dokumentacja schematu alertów zabezpieczeń Microsoft Sentinel

Microsoft Sentinel reguły analizy tworzą zdarzenia w wyniku alertów zabezpieczeń. Alerty zabezpieczeń mogą pochodzić z różnych źródeł i w związku z tym używać różnych rodzajów reguł analizy do tworzenia zdarzeń:

• Reguły zaplanowanej analizy generują alerty w wyniku regularnych zapytań dotyczących danych w dziennikach pozyskanych ze źródeł zewnętrznych, a te same reguły tworzą zdarzenia na podstawie tych alertów. (Na potrzeby tego dokumentu alerty reguł "zaplanowane" obejmują alerty reguł NRT).

• Reguły analizy zabezpieczeń firmy Microsoft tworzą zdarzenia na podstawie alertów pozyskiwanych tak samo jak z innych produktów zabezpieczeń firmy Microsoft, na przykład Microsoft Defender XDR i Microsoft Defender dla chmury.

Niezależnie od źródła wszystkie te alerty są przechowywane razem w tabeli SecurityAlert w obszarze roboczym usługi Log Analytics. W tym artykule opisano schemat tej tabeli.

Ponieważ alerty pochodzą z wielu źródeł, nie wszystkie pola są używane przez wszystkich dostawców. Niektóre pola mogą pozostać puste.

Definicje schematów

Nazwa kolumny	Wpisać	Opis
AlertLink	ciąg	Link do alertu w portalu produktu źródłowego.
Nazwa alertu	ciąg	Nazwa wyświetlana alertu. Alerty reguł zaplanowanych: pobrane z nazwy reguły. Pozyskane alerty: nazwa wyświetlana alertu w produkcie źródłowym.
AlertSeverity	ciąg	Ważność alertu. [Informacyjne / Niskie / Średnie / Wysokie]
Typ alertu	ciąg	Typ alertu. Alerty reguł zaplanowanych: pobrane z identyfikatora reguły. Pozyskane alerty: niektóre produkty grupują alerty według typu. W niektórych przypadkach mogą być identyczne lub synonimem nazwy produktu.
CompromisedEntity	ciąg	Nazwa wyświetlana głównej jednostki, dla którego są wyświetlane alerty.
ConfidenceLevel	ciąg	Poziom ufności tego alertu: jak pewny jest dostawca, że nie jest to wynik fałszywie dodatni.
ConfidenceScore	rzeczywista	Wskaźnik ufności alertu w skali od 0,0 do 1,0, jeśli ma zastosowanie. Ta właściwość umożliwia bardziej szczegółową reprezentację poziomu ufności alertu w porównaniu z polem ConfidenceLevel.
Opis	ciąg	Opis alertu.
Displayname	ciąg	Nazwa wyświetlana alertu. Synonim nazwy alertu , ale zachowany w celu zachowania zgodności.
Endtime	Datetime	Czas zakończenia wpływu alertu. Alerty reguł zaplanowanych: wartość pola TimeGenerated dla ostatniego zdarzenia przechwyconego przez zapytanie. Pozyskane alerty: czas ostatniego zdarzenia lub działania uwzględnionego w alertie.
Podmioty	ciąg	Lista jednostek zidentyfikowanych w alercie. Ta lista może zawierać kombinację jednostek różnych typów. Typy jednostek mogą być dowolne z tych zdefiniowanych w schemacie, zgodnie z opisem w dokumentacji jednostek.
ExtendedLinks	ciąg	Torba (kolekcja) dla wszystkich linków związanych z alertem. Ta torba może zawierać kombinację łączy różnych typów.
Extendedproperties	ciąg	Kolekcja innych właściwości alertu, w tym właściwości zdefiniowanych przez użytkownika. Wszystkie szczegóły niestandardowe zdefiniowane w alercie i dowolna zawartość dynamiczna w szczegółach alertu są przechowywane tutaj.
IsIncident	Boolean	PRZESTARZAŁE. Zawsze ustawiaj wartość false.
ProcessingEndTime	Datetime	Czas publikowania alertu. Alerty reguł zaplanowanych: wartość pola TimeGenerated . Pozyskane alerty: czas ukończenia produkcji alertu przez produkt źródłowy.
ProductComponentName	ciąg	Nazwa składnika produktu, który wygenerował alert.
Productname	ciąg	Nazwa produktu, który wygenerował alert.
Providername	ciąg	Nazwa dostawcy alertów (usługi w ramach produktu), który wygenerował alert.
Kroki korygowania	ciąg	Lista elementów akcji do wykonania w celu skorygowania alertu.
Resourceid	ciąg	Unikatowy identyfikator zasobu, który jest przedmiotem alertu.
SourceComputerId	ciąg	PRZESTARZAŁE. Czy identyfikator agenta na serwerze, który utworzył alert.
SourceSystem	ciąg	PRZESTARZAŁE. Zawsze wypełniany ciągiem "Wykrywanie".
Starttime	Datetime	Godzina rozpoczęcia wpływu alertu. Alerty reguł zaplanowanych: wartość pola TimeGenerated dla pierwszego zdarzenia przechwyconego przez zapytanie. Pozyskane alerty: czas pierwszego zdarzenia lub działania uwzględnionego w alertie.
Stan	ciąg	Stan alertu w cyklu życia. [Nowy / InProgress / Rozwiązany / Odrzucony / Nieznany]
SystemAlertId	ciąg	Wewnętrzny unikatowy identyfikator alertu w Microsoft Sentinel.
Taktyki	ciąg	Rozgraniczona przecinkami lista mitre att&taktykę CK skojarzoną z alertem.
Technik	ciąg	Rozgraniczona przecinkami lista technik MITRE ATT&CK skojarzonych z alertem.
Identyfikator dzierżawy	ciąg	Unikatowy identyfikator dzierżawy.
TimeGenerated	Datetime	Czas wygenerowania alertu (w formacie UTC).
Type	ciąg	Stała ("SecurityAlert")
Nazwadostawcy	ciąg	Dostawca produktu, który wygenerował alert.
VendorOriginalId	ciąg	Unikatowy identyfikator określonego wystąpienia alertu ustawiony przez produkt źródłowy.
WorkspaceResourceGroup	ciąg	PRZESTARZAŁE
WorkspaceSubscriptionId	ciąg	PRZESTARZAŁE

Następne kroki

Dowiedz się więcej o alertach zabezpieczeń i regułach analizy:

• Wykrywanie zagrożeń

• Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń

• Eksportowanie i importowanie reguł analizy do i z szablonów usługi ARM