Schematy alertów

Defender dla Chmury udostępnia alerty, które ułatwiają identyfikowanie, zrozumienie i reagowanie na zagrożenia bezpieczeństwa. Alerty są generowane, gdy Defender dla Chmury wykrywa podejrzane działania lub problem związany z zabezpieczeniami w danym środowisku. Te alerty można wyświetlić w portalu Defender dla Chmury lub wyeksportować je do narzędzi zewnętrznych w celu dalszej analizy i odpowiedzi.

Te alerty zabezpieczeń można wyświetlić na stronach Microsoft Defender dla Chmury — pulpit nawigacyjny przeglądu, alerty, strony kondycji zasobów lub pulpit nawigacyjny ochrony obciążeń — oraz za pomocą narzędzi zewnętrznych, takich jak:

• Microsoft Sentinel — natywny dla chmury rozwiązanie SIEM firmy Microsoft. Łącznik usługi Sentinel pobiera alerty z Microsoft Defender dla Chmury i wysyła je do obszaru roboczego usługi Log Analytics dla usługi Microsoft Sentinel.
• Rozwiązania SIEM innych firm — wysyłanie danych do usługi Azure Event Hubs. Następnie zintegruj dane usługi Event Hubs z rozwiązaniem SIEM innej firmy. Dowiedz się więcej w artykule Stream alerts to a SIEM, SOAR, or IT Service Management solution (Alerty przesyłane strumieniowo do rozwiązania SIEM, SOAR lub IT Service Management).
• Interfejs API REST — jeśli używasz interfejsu API REST do uzyskiwania dostępu do alertów, zobacz dokumentację interfejsu API alertów online.

Jeśli używasz dowolnych metod programistycznych do korzystania z alertów, potrzebujesz poprawnego schematu, aby znaleźć odpowiednie pola. Ponadto jeśli eksportujesz do usługi Event Hubs lub próbujesz wyzwolić automatyzację przepływu pracy za pomocą ogólnych łączników HTTP, schematy powinny być używane do prawidłowego analizowania obiektów JSON.

Ważne

Ponieważ schemat jest inny dla każdego z tych scenariuszy, upewnij się, że wybrano odpowiednią kartę.

Schematy

Microsoft Sentinel

Łącznik usługi Sentinel pobiera alerty z Microsoft Defender dla Chmury i wysyła je do obszaru roboczego usługi Log Analytics dla usługi Microsoft Sentinel.

Aby utworzyć przypadek lub zdarzenie usługi Microsoft Sentinel przy użyciu alertów Defender dla Chmury, potrzebny jest schemat dla tych alertów.

Dowiedz się więcej w dokumentacji usługi Microsoft Sentinel.

Model danych schematu

Pole	opis
Nazwa alertu	Nazwa wyświetlana alertu
Typ alertu	unikatowy identyfikator alertu
ConfidenceLevel	(Opcjonalnie) Poziom ufności tego alertu (wysoki/niski)
ConfidenceScore	(Opcjonalnie) Numeryczny wskaźnik ufności alertu zabezpieczeń
Opis	Tekst opisu alertu
Nazwa wyświetlana	Nazwa wyświetlana alertu
Godzina zakończenia	Czas zakończenia alertu (czas ostatniego zdarzenia współtworzenia alertu)
Encje	Lista jednostek powiązanych z alertem. Ta lista może zawierać kombinację jednostek różnych typów
Łącza rozszerzone	(Opcjonalnie) Torba dla wszystkich linków związanych z alertem. Ta torba może pomieścić kombinację linków dla różnych typów
Właściwości rozszerzone	Worek dodatkowych pól, które są istotne dla alertu
IsIncident	Określa, czy alert jest zdarzeniem, czy zwykłym alertem. Zdarzenie to alert zabezpieczeń, który agreguje wiele alertów do jednego zdarzenia zabezpieczeń
ProcessingEndTime	Sygnatura czasowa UTC, w której utworzono alert
ProductComponentName	(Opcjonalnie) Nazwa składnika wewnątrz produktu, który wygenerował alert.
ProductName	stała ('Azure Security Center')
Nazwa dostawcy	Nieużywane
Kroki korygowania	Elementy akcji ręcznej do podjęcia w celu skorygowania zagrożenia bezpieczeństwa
ResourceId	Pełny identyfikator zasobu, którego dotyczy problem
Ważność	Ważność alertu (wysoki/średni/niski/informacyjny)
SourceComputerId	unikatowy identyfikator GUID serwera, którego dotyczy problem (jeśli alert jest generowany na serwerze)
SourceSystem	Nieużywane
Godzina rozpoczęcia	Godzina rozpoczęcia wpływu alertu (czas pierwszego zdarzenia przyczyniającego się do alertu)
Identyfikator SystemAlertId	Unikatowy identyfikator tego wystąpienia alertu zabezpieczeń
Identyfikator dzierżawy	identyfikator nadrzędnej dzierżawy usługi Azure Active Directory subskrypcji, w ramach której znajduje się zeskanowany zasób
TimeGenerated	Sygnatura czasowa UTC, na której miała miejsce ocena (czas skanowania w usłudze Security Center) (identyczny z OdnalezionymTimeUTC)
Type	stała ('SecurityAlert')
Nazwa dostawcy	Nazwa dostawcy, który dostarczył alert (np. "Microsoft")
VendorOriginalId	Nieużywane
WorkspaceResourceGroup	w przypadku wygenerowania alertu na maszynie wirtualnej, serwerze, zestawie skalowania maszyn wirtualnych lub wystąpieniu usługi App Service, które raportuje do obszaru roboczego, zawiera tę nazwę grupy zasobów obszaru roboczego
WorkspaceSubscriptionId	w przypadku wygenerowania alertu na maszynie wirtualnej, serwerze, zestawie skalowania maszyn wirtualnych lub wystąpieniu usługi App Service, które raportuje do obszaru roboczego, zawiera ten identyfikator subskrypcji obszaru roboczego

Dziennik aktywności platformy Azure

Microsoft Defender dla Chmury inspekcji wygenerowanych alertów zabezpieczeń jako zdarzeń w dzienniku aktywności platformy Azure.

Zdarzenia alertów zabezpieczeń można wyświetlić w dzienniku aktywności, wyszukując zdarzenie Aktywuj alert, jak pokazano poniżej:

Przykładowy kod JSON dla alertów wysyłanych do dziennika aktywności platformy Azure

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Model danych schematu

Pole	opis
Kanały	Stała, "Operacja"
correlationId	Identyfikator alertu Microsoft Defender dla Chmury
opis	Opis alertu
eventDataId	Zobacz identyfikator korelacji
eventName	Wartości i zlokalizowane pola podrzędneValue zawierają nazwę wyświetlaną alertu
kategoria	Wartości i zlokalizowane pola podrzędneValue są stałe — "Zabezpieczenia"
eventTimestamp	Znacznik czasu UTC dla momentu wygenerowania alertu
id	W pełni kwalifikowany identyfikator alertu
poziom	Stała, "Informacyjna"
operationId	Zobacz identyfikator korelacji
operationName	Pole wartości jest stałe — Microsoft.Security/locations/alerts/activate/action, a zlokalizowana wartość to Activate Alert (może być potencjalnie zlokalizowana par ustawień regionalnych użytkownika)
resourceGroupName	Zawiera nazwę grupy zasobów
resourceProviderName	Wartości i zlokalizowane pola podrzędneValue są stałe — "Microsoft.Security"
resourceType	Wartości i zlokalizowane pola podrzędneValue są stałe — "Microsoft.Security/locations/alerts"
resourceId	W pełni kwalifikowany identyfikator zasobu platformy Azure
status	Wartości i zlokalizowane pola podrzędneValue są stałe - "Aktywne"
subStatus	Wartości i zlokalizowane pola podrzędneValue są puste
submissionTimestamp	Sygnatura czasowa UTC przesyłania zdarzeń do dziennika aktywności
subscriptionId	Identyfikator subskrypcji naruszonego zasobu
Właściwości	Torba JSON innych właściwości odnoszących się do alertu. Właściwości mogą zmieniać się z jednego alertu na drugi, jednak we wszystkich alertach są wyświetlane następujące pola: - ważność: ważność ataku — naruszenie zabezpieczeńEntity: nazwa naruszonego zasobu - remediationSteps: Tablica kroków korygowania, które należy wykonać - intent: intencja kill-chain alertu. Możliwe intencje są udokumentowane w tabeli Intencje
relatedEvents	Stała — pusta tablica

Automatyzacja przepływu pracy

Schemat alertów podczas korzystania z automatyzacji przepływu pracy można znaleźć w dokumentacji łączników.

Eksport ciągły

funkcja eksportu ciągłego Defender dla Chmury przekazuje dane alertów do:

• Usługa Azure Event Hubs używa tego samego schematu co interfejs API alertów.
• Obszary robocze usługi Log Analytics zgodnie ze schematem SecurityAlert w dokumentacji danych usługi Azure Monitor.

MS Graph API

Microsoft Graph to brama do danych i analizy na platformie Microsoft 365. Zapewnia on ujednolicony model programowy, którego można użyć do uzyskiwania dostępu do ogromnej ilości danych na platformie Microsoft 365, w systemie Windows 10 i pakiecie Enterprise Mobility + Security. Korzystaj z bogactwa danych w programie Microsoft Graph, aby tworzyć aplikacje dla organizacji i konsumentów korzystających z milionów użytkowników.

Schemat i reprezentacja JSON dla alertów zabezpieczeń wysyłanych do programu MS Graph są dostępne w dokumentacji programu Microsoft Graph.

Powiązane artykuły

• Obszary robocze usługi Log Analytics — usługa Azure Monitor przechowuje dane dzienników w obszarze roboczym usługi Log Analytics, kontener zawierający dane i informacje o konfiguracji
• Microsoft Sentinel — natywny dla chmury rozwiązanie SIEM firmy Microsoft
• Azure Event Hubs — w pełni zarządzana usługa pozyskiwania danych w czasie rzeczywistym przez firmę Microsoft

Następny krok

Ciągłe eksportowanie danych Defender dla Chmury