O Defender for Cloud fornece alertas que o ajudam a identificar, compreender e responder a ameaças à segurança. Os alertas são gerados quando o Defender for Cloud deteta atividades suspeitas ou um problema relacionado à segurança em seu ambiente. Você pode visualizar esses alertas no portal do Defender for Cloud ou exportá-los para ferramentas externas para análise e resposta adicionais.
Você pode exibir esses alertas de segurança nas páginas do Microsoft Defender for Cloud - painel de visão geral, alertas, páginas de integridade de recursos ou painel de proteções de carga de trabalho - e por meio de ferramentas externas, como:
Microsoft Sentinel - SIEM nativo da nuvem da Microsoft. O Sentinel Connector recebe alertas do Microsoft Defender for Cloud e os envia para o espaço de trabalho do Log Analytics para o Microsoft Sentinel.
SIEMs de terceiros - Envie dados para Hubs de Eventos do Azure. Em seguida, integre os dados dos Hubs de Eventos com um SIEM de terceiros. Saiba mais em Transmitir alertas para uma solução SIEM, SOAR ou IT Service Management.
A API REST - Se você estiver usando a API REST para acessar alertas, consulte a documentação da API de alertas online.
Se você estiver usando qualquer método programático para consumir os alertas, precisará do esquema correto para localizar os campos que são relevantes para você. Além disso, se você estiver exportando para um Hubs de Eventos ou tentando acionar a Automação do Fluxo de Trabalho com conectores HTTP genéricos, os esquemas deverão ser utilizados para analisar corretamente os objetos JSON.
Importante
Como o esquema é diferente para cada um desses cenários, certifique-se de selecionar a guia relevante.
(Opcional) O nível de confiança deste alerta (Alto/Baixo)
Pontuação de Confiança
(Opcional) Indicador de confiança numérica do alerta de segurança
Descrição
Texto de descrição do alerta
DisplayName
Nome de exibição do alerta
Tempo de Fim
A hora de fim do impacto do alerta (a hora do último evento que contribui para o alerta)
Entidades
Uma lista de entidades relacionadas com o alerta. Esta lista pode conter uma mistura de entidades de diversos tipos
ExtendedLinks
(Opcional) Um saco para todos os links relacionados ao alerta. Este saco pode conter uma mistura de links para diversos tipos
ExtendedProperties
Um conjunto de campos adicionais relevantes para o alerta
IsIncident
Determina se o alerta é um incidente ou um alerta regular. Um incidente é um alerta de segurança que agrega vários alertas em um incidente de segurança
ProcessingEndTime
Carimbo de data/hora UTC no qual o alerta foi criado
ProductComponentName
(Opcional) O nome de um componente dentro do produto que gerou o alerta.
Nome do Produto
constante ('Central de Segurança do Azure')
Nome do provedor
não utilizado
Etapas de remediação
Itens de ação manual a serem tomados para remediar a ameaça à segurança
ResourceId
Identificador completo do recurso afetado
Gravidade
A gravidade do alerta (Alta/Média/Baixa/Informativa)
SourceComputerId
um GUID exclusivo para o servidor afetado (se o alerta for gerado no servidor)
SourceSystem [en]
não utilizado
Horário de Início
A hora de início do impacto do alerta (a hora do primeiro evento que contribui para o alerta)
SystemAlertId
Identificador exclusivo desta instância de alerta de segurança
Identificação do locatário
o identificador do locatário pai do Azure Ative Directory da assinatura sob a qual o recurso digitalizado reside
TimeGenerated
Carimbo de data/hora UTC no qual a avaliação ocorreu (hora de verificação da Central de Segurança) (idêntico ao DiscoveredTimeUTC)
Tipo
constante ('SecurityAlert')
Nome do fornecedor
O nome do fornecedor que forneceu o alerta (por exemplo, 'Microsoft')
VendorOriginalId
não utilizado
WorkspaceResourceGroup
caso o alerta seja gerado em uma VM, Servidor, Conjunto de Dimensionamento de Máquina Virtual ou instância do Serviço de Aplicativo que se reporte a um espaço de trabalho, contenha esse nome de grupo de recursos de espaço de trabalho
WorkspaceSubscriptionId
caso o alerta seja gerado em uma VM, Servidor, Conjunto de Dimensionamento de Máquina Virtual ou instância do Serviço de Aplicativo que se reporta a um espaço de trabalho, contém esse subscriptionId do espaço de trabalho
As auditorias do Microsoft Defender for Cloud geraram alertas de segurança como eventos no Log de Atividades do Azure.
Você pode exibir os eventos de alertas de segurança no Registro de atividades pesquisando o evento Ativar alerta, conforme mostrado:
JSON de exemplo para alertas enviados ao Log de Atividades do Azure
{
"channels": "Operation",
"correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
"description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
"eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
"eventName": {
"value": "PREVIEW - Role binding to the cluster-admin role detected",
"localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2019-12-25T18:52:36.801035Z",
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
"level": "Informational",
"operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Activate Alert"
},
"resourceGroupName": "RESOURCE_GROUP_NAME",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
"subscriptionId": "SUBSCRIPTION_ID",
"properties": {
"clusterRoleBindingName": "cluster-admin-binding",
"subjectName": "for-binding-test",
"subjectKind": "ServiceAccount",
"username": "masterclient",
"actionTaken": "Detected",
"resourceType": "Kubernetes Service",
"severity": "Low",
"intent": "[\"Persistence\"]",
"compromisedEntity": "ASC-IGNITE-DEMO",
"remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
"attackedResourceType": "Kubernetes Service"
},
"relatedEvents": []
}
O modelo de dados do esquema
Campo
Descrição
canais
Constante, "Operação"
correlationId
A ID de alerta do Microsoft Defender for Cloud
descrição
Descrição do alerta
eventDataId
Ver correlationId
nome_do_evento
Os subcampos value e localizedValue contêm o nome para exibição do alerta
category
Os subcampos value e localizedValue são constantes - "Segurança"
eventTimestamp
Carimbo de data/hora UTC para quando o alerta foi gerado
id
O ID de alerta totalmente qualificado
nível
Constante, "Informativo"
operationId
Ver correlationId
operationName
O campo de valor é constante - Microsoft.Security/locations/alerts/activate/action, e o valor localizado é Activate Alert (pode ser potencialmente localizado pela localidade do usuário)
resourceGroupName
Inclui o nome do grupo de recursos
resourceProviderName
Os subcampos value e localizedValue são constantes - "Microsoft.Security"
resourceType
Os subcampos value e localizedValue são constantes - "Microsoft.Security/locations/alerts"
resourceId
A ID de recurso do Azure totalmente qualificada
status
Os subcampos value e localizedValue são constantes - "Ativo"
subStatus
Os subcampos value e localizedValue estão vazios
envioCarimbo de data/hora
O carimbo de data/hora UTC do envio do evento para o Registro de atividades
subscriptionId
A ID de assinatura do recurso comprometido
propriedades
Um conjunto JSON de outras propriedades pertencentes ao alerta. As propriedades podem mudar de um alerta para o outro, no entanto, os seguintes campos aparecem em todos os alertas: - gravidade: a gravidade do ataque - compromisedEntity: O nome do recurso comprometido - remediaationSteps: Conjunto de medidas de remediação a serem tomadas - intenção: a intenção de matar o alerta. As intenções possíveis estão documentadas na tabela Intenções
relacionadosEventos
Constante - matriz vazia
Para obter o esquema de alertas ao usar a automação do fluxo de trabalho, consulte a documentação dos conectores.
O recurso de exportação contínua do Defender for Cloud passa dados de alerta para:
Hubs de Eventos do Azure usando o mesmo esquema que a API de alertas.
Espaços de trabalho do Log Analytics de acordo com o esquema SecurityAlert na documentação de dados do Azure Monitor.
O Microsoft Graph é a porta de entrada para dados e inteligência no Microsoft 365. Ele fornece um modelo de programação unificado que você pode usar para acessar a enorme quantidade de dados no Microsoft 365, Windows 10 e Enterprise Mobility + Security. Use a riqueza de dados no Microsoft Graph para criar aplicativos para organizações e consumidores que interagem com milhões de usuários.
O esquema e uma representação JSON para alertas de segurança enviados ao MS Graph estão disponíveis na documentação do Microsoft Graph.
Artigos relacionados
Espaços de trabalho do Log Analytics - o Azure Monitor armazena dados de log em um espaço de trabalho do Log Analytics, um contêiner que inclui dados e informações de configuração
