Microsoft Sentinel referência do esquema de alerta de segurança

Microsoft Sentinel regras de análise criam incidentes como resultado de alertas de segurança. Os alertas de segurança podem ser provenientes de origens diferentes e, em conformidade, utilizam diferentes tipos de regras de análise para criar incidentes:

• As regras de análise agendada geram alertas como resultado das consultas regulares de dados em registos ingeridos a partir de origens externas e essas mesmas regras criam incidentes a partir desses alertas. (Para efeitos deste documento, os alertas de regras "agendadas" incluem alertas de regras NRT.)

• As regras de análise de Segurança da Microsoft criam incidentes a partir de alertas que são ingeridos tal como são de outros produtos de segurança da Microsoft, por exemplo, Microsoft Defender XDR e Microsoft Defender para a Cloud.

Independentemente da origem, estes alertas são todos armazenados em conjunto na tabela SecurityAlert na área de trabalho do Log Analytics. Este artigo descreve o esquema desta tabela.

Uma vez que os alertas provêm de muitas origens, nem todos os campos são utilizados por todos os fornecedores. Alguns campos podem ficar em branco.

Definições de esquema

Nome da Coluna	Tipo	Descrição
AlertLink	string	Uma ligação para o alerta no portal do produto de origem.
AlertName	string	O nome a apresentar do alerta. Alertas de regras agendadas: retirados do nome da regra. Alertas ingeridos: o nome a apresentar do alerta no produto de origem.
AlertSeverity	string	A gravidade do alerta. [Informativo/Baixo/Médio/Alto]
AlertType	string	O tipo de alerta. Alertas de regras agendadas: retirados do ID da regra. Alertas ingeridos: alguns produtos agrupam os respetivos alertas por tipo. Em alguns casos, pode ser idêntico ou sinónimo do nome do produto.
ComprometidoEntidade	string	O nome a apresentar da entidade principal a ser alertada.
Nível de Confiança	string	O nível de confiança deste alerta: a certeza de que o fornecedor não é um falso positivo.
ConfidenceScore	real	A classificação de confiança do alerta, numa escala de 0,0-1.0, se aplicável. Esta propriedade permite uma representação mais detalhada do nível de confiança do alerta em comparação com o campo ConfidenceLevel.
Descrição	string	A descrição do alerta.
DisplayName	string	O nome a apresentar do alerta. Sinónimo de AlertName , mas retido para compatibilidade.
EndTime	datetime	A hora de fim do impacto do alerta. Alertas de regras agendadas: o valor do campo TimeGenerated para o último evento capturado pela consulta. Alertas ingeridos: a hora do último evento ou atividade incluído no alerta.
Entities	string	Uma lista das entidades identificadas no alerta. Esta lista pode incluir uma combinação de entidades de diferentes tipos. Os tipos das entidades podem ser qualquer um dos definidos no esquema, conforme descrito na documentação das entidades.
ExtendedLinks	string	Um saco (uma coleção) para todas as ligações relacionadas com o alerta. Este saco pode incluir uma combinação de ligações de diferentes tipos.
ExtendedProperties	string	Uma coleção de outras propriedades do alerta, incluindo propriedades definidas pelo utilizador. Todos os detalhes personalizados definidos no alerta e qualquer conteúdo dinâmico nos detalhes do alerta são armazenados aqui.
IsIncident	booliano	PRETERIDO. Sempre definido como falso.
ProcessingEndTime	datetime	A hora da publicação do alerta. Alertas de regras agendadas: o valor do campo TimeGenerated . Alertas ingeridos: a hora em que o produto de origem conclui a produção do alerta.
ProductComponentName	string	O nome do componente do produto que gerou o alerta.
ProductName	string	O nome do produto que gerou o alerta.
ProviderName	string	O nome do fornecedor de alertas (o serviço no produto) que gerou o alerta.
RemediaçãoPassos	string	Uma lista de itens de ação a tomar para remediar o alerta.
ResourceId	string	Um identificador exclusivo para o recurso que é o assunto do alerta.
SourceComputerId	string	PRETERIDO. Foi o ID do agente no servidor que criou o alerta.
SourceSystem	string	PRETERIDO. Sempre preenchido com a cadeia "Deteção".
StartTime	datetime	A hora de início do impacto do alerta. Alertas de regras agendadas: o valor do campo TimeGenerated para o primeiro evento capturado pela consulta. Alertas ingeridos: a hora do primeiro evento ou atividade incluído no alerta.
Status	string	O status do alerta no ciclo de vida. [Novo/InProgress/ Resolvido/Dispensado/Desconhecido]
SystemAlertId	string	O ID exclusivo interno do alerta no Microsoft Sentinel.
Táticas	string	Uma lista delimitada por vírgulas de MITRE ATT&táticas CK associadas ao alerta.
Técnicas	string	Uma lista delimitada por vírgulas de MITRE ATT&técnicas CK associadas ao alerta.
TenantId	string	O ID exclusivo do inquilino.
TimeGenerated	datetime	A hora em que o alerta foi gerado (em UTC).
Tipo	string	A constante ("SecurityAlert")
VendorName	string	O fornecedor do produto que produziu o alerta.
VendorOriginalId	string	ID exclusivo para a instância de alerta específica, definida pelo produto de origem.
WorkspaceResourceGroup	string	PRETERIDO
WorkspaceSubscriptionId	string	PRETERIDO

Próximas etapas

Saiba mais sobre alertas de segurança e regras de análise:

• Detetar ameaças fora da caixa

• Criar regras de análise personalizadas para detetar ameaças

• Exportar e importar regras de análise de e para modelos do ARM