Uyarı şemaları

Bulut için Defender, güvenlik tehditlerini tanımlamanıza, anlamanıza ve yanıtlamanıza yardımcı olan uyarılar sağlar. uyarılar, Bulut için Defender ortamınızdaki şüpheli etkinlikleri veya güvenlikle ilgili bir sorunu algıladığında oluşturulur. Bu uyarıları Bulut için Defender portalında görüntüleyebilir veya daha fazla analiz ve yanıt için dış araçlara aktarabilirsiniz.

Bu güvenlik uyarılarını Bulut için Microsoft Defender sayfalarında (genel bakış panosu, uyarılar, kaynak durumu sayfaları veya iş yükü korumaları panosu) ve aşağıdaki gibi dış araçlar aracılığıyla görüntüleyebilirsiniz:

• Microsoft Sentinel - Microsoft'un bulutta yerel SIEM'i. Sentinel Bağlayıcısı, Bulut için Microsoft Defender uyarı alır ve bunları Microsoft Sentinel için Log Analytics çalışma alanına gönderir.
• Üçüncü taraf SIEM'ler - Azure Event Hubs'a veri gönderme. Ardından Event Hubs verilerinizi üçüncü taraf SIEM ile tümleştirin. Uyarıları SIEM, SOAR veya BT Hizmet Yönetimi çözümüne akışla aktarma konusunda daha fazla bilgi edinin.
• REST API - Uyarılara erişmek için REST API kullanıyorsanız çevrimiçi Uyarılar API'sinin belgelerine bakın.

Uyarıları kullanmak için herhangi bir programlı yöntem kullanıyorsanız, sizinle ilgili alanları bulmak için doğru şemaya ihtiyacınız vardır. Ayrıca, bir Event Hubs'a aktarıyorsanız veya iş akışı otomasyonunu genel HTTP bağlayıcılarıyla tetiklemeye çalışıyorsanız, JSON nesnelerini düzgün ayrıştırmak için şemalar kullanılmalıdır.

Önemli

Şema bu senaryoların her biri için farklı olduğundan ilgili sekmeyi seçtiğinizden emin olun.

Şemalar

Microsoft Sentinel

Sentinel Bağlayıcısı, Bulut için Microsoft Defender uyarı alır ve bunları Microsoft Sentinel için Log Analytics Çalışma Alanına gönderir.

Bulut için Defender uyarılarını kullanarak bir Microsoft Sentinel olayı veya olayı oluşturmak için gösterilen bu uyarıların şemasına ihtiyacınız vardır.

Microsoft Sentinel belgelerinde daha fazla bilgi edinin.

Şemanın veri modeli

Alan	Açıklama
AlertName	Uyarı görünen adı
AlertType	benzersiz uyarı tanımlayıcısı
ConfidenceLevel	(İsteğe bağlı) Bu uyarının güvenilirlik düzeyi (Yüksek/Düşük)
ConfidenceScore	(İsteğe bağlı) Güvenlik uyarısının sayısal güvenilirlik göstergesi
Açıklama	Uyarı için açıklama metni
DisplayName	Uyarının görünen adı
EndTime	Uyarının etki bitiş saati (uyarıya katkıda bulunan son olayın zamanı)
Varlıklar	Uyarıyla ilgili varlıkların listesi. Bu liste, farklı türlerdeki varlıkların bir karışımını barındırabilir
ExtendedLinks	(İsteğe bağlı) Uyarıyla ilgili tüm bağlantılar için bir çanta. Bu çanta, çeşitli türler için bağlantıların bir karışımını tutabilir
ExtendedProperties	Uyarıyla ilgili ek alanlardan oluşan bir torba
IsIncident	Uyarının bir olay mı yoksa normal bir uyarı mı olduğunu belirler. Olay, birden çok uyarıyı tek bir güvenlik olayına toplayan bir güvenlik uyarısıdır
ProcessingEndTime	Uyarının oluşturulduğu UTC zaman damgası
ProductComponentName	(İsteğe bağlı) Uyarıyı oluşturan ürünün içindeki bir bileşenin adı.
ProductName	sabit ('Azure Güvenlik Merkezi')
ProviderName	Kullanılma -yan
DüzeltmeLerTeps	Güvenlik tehdidini düzeltmek için el ile gerçekleştirilen eylem öğeleri
ResourceId	Etkilenen kaynağın tam tanımlayıcısı
Önem Derecesi	Uyarı önem derecesi (Yüksek/Orta/Düşük/Bilgilendiren)
SourceComputerId	etkilenen sunucu için benzersiz bir GUID (uyarı sunucuda oluşturulduysa)
SourceSystem	Kullanılma -yan
StartTime	Uyarının etki başlangıç saati (uyarıya katkıda bulunan ilk olayın zamanı)
SystemAlertId	Bu güvenlik uyarısı örneğinin benzersiz tanımlayıcısı
Kiracı Kimliği	taranan kaynağın bulunduğu aboneliğin üst Azure Active Directory kiracısının tanımlayıcısı
TimeGenerated	Değerlendirmenin gerçekleştiği UTC zaman damgası (Güvenlik Merkezi'nin tarama süresi) (DiscoveredTimeUTC ile aynıdır)
Tür	constant ('SecurityAlert')
VendorName	Uyarıyı sağlayan satıcının adı (örneğin, 'Microsoft')
VendorOriginalId	Kullanılma -yan
WorkspaceResourceGroup	uyarının bir çalışma alanına rapor veren bir VM, Sunucu, Sanal Makine Ölçek Kümesi veya App Service örneğinde oluşturulması durumunda, bu çalışma alanı kaynak grubu adını içerir
WorkspaceSubscriptionId	uyarının bir çalışma alanına rapor veren bir VM, Sunucu, Sanal Makine Ölçek Kümesi veya App Service örneğinde oluşturulması durumunda subscriptionId çalışma alanını içerir

Azure Etkinlik Günlüğü

Bulut için Microsoft Defender Oluşturulan Güvenlik uyarılarını Azure Etkinlik Günlüğü'nde olaylar olarak denetler.

Aşağıda gösterildiği gibi Uyarıyı Etkinleştir olayını arayarak Etkinlik Günlüğü'nde güvenlik uyarıları olaylarını görüntüleyebilirsiniz:

Azure Etkinlik Günlüğü'ne gönderilen uyarılar için örnek JSON

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Şemanın veri modeli

Alan	Açıklama
Kanal	Sabit, "İşlem"
correlationId	Bulut için Microsoft Defender uyarı kimliği
Açıklama	Uyarının açıklaması
eventDataId	Bkz. correlationId
eventName	Değer ve localizedValue alt alanları uyarı görünen adını içerir
category	Değer ve localizedValue alt alanları sabittir - "Güvenlik"
eventTimestamp	Uyarının ne zaman oluşturulduğuna ilişkin UTC zaman damgası
id	Tam uyarı kimliği
düzey	Sabit, "Bilgilendiren"
operationId	Bkz. correlationId
operationName	Değer alanı sabittir - Microsoft.Security/locations/alerts/activate/actionve yerelleştirilmiş değerdir Activate Alert (potansiyel olarak kullanıcı yerel ayarına göre yerelleştirilebilir)
resourceGroupName	Kaynak grubu adını içerir
resourceProviderName	Değer ve localizedValue alt alanları sabittir - "Microsoft.Security"
resourceType	Değer ve localizedValue alt alanları sabittir - "Microsoft.Security/locations/alerts"
resourceId	Tam Azure kaynak kimliği
durum	Değer ve localizedValue alt alanları sabittir - "Etkin"
subStatus	Değer ve localizedValue alt alanları boş
submissionTimestamp	Etkinlik Günlüğüne olay gönderiminin UTC zaman damgası
subscriptionId	Güvenliği aşılmış kaynağın abonelik kimliği
Özellikler	Uyarıyla ilgili diğer özelliklerden oluşan bir JSON paketi. Özellikler bir uyarıdan diğerine değişebilir, ancak tüm uyarılarda aşağıdaki alanlar görüntülenir: - önem derecesi: Saldırının önem derecesi - compromisedEntity: Güvenliği aşılmış kaynağın adı - remediationSteps: Atılacak düzeltme adımları dizisi - amaç: Uyarının sonlandırma zinciri amacı. Olası amaçlar Amaçlar tablosunda belgelenmiştir
relatedEvents	Sabit - boş dizi

İş akışı otomasyonu

İş akışı otomasyonu kullanılırken uyarılar şeması için bağlayıcılar belgelerine bakın.

Sürekli dışarı aktarma

Bulut için Defender sürekli dışarı aktarma özelliği uyarı verilerini şu şekilde geçirir:

• Uyarı API'si ile aynı şemayı kullanan Azure Event Hubs.
• Log Analytics çalışma alanları, Azure İzleyici veri belgelerindeki SecurityAlert şemasına göre.

MS Graph API

Microsoft Graph, Microsoft 365'te veri ve zekaya açılan ağ geçididir. Microsoft 365, Windows 10 ve Enterprise Mobility + Security'deki muazzam miktarda veriye erişmek için kullanabileceğiniz birleşik bir programlama modeli sağlar. Milyonlarca kullanıcıyla etkileşim kuran kuruluşlara ve tüketicilere yönelik uygulamalar oluşturmak için Microsoft Graph'teki zengin verileri kullanın.

MS Graph'a gönderilen güvenlik uyarılarının şemasını ve JSON gösterimini Microsoft Graph belgelerinde bulabilirsiniz.

İlgili makaleler

• Log Analytics çalışma alanları - Azure İzleyici günlük verilerini veri ve yapılandırma bilgilerini içeren bir kapsayıcı olan Log Analytics çalışma alanında depolar
• Microsoft Sentinel - Microsoft'un bulutta yerel SIEM'i
• Azure Event Hubs - Microsoft'un tam olarak yönetilen, gerçek zamanlı veri alımı hizmeti

Sonraki adım

Bulut için Defender verilerini sürekli dışarı aktarma