합이 포함될 수 있습니다. |
| ExtendedProperties | 문자열 | 사용자 정의 속성을 포함하여 경고의 다른 속성 컬렉션입니다. 경고에 정의된 사용자 지정 세부 정보 및 경고 세부 정보의 동적 콘텐츠는 여기에 저장됩니다. |
| IsIncident | 부울 | 되지 않는. 항상 false로 설정합니다. |
| ProcessingEndTime | datetime | 경고 게시 시간입니다.
|
| ProductComponentName | 문자열 | 경고를 생성한 제품의 구성 요소 이름입니다. |
| ProductName | 문자열 | 경고를 생성한 제품의 이름입니다. |
| ProviderName | 문자열 | 경고를 생성한 경고 공급자(제품 내의 서비스)의 이름입니다. |
| RemediationSteps | 문자열 | 경고를 수정하기 위해 수행할 작업 항목 목록입니다. |
| Resourceid | 문자열 | 경고의 대상이 되는 리소스에 대한 고유 식별자입니다. |
| SourceComputerId | 문자열 | 되지 않는. 경고를 만든 서버의 에이전트 ID였습니다. |
| SourceSystem | 문자열 | 되지 않는. 항상 문자열 "검색"으로 채워집니다. |
| StartTime | datetime | 경고의 영향 시작 시간입니다.
|
| 상태 | 문자열 | 수명 주기 내 경고의 상태. [New / InProgress / Resolved / Dismissed / Unknown] |
| SystemAlertId | 문자열 | Microsoft Sentinel 경고의 내부 고유 ID입니다. |
| 전술 | 문자열 | 경고와 관련된 MITRE ATT&CK 전술의 쉼표로 구분된 목록입니다. |
| 기술을 | 문자열 | 경고와 관련된 MITRE ATT&CK 기술의 쉼표로 구분된 목록입니다. |
| TenantId | 문자열 | 테넌트 고유 ID입니다. |
| TimeGenerated | datetime | 경고가 생성된 시간(UTC)입니다. |
| 유형 | 문자열 | 상수('SecurityAlert') |
| VendorName | 문자열 | 경고를 생성한 제품의 공급업체입니다. |
| VendorOriginalId | 문자열 | 원래 제품에서 설정한 특정 경고 instance 대한 고유 ID입니다. |
| WorkspaceResourceGroup | 문자열 | 되지 않는 |
| WorkspaceSubscriptionId | 문자열 | 되지 않는 |
다음 단계
보안 경고 및 분석 규칙에 대해 자세히 알아보세요.