Naslaginformatie over beveiligingswaarschuwingen voor Microsoft Sentinel
Microsoft Sentinel-analyseregels maken incidenten als gevolg van beveiligingswaarschuwingen. Beveiligingswaarschuwingen kunnen afkomstig zijn van verschillende bronnen en dienovereenkomstig verschillende soorten analyseregels gebruiken om incidenten te maken:
Geplande analyseregels genereren waarschuwingen als gevolg van hun reguliere query's van gegevens in logboeken die zijn opgenomen uit externe bronnen en diezelfde regels maken incidenten op basis van deze waarschuwingen. (Voor het doel van dit document omvatten 'geplande' regelwaarschuwingenNRT-regelwaarschuwingen.)
Microsoft Security Analytics-regels maken incidenten op basis van waarschuwingen die worden opgenomen als afkomstig van andere Microsoft-beveiligingsproducten, bijvoorbeeld Microsoft Defender XDR en Microsoft Defender voor Cloud.
Ongeacht de bron worden deze waarschuwingen allemaal samen opgeslagen in de tabel SecurityAlert in uw Log Analytics-werkruimte. In dit artikel wordt het schema van deze tabel beschreven.
Omdat waarschuwingen afkomstig zijn uit veel bronnen, worden niet alle velden door alle providers gebruikt. Sommige velden zijn mogelijk leeg.
Schemadefinities
| Kolomnaam | Type | Description |
|---|---|---|
| AlertLink | tekenreeks | Een koppeling naar de waarschuwing in de portal van het oorspronkelijke product. |
| AlertName | tekenreeks | De weergavenaam van de waarschuwing.
|
| AlertSeverity | tekenreeks | De ernst van de waarschuwing. [Informatie/ laag / gemiddeld / hoog] |
| AlertType | tekenreeks | Het type waarschuwing.
|
| CompromisedEntity | tekenreeks | De weergavenaam van de hoofdentiteit waarop een waarschuwing wordt weergegeven. |
| ConfidenceLevel | tekenreeks | Het betrouwbaarheidsniveau van deze waarschuwing: hoe zeker de provider is dat dit geen fout-positief is. |
| ConfidenceScore | werkelijk | De betrouwbaarheidsscore van de waarschuwing, indien van toepassing, op schaal 0.0-1.0. Deze eigenschap maakt een nauwkeurigere weergave mogelijk van het betrouwbaarheidsniveau van de waarschuwing in vergelijking met het veld ConfidenceLevel. |
| Beschrijving | tekenreeks | De beschrijving van de waarschuwing. |
| DisplayName | tekenreeks | De weergavenaam van de waarschuwing. Synoniem voor AlertName , maar behouden voor compatibiliteit. |
| Eindtijd | datetime | De eindtijd van de impact van de waarschuwing.
|
| Entiteiten | tekenreeks | Een lijst met de entiteiten die zijn geïdentificeerd in de waarschuwing. Deze lijst kan een combinatie van entiteiten van verschillende typen bevatten. De typen entiteiten kunnen elk van de typen zijn die in het schema zijn gedefinieerd, zoals beschreven in de documentatie van entiteiten. |
| ExtendedLinks | tekenreeks | Een tas (een verzameling) voor alle koppelingen met betrekking tot de waarschuwing. Deze tas kan een combinatie van koppelingen van verschillende typen bevatten. |
| ExtendedProperties | tekenreeks | Een verzameling andere eigenschappen van de waarschuwing, inclusief door de gebruiker gedefinieerde eigenschappen. Eventuele aangepaste details die zijn gedefinieerd in de waarschuwing en eventuele dynamische inhoud in de details van de waarschuwing, worden hier opgeslagen. |
| IsIncident | boolean | AFGEKEURD. Altijd ingesteld op onwaar. |
| ProcessingEndTime | datetime | Het tijdstip waarop de waarschuwing wordt gepubliceerd.
|
| ProductComponentName | tekenreeks | De naam van het onderdeel van het product dat de waarschuwing heeft gegenereerd. |
| Productnaam | tekenreeks | De naam van het product dat de waarschuwing heeft gegenereerd. |
| ProviderName | tekenreeks | De naam van de waarschuwingsprovider (de service binnen het product) die de waarschuwing heeft gegenereerd. |
| RemediationSteps | tekenreeks | Een lijst met actie-items die moeten worden uitgevoerd om de waarschuwing te herstellen. |
| ResourceId | tekenreeks | Een unieke id voor de resource die het onderwerp van de waarschuwing is. |
| SourceComputerId | tekenreeks | AFGEKEURD. Was de agent-id op de server die de waarschuwing heeft gemaakt. |
| SourceSystem | tekenreeks | AFGEKEURD. Altijd gevuld met de tekenreeks 'Detectie'. |
| Starttime | datetime | De begintijd van de impact van de waarschuwing.
|
| -Status | tekenreeks | De status van de waarschuwing binnen de levenscyclus. [Nieuw / InProgress / Opgelost / Gesloten / Onbekend] |
| SystemAlertId | tekenreeks | De interne unieke id voor de waarschuwing in Microsoft Sentinel. |
| Tactiek | tekenreeks | Een door komma's gescheiden lijst met MITRE ATT&CK-tactieken die zijn gekoppeld aan de waarschuwing. |
| Technieken | tekenreeks | Een door komma's gescheiden lijst met MITRE ATT&CK-technieken die zijn gekoppeld aan de waarschuwing. |
| Tenant-ID | tekenreeks | De unieke id van de tenant. |
| TimeGenerated | datetime | De tijd waarop de waarschuwing is gegenereerd (in UTC). |
| Type | tekenreeks | De constante ('SecurityAlert') |
| VendorName | tekenreeks | De leverancier van het product dat de waarschuwing heeft geproduceerd. |
| VendorOriginalId | tekenreeks | Unieke id voor het specifieke waarschuwingsexemplaren, ingesteld door het oorspronkelijke product. |
| WorkspaceResourceGroup | tekenreeks | AFGEKEURD |
| WorkspaceSubscriptionId | tekenreeks | AFGEKEURD |
Volgende stappen
Meer informatie over beveiligingswaarschuwingen en analyseregels: