Microsoft Sentinel schemareferens för säkerhetsaviseringar

Microsoft Sentinel analysregler skapar incidenter till följd av säkerhetsaviseringar. Säkerhetsaviseringar kan komma från olika källor och därför använda olika typer av analysregler för att skapa incidenter:

• Schemalagda analysregler genererar aviseringar som ett resultat av deras vanliga frågor om data i loggar som matas in från externa källor, och samma regler skapar incidenter från dessa aviseringar. (I det här dokumentet omfattar "schemalagda" regelaviseringar NRT-regelaviseringar.)

• Microsofts säkerhetsanalysregler skapar incidenter från aviseringar som matas in som de är från andra Microsoft-säkerhetsprodukter, till exempel Microsoft Defender XDR och Microsoft Defender för molnet.

Oavsett källa lagras alla dessa aviseringar tillsammans i tabellen SecurityAlert på Log Analytics-arbetsytan. Den här artikeln beskriver schemat för den här tabellen.

Eftersom aviseringar kommer från många källor används inte alla fält av alla leverantörer. Vissa fält kan lämnas tomma.

Schemadefinitioner

Kolumnnamn	Typ	Beskrivning
AlertLink	sträng	En länk till aviseringen i portalen för den ursprungliga produkten.
AlertName	sträng	Aviseringens visningsnamn. Schemalagda regelaviseringar: hämtade från regelnamnet. Inmatade aviseringar: visningsnamnet för aviseringen i den ursprungliga produkten.
AlertSeverity	sträng	Allvarlighetsgraden för aviseringen. [Information / Låg / Medel / Hög]
AlertType	sträng	Typ av avisering. Schemalagda regelaviseringar: hämtas från regel-ID:t. Inmatade aviseringar: vissa produkter grupperar sina aviseringar efter typ. I vissa fall kan vara identisk med eller synonymt med produktnamnet.
CompromisedEntity	sträng	Visningsnamnet för huvudentiteten som aviseras på.
ConfidenceLevel	sträng	Konfidensnivån för den här aviseringen: hur säker providern är på att detta inte är en falsk positiv identifiering.
ConfidenceScore	real	Konfidenspoängen för aviseringen, i en skala från 0,0 till 1,0, om tillämpligt. Den här egenskapen möjliggör en mer detaljerad representation av konfidensnivån för aviseringen jämfört med fältet ConfidenceLevel.
Beskrivning	sträng	Beskrivningen av aviseringen.
Displayname	sträng	Aviseringens visningsnamn. Synonymt med AlertName men behålls för kompatibilitet.
Endtime	Datetime	Sluttiden för effekten av aviseringen. Schemalagda regelaviseringar: värdet för fältet TimeGenerated för den senaste händelsen som registrerats av frågan. Inmatade aviseringar: tiden för den senaste händelsen eller aktiviteten som ingår i aviseringen.
Enheter	sträng	En lista över de entiteter som identifieras i aviseringen. Den här listan kan innehålla en kombination av entiteter av olika typer. Entiteternas typer kan vara någon av dem som definieras i schemat, enligt beskrivningen i dokumentationen för entiteter.
ExtendedLinks	sträng	En påse (en samling) för alla länkar som är relaterade till aviseringen. Denna väska kan innehålla en kombination av länkar av olika typer.
ExtendedProperties	sträng	En samling andra egenskaper för aviseringen, inklusive användardefinierade egenskaper. All anpassad information som definieras i aviseringen och dynamiskt innehåll i aviseringsinformationen lagras här.
IsIncident	boolesk	DEPRECATED. Ställ alltid in på falskt.
ProcessingEndTime	Datetime	Tidpunkten för aviseringens publicering. Schemalagda regelaviseringar: värdet för fältet TimeGenerated . Inmatade aviseringar: den tid då den ursprungliga produkten slutför produktionen av aviseringen.
ProductComponentName	sträng	Namnet på komponenten för produkten som genererade aviseringen.
Productname	sträng	Namnet på den produkt som genererade aviseringen.
ProviderName	sträng	Namnet på aviseringsprovidern (tjänsten i produkten) som genererade aviseringen.
RemediationSteps	sträng	En lista över åtgärder som ska vidtas för att åtgärda aviseringen.
ResourceId	sträng	En unik identifierare för resursen som omfattas av aviseringen.
SourceComputerId	sträng	DEPRECATED. Var agent-ID:t på servern som skapade aviseringen.
SourceSystem	sträng	DEPRECATED. Fylls alltid i med strängen "Identifiering".
Starttime	Datetime	Starttiden för effekten av aviseringen. Schemalagda regelaviseringar: värdet för fältet TimeGenerated för den första händelsen som registrerats av frågan. Inmatade aviseringar: tidpunkten för den första händelsen eller aktiviteten som ingår i aviseringen.
Status	sträng	Status för aviseringen inom livscykeln. [Ny / InProgress / Löst / Avvisad / Okänd]
SystemAlertId	sträng	Det interna unika ID:t för aviseringen i Microsoft Sentinel.
Taktik	sträng	En kommaavgränsad lista över MITRE ATT&CK-taktik som är associerad med aviseringen.
Tekniker	sträng	En kommaavgränsad lista över MITRE ATT-&CK-tekniker som är associerade med aviseringen.
TenantId	sträng	Klientorganisationens unika ID.
TimeGenerated	Datetime	Den tid då aviseringen genererades (i UTC).
Typ	sträng	Konstanten ('SecurityAlert')
VendorName	sträng	Leverantören av den produkt som skapade aviseringen.
VendorOriginalId	sträng	Unikt ID för den specifika aviseringsinstansen som anges av den ursprungliga produkten.
WorkspaceResourceGroup	sträng	DEPRECATED
WorkspaceSubscriptionId	sträng	DEPRECATED

Nästa steg

Läs mer om säkerhetsaviseringar och analysregler:

• Identifiera hot direkt

• Skapa anpassade analysregler för att identifiera hot

• Exportera och importera analysregler till och från ARM-mallar