Alerta do Microsoft Defender for Cloud
O Microsoft Defender for Cloud é um sistema unificado de gerenciamento de segurança de infraestrutura que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas na nuvem - estejam elas no Azure ou não - bem como no local
Este conector está disponível nos seguintes produtos e regiões:
| Serviço | Class | Regiões |
|---|---|---|
| Aplicações Lógicas | Standard | Todas as regiões do Logic Apps , exceto as seguintes: - Departamento de Defesa dos EUA (DoD) |
| Contato | |
|---|---|
| Nome | Microsoft |
| URL |
Suporte do Microsoft LogicApps |
| Metadados do conector | |
|---|---|
| Editora | Microsoft |
| Saiba mais> | https://docs.microsoft.com/connectors/ascalert |
| Sítio Web | https://azure.microsoft.com/services/security-center/ |
Limites de Limitação
| Name | Chamadas | Período de Renovação |
|---|---|---|
| Chamadas de API por conexão | 100 | 60 segundos |
Acionadores
| Quando um alerta do Microsoft Defender for Cloud é criado ou acionado |
Aciona quando um alerta é criado no Microsoft Defender for Cloud e corresponde aos critérios de avaliação configurados em uma automação ou quando executado manualmente em um alerta específico. Observação: a execução automatizada desse gatilho requer a habilitação da automação no Microsoft Defender for Cloud e a habilitação de um plano de proteção da carga de trabalho como etapa preliminar. Para fazer isso, visite Microsoft Defender for Cloud. |
Quando um alerta do Microsoft Defender for Cloud é criado ou acionado
Aciona quando um alerta é criado no Microsoft Defender for Cloud e corresponde aos critérios de avaliação configurados em uma automação ou quando executado manualmente em um alerta específico. Observação: a execução automatizada desse gatilho requer a habilitação da automação no Microsoft Defender for Cloud e a habilitação de um plano de proteção da carga de trabalho como etapa preliminar. Para fazer isso, visite Microsoft Defender for Cloud.
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Uri de alerta
|
AlertUri | string |
Um link direto para exibir o alerta com todos os seus detalhes no Microsoft Defender for Cloud no portal do Azure. |
|
Nome de exibição do alerta
|
AlertDisplayName | string |
O nome de exibição do alerta, esse valor é exibido para os usuários as-is ou com parâmetros adicionais. (para exemplos de formatação de espaços reservados, consulte a Seção Notas). É aconselhável não colocar espaços reservados no campo AlertDisplayName e ter o mesmo valor para todos os alertas que partilham o mesmo valor AlertType, uma vez que os alertas podem ser agregados de acordo com o campo AlertType e mostrados aos utilizadores finais como tal. |
|
Tipo de Alerta
|
AlertType | string |
O nome do tipo de alerta. Os alertas do mesmo tipo devem ter o mesmo nome. Este campo é uma cadeia de caracteres com chave que representa a categoria ou o tipo do alerta e não de uma instância de alerta. Todas as instâncias de alerta da mesma lógica/analítica de deteção devem compartilhar o mesmo valor para o tipo de alerta. |
|
Entidade comprometida
|
CompromisedEntity | string |
Nome de apresentação da entidade principal reportada. Este campo é apresentado ao utilizador AS-IS e não é obrigatório estar em conformidade com qualquer formato. Ele pode conter computador, endereços IP, VMs ou qualquer coisa que o provedor de alertas decida apresentar. |
|
Description
|
Description | string |
Descrição do alerta, pode ter espaços reservados para parâmetros (por exemplo, para formatação de espaços reservados, consulte a Seção Notas) |
|
Hora de fim (UTC)
|
EndTimeUtc | date-time |
A hora de fim do impacto do alerta (a hora do último evento que contribui para o alerta). |
|
Intenção
|
Intent | string |
Campo opcional que especifica a intenção relacionada à cadeia de eliminação por trás do alerta. Para a lista de valores suportados está na seção Kill Chain Intent enumeração. Vários valores podem ser selecionados neste campo. O formato JSON para este campo deve serializar os valores de enumeração como cadeias de caracteres. Vários valores devem ser separados por vírgula, por exemplo, Sondagem, Exploração. |
|
Nome do Produto
|
ProductName | string |
O nome do produto que publicou este alerta, ou seja, ASC, WDATP, MCAS. |
|
Severity
|
Severity | string |
A gravidade do alerta tal como é comunicado pelo fornecedor. Valores possíveis: Informativo (também conhecido como Silencioso), Baixo, Médio, Alto |
|
Hora de início (UTC)
|
StartTimeUtc | date-time |
A hora de início do impacto do alerta (a hora do primeiro evento que contribui para o alerta). |
|
ID de alerta do sistema
|
SystemAlertId | string |
Contém o identificador de produto do alerta para o produto. Este é o identificador de alerta que geralmente também está disponível externamente para consultar alertas de clientes ou sistemas externos. O editor de alertas interno a um produto deve usar o campo ProviderAlertId para relatar qualquer identificador a ser usado em um escopo de um único produto. |
|
Tempo gerado (UTC)
|
TimeGenerated | date-time |
A hora em que o alerta foi gerado. Este tempo deve conter o tempo que foi gerado pelo provedor de alerta, se faltar o sistema irá atribuir a ele o tempo que foi recebido para processamento. |
|
Nome do Fornecedor
|
VendorName | string |
O nome do fornecedor que gera o alerta, esse valor é exibido para os usuários como está, ou seja, Microsoft ou Deep Security Agent ou Microsoft Antimalware etc. |
|
Entities
|
Entities | array of object |
Uma lista de entidades relacionadas com o alerta. Esta lista pode conter uma mistura de entidades de diversos tipos. O tipo de entidades pode ser qualquer um dos tipos definidos na seção Entidades. As entidades que não estão na lista abaixo também podem ser enviadas, no entanto não garantimos que serão processadas (no entanto, o alerta não falhará na validação). Não pode ser definido como null (será definido como vazio enumerável em vez disso). |
|
Links estendidos
|
ExtendedLinks | array of object |
Um saco para todos os links relacionados ao alerta. Este saco pode conter uma mistura de links para diversos tipos. Os links que não estão na lista abaixo também podem ser enviados, no entanto, não garantimos que serão processados (no entanto, o alerta não falhará na validação). Não pode ser definido como null (será definido como vazio enumerável em vez disso) |
|
Etapas de remediação
|
RemediationSteps | array of string |
Itens de ação manual a serem tomados para corrigir o alerta. Pode ter espaços reservados para parâmetros. (para exemplos de formatação de espaços reservados, consulte a Seção Notas). |
|
Identificadores de recursos
|
ResourceIdentifiers | array of object |
Os identificadores de recursos para este alerta, que podem ser usados para direcioná-lo para o grupo de exposição de produto correto (espaço de trabalho, assinatura, etc.). Pode haver vários identificadores de tipo diferente por alerta. Consulte Identificadores de recursos para obter mais detalhes. |