Microsoft Defender för molnavisering
Microsoft Defender för molnet är ett enhetligt säkerhetshanteringssystem för infrastruktur som stärker säkerhetsstatusen för dina datacenter och ger avancerat skydd mot hot i dina hybridarbetsbelastningar i molnet – oavsett om de finns i Azure eller inte – samt lokalt
Den här anslutningsappen är tillgänglig i följande produkter och regioner:
| Tjänster | Class | Regioner |
|---|---|---|
| Logiska appar | Norm | Alla Logic Apps-regioner utom följande: - US Department of Defense (DoD) |
| Kontakt | |
|---|---|
| Namn | Microsoft |
| URL |
Microsoft LogicApps Support |
| Metadata för anslutningsprogram | |
|---|---|
| Utgivare | Microsoft |
| Lära sig mer> | https://docs.microsoft.com/connectors/ascalert |
| Webbplats | https://azure.microsoft.com/services/security-center/ |
Begränsningsgränser
| Name | Anrop | Förnyelseperiod |
|---|---|---|
| API-anrop per anslutning | 100 | 60 sekunder |
Utlösare
| När en Microsoft Defender for Cloud-avisering skapas eller utlöses |
Utlöses när en avisering skapas i Microsoft Defender för molnet och matchar utvärderingskriterierna som konfigurerats i en automatisering, eller när den körs manuellt i en viss avisering. Obs! Automatisk körning av den här utlösaren kräver att du aktiverar automatisering i Microsoft Defender för molnet och aktiverar en arbetsbelastningsskyddsplan som ett preliminärt steg. Det gör du genom att besöka Microsoft Defender för molnet. |
När en Microsoft Defender for Cloud-avisering skapas eller utlöses
Utlöses när en avisering skapas i Microsoft Defender för molnet och matchar utvärderingskriterierna som konfigurerats i en automatisering, eller när den körs manuellt i en viss avisering. Obs! Automatisk körning av den här utlösaren kräver att du aktiverar automatisering i Microsoft Defender för molnet och aktiverar en arbetsbelastningsskyddsplan som ett preliminärt steg. Det gör du genom att besöka Microsoft Defender för molnet.
Returer
| Name | Sökväg | Typ | Description |
|---|---|---|---|
|
Aviserings-URI
|
AlertUri | string |
En direktlänk för att visa aviseringen med all dess information i Microsoft Defender för molnet i Azure-portalen. |
|
Visningsnamn för avisering
|
AlertDisplayName | string |
Visningsnamnet för aviseringen, det här värdet visas för användare antingen as-is eller med ytterligare parametrar. (exempel för platshållares formatering finns i avsnittet Anteckningar). Vi rekommenderar att du inte placerar innehavare i fältet AlertDisplayName och har samma värde för alla aviseringar som delar samma AlertType-värde, eftersom aviseringar kan aggregeras enligt fältet AlertType och visas för slutanvändarna som sådana. |
|
Aviseringstyp
|
AlertType | string |
Typnamnet på aviseringen. Aviseringar av samma typ bör ha samma namn. Det här fältet är en nyckelsträng som representerar kategorin eller typen av aviseringen och inte för en aviseringsinstans. Alla aviseringsinstanser från samma identifieringslogik/analys bör dela samma värde för aviseringstyp. |
|
Komprometterad entitet
|
CompromisedEntity | string |
Visningsnamn för huvudentiteten som rapporteras om. Det här fältet visas för användaren AS-IS och krävs inte för att överensstämma med något format. Den kan innehålla dator, IP-adresser, virtuella datorer eller något som aviseringsprovidern bestämmer sig för att presentera. |
|
Description
|
Description | string |
Aviseringsbeskrivning, kan ha platshållare för parametrar (till exempel för platshållares formatering se i avsnittet Anteckningar) |
|
Sluttid (UTC)
|
EndTimeUtc | date-time |
Sluttiden för aviseringen (tidpunkten för den senaste händelsen som bidrog till aviseringen). |
|
Avsikt
|
Intent | string |
Valfritt fält som anger den kill chain-relaterade avsikten bakom aviseringen. För lista över värden som stöds finns i avsnittet Uppräkning av avsikt för dödande kedja. Flera värden kan väljas i det här fältet. JSON-formatet för det här fältet ska serialisera uppräkningsvärdena som strängar. Flera värden ska avgränsas med kommatecken, t.ex. avsökning, utnyttjande. |
|
Produktnamn
|
ProductName | string |
Namnet på den produkt som publicerade aviseringen, dvs. ASC, WDATP, MCAS. |
|
Severity
|
Severity | string |
Allvarlighetsgraden för aviseringen eftersom den rapporteras av providern. Möjliga värden: Information (t.ex. tyst), Låg, Medel, Hög |
|
Starttid (UTC)
|
StartTimeUtc | date-time |
Starttiden för aviseringen (tidpunkten för den första händelsen som bidrar till aviseringen). |
|
Systemaviserings-ID
|
SystemAlertId | string |
Innehåller produktidentifieraren för aviseringen för produkten. Det här är aviseringsidentifieraren som vanligtvis också är tillgänglig externt för att fråga efter aviseringar från kunder eller externa system. Aviseringsutgivare som är interna för en produkt bör använda fältet ProviderAlertId för att rapportera alla identifierare som ska användas i en enskild produkts omfång. |
|
Tidsgenererad (UTC)
|
TimeGenerated | date-time |
Den tid då aviseringen genererades. Den här tiden bör innehålla den tid som den genererades av aviseringsprovidern, om systemet saknas tilldelar det den tid det togs emot för bearbetning. |
|
Leverantörsnamn
|
VendorName | string |
Namnet på den leverantör som höjer aviseringen, det här värdet visas för användare som det är, dvs. Microsoft eller Deep Security Agent eller Microsoft Antimalware osv. |
|
Entities
|
Entities | array of object |
En lista över entiteter som är relaterade till aviseringen. Den här listan kan innehålla en blandning av entiteter av olika typer. Entitetstypen kan vara någon av de typer som definieras i entitetsavsnittet. Entiteter som inte finns i listan nedan kan också skickas, men vi garanterar inte att de bearbetas (men aviseringen misslyckas inte med valideringen). Det går inte att ange null (anges till tom uppräkningsbar i stället). |
|
Utökade länkar
|
ExtendedLinks | array of object |
En påse för alla länkar som är relaterade till aviseringen. Den här påsen kan innehålla en blandning av länkar för olika typer. Länkar som inte finns i listan nedan kan också skickas, men vi garanterar inte att de bearbetas (men aviseringen misslyckas inte med valideringen). Det går inte att ange null (anges till tom uppräkningsbar i stället) |
|
Reparationssteg
|
RemediationSteps | array of string |
Manuella åtgärder som ska vidtas för att åtgärda aviseringen. Kan ha platshållare för parametrar. (exempel för platshållares formatering finns i avsnittet Anteckningar). |
|
Resursidentifierare
|
ResourceIdentifiers | array of object |
Resursidentifierarna för den här aviseringen som kan användas för att dirigera aviseringen till rätt produktexponeringsgrupp (arbetsyta, prenumeration osv.). Det kan finnas flera identifierare av olika typ per avisering. Mer information finns i Resursidentifierare. |