Оповещение Microsoft Defender для облака
Microsoft Defender для Облака — это единая система управления безопасностью инфраструктуры, которая укрепляет безопасность центров обработки данных и обеспечивает расширенную защиту от угроз в гибридных рабочих нагрузках в облаке , независимо от того, находится ли они в Azure или нет , а также в локальной среде.
Этот соединитель доступен в следующих продуктах и регионах:
| Услуга | Class | Регионы |
|---|---|---|
| Логические приложения | Стандарт | Все регионы Logic Apps , кроме следующих: - Министерство обороны США (DoD) |
| Контакт | |
|---|---|
| Имя | Microsoft |
| URL |
Поддержка Microsoft LogicApps |
| Метаданные соединителя | |
|---|---|
| Publisher | Microsoft |
| Подробнее> | https://docs.microsoft.com/connectors/ascalert |
| Веб-сайт | https://azure.microsoft.com/services/security-center/ |
Ограничения регулирования
| Имя | Вызовы | Период обновления |
|---|---|---|
| Вызовы API для каждого подключения | 100 | 60 секунд |
Триггеры
| При создании или активации оповещений Microsoft Defender для облака |
Активирует при создании оповещения в Microsoft Defender для облака и соответствует критериям оценки, настроенным в службе автоматизации, или при выполнении вручную в определенном оповещении. Примечание. Автоматическое выполнение этого триггера требует включения автоматизации в Microsoft Defender для облака и включения плана защиты рабочей нагрузки в качестве предварительного шага. Для этого посетите Microsoft Defender для Облака. |
При создании или активации оповещений Microsoft Defender для облака
Активирует при создании оповещения в Microsoft Defender для облака и соответствует критериям оценки, настроенным в службе автоматизации, или при выполнении вручную в определенном оповещении. Примечание. Автоматическое выполнение этого триггера требует включения автоматизации в Microsoft Defender для облака и включения плана защиты рабочей нагрузки в качестве предварительного шага. Для этого посетите Microsoft Defender для Облака.
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Универсальный код ресурса (URI) опове
|
AlertUri | string |
Прямая ссылка для просмотра оповещения со всеми сведениями в Microsoft Defender для облака на портале Azure. |
|
Отображаемое имя оповещения
|
AlertDisplayName | string |
Отображаемое имя оповещения отображается пользователям либо as-is, либо с дополнительными параметрами. (например, для форматирования держателей мест см. в разделе "Заметки"). Рекомендуется не помещать держателей в поле AlertDisplayName и иметь одинаковое значение для всех оповещений с одинаковым значением AlertType, так как оповещения можно агрегировать в соответствии с полем AlertType и отображаться конечным пользователям таким образом. |
|
Тип оповещения
|
AlertType | string |
Имя типа оповещения. Оповещения одного типа должны иметь то же имя. Это поле является ключевой строкой, представляющей категорию или тип оповещения, а не экземпляр оповещения. Все экземпляры оповещений из одной логики обнаружения или аналитики должны совместно использовать одно и то же значение для типа оповещения. |
|
Скомпрометированная сущность
|
CompromisedEntity | string |
Отображаемое имя основной сущности, о которой поступает информация. Это поле представлено пользователю AS-IS и не требуется соответствовать любому формату. Он может хранить компьютер, IP-адреса, виртуальные машины или все, что поставщик оповещений решает представить. |
|
Description
|
Description | string |
Описание оповещений может иметь заполнители параметров (например, для форматирования владельцев мест см. в разделе "Заметки") |
|
Время окончания (UTC)
|
EndTimeUtc | date-time |
Время окончания действия оповещения (время последнего события, которое вносит вклад в оповещение). |
|
Намерение
|
Intent | string |
Необязательное поле, указывающее намерение, связанное с цепочкой убийств, за оповещением. Список поддерживаемых значений находится в разделе Перечисление "Убить намерение цепочки". В этом поле можно выбрать несколько значений. Формат JSON для этого поля должен сериализовать значения перечисления в виде строк. Несколько значений должны быть разделены запятыми, например проверка, эксплуатация. |
|
Название продукта
|
ProductName | string |
Имя продукта, публикующего это оповещение, т. е. ASC, WDATP, MCAS. |
|
Severity
|
Severity | string |
Серьезность оповещения, как сообщается поставщиком. Возможные значения: информационные (a.k.a Silent), Низкий, Средний, Высокий |
|
Время начала (UTC)
|
StartTimeUtc | date-time |
Время начала оповещения (время первого события, которое вносит вклад в оповещение). |
|
Идентификатор системного оповещения
|
SystemAlertId | string |
Содержит идентификатор продукта оповещения для продукта. Это идентификатор генерации оповещений, который обычно доступен внешним образом для запроса оповещений клиентами или внешними системами. Издатель оповещений, который является внутренним для продукта, должен использовать поле ProviderAlertId, чтобы сообщить о любом идентификаторе, который будет использоваться в области одного продукта. |
|
Время создания (UTC)
|
TimeGenerated | date-time |
Время создания оповещения. На этот раз должен содержать время, созданное поставщиком оповещений, если система не будет назначать ему время, полученное для обработки. |
|
Имя поставщика
|
VendorName | string |
Имя поставщика, который вызывает оповещение, это значение отображается пользователям как есть, например Microsoft или Deep Security Agent или Microsoft Antimalware и т. д. |
|
Entities
|
Entities | array of object |
Список сущностей, связанных с оповещением. Этот список может содержать смесь сущностей различных типов. Тип сущностей может быть любым из типов, определенных в entitiessection. Сущности, которые не находятся в приведенном ниже списке, также могут быть отправлены, однако мы не гарантируем, что они будут обработаны (однако оповещение не завершится ошибкой проверки). Не удается задать значение NULL (вместо этого будет задано значение NULL). |
|
Расширенные ссылки
|
ExtendedLinks | array of object |
Пакет для всех ссылок, связанных с оповещением. Этот мешок может содержать смесь ссылок для различных типов. Ссылки, которые не находятся в приведенном ниже списке, также могут быть отправлены, однако мы не гарантируем, что они будут обработаны (однако оповещение не завершится ошибкой проверки). Не удается задать значение NULL (вместо этого будет задано значение null (вместо этого будет задано значение пустого перечисления). |
|
Действия по исправлению
|
RemediationSteps | array of string |
Элементы действий вручную, чтобы устранить оповещение. Может иметь заполнители параметров. (например, для форматирования держателей мест см. в разделе "Заметки"). |
|
Идентификаторы ресурсов
|
ResourceIdentifiers | array of object |
Идентификаторы ресурсов для этого оповещения, которые можно использовать для направления оповещения в нужную группу воздействия продукта (рабочую область, подписку и т. д.). На оповещение может быть несколько идентификаторов разных типов. Дополнительные сведения см. в разделе "Идентификаторы ресурсов". |