Bulut için Microsoft Defender Uyarısı
Bulut için Microsoft Defender, veri merkezlerinizin güvenlik duruşunu güçlendiren birleşik bir altyapı güvenlik yönetim sistemidir ve buluttaki hibrit iş yükleriniz (Azure'da olsun veya olmasın) ve şirket içinde gelişmiş tehdit koruması sağlar
Bu bağlayıcı aşağıdaki ürün ve bölgelerde kullanılabilir:
| Hizmet | Class | Bölgeler |
|---|---|---|
| Logic Apps | Standart | Aşağıdakiler dışında tüm Logic Apps bölgeleri : - ABD Savunma Bakanlığı (DoD) |
| İletişim | |
|---|---|
| İsim | Microsoft |
| URL |
Microsoft LogicApps Desteği |
| Bağlayıcı Meta Verileri | |
|---|---|
| Publisher | Microsoft |
| Daha fazla bilgi edinin> | https://docs.microsoft.com/connectors/ascalert |
| Web sitesi | https://azure.microsoft.com/services/security-center/ |
Azaltma Sınırları
| Name | Çağrılar | Yenileme Dönemi |
|---|---|---|
| Bağlantı başına API çağrıları | 100 | 60 saniye |
Tetikleyiciler
| Bulut için Microsoft Defender uyarısı oluşturulduğunda veya tetiklendiğinde |
Bulut için Microsoft Defender'da bir uyarı oluşturulduğunda ve otomasyonda yapılandırılan değerlendirme ölçütleriyle eşleştiğinde veya belirli bir uyarıda el ile çalıştırıldığında tetikler. Not: Bu tetikleyicinin otomatik çalıştırılması için Bulut için Microsoft Defender'da otomasyonun etkinleştirilmesi ve ön adım olarak bir iş yükü koruma planının etkinleştirilmesi gerekir. Bunu yapmak için Bulut için Microsoft Defender'ı ziyaret edin. |
Bulut için Microsoft Defender uyarısı oluşturulduğunda veya tetiklendiğinde
Bulut için Microsoft Defender'da bir uyarı oluşturulduğunda ve otomasyonda yapılandırılan değerlendirme ölçütleriyle eşleştiğinde veya belirli bir uyarıda el ile çalıştırıldığında tetikler. Not: Bu tetikleyicinin otomatik çalıştırılması için Bulut için Microsoft Defender'da otomasyonun etkinleştirilmesi ve ön adım olarak bir iş yükü koruma planının etkinleştirilmesi gerekir. Bunu yapmak için Bulut için Microsoft Defender'ı ziyaret edin.
Döndürülenler
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Uyarı Uri'si
|
AlertUri | string |
Azure portalında Bulut için Microsoft Defender'da uyarıyı tüm ayrıntılarıyla görüntülemek için doğrudan bağlantı. |
|
Uyarı Görünen Adı
|
AlertDisplayName | string |
Uyarının görünen adı olan bu değer kullanıcılara as-is veya ek parametrelerle görüntülenir. (yer tutucuları biçimlendirme örnekleri için Bkz. Notlar Bölümü). Uyarılar AlertType alanına göre toplanıp son kullanıcılara gösterildiğinden, AlertDisplayName alanına yer tutucuları yerleştirmemeniz ve aynı AlertType değerini paylaşan tüm uyarılar için aynı değere sahip olmaması tavsiye edilir. |
|
Uyarı Türü
|
AlertType | string |
Uyarının tür adı. Aynı türdeki uyarılar aynı ada sahip olmalıdır. Bu alan, uyarı örneğini değil, uyarının kategorisini veya türünü temsil eden anahtarlı bir dizedir. Aynı algılama mantığından/analizinden gelen tüm uyarı örnekleri, uyarı türü için aynı değeri paylaşmalıdır. |
|
Güvenliği Aşılmış Varlık
|
CompromisedEntity | string |
Rapor edilen ana varlığın görünen adı. Bu alan kullanıcı AS-IS sunulur ve herhangi bir biçime uyması gerekmez. Bilgisayar, ip adresleri, VM'ler veya uyarı sağlayıcısının sunmaya karar veren herhangi bir şeyi barındırabilir. |
|
Description
|
Description | string |
Uyarı açıklamasında parametre yer tutucuları olabilir (yer tutucu biçimlendirme örnekleri için Bkz. Notlar Bölümü) |
|
Bitiş Saati (UTC)
|
EndTimeUtc | date-time |
Uyarının etki bitiş saati (uyarıya katkıda bulunan son olayın zamanı). |
|
Kasıt
|
Intent | string |
Uyarının arkasındaki sonlandırma zinciriyle ilgili amacı belirten isteğe bağlı alan. Desteklenen değerlerin listesi, Kill Chain Intent sabit listesi bölümündedir. Bu alanda birden çok değer seçilebilir. Bu alanın JSON biçimi, numaralandırma değerlerini dize olarak seri hale getirmelidir. Birden çok değer virgülle ayrılmalıdır, örneğin Yoklama, Sömürü. |
|
Ürün Adı
|
ProductName | string |
Bu uyarıyı yayımlayan ürünün adı, örneğin ASC, WDATP, MCAS. |
|
Severity
|
Severity | string |
Sağlayıcı tarafından bildirilen uyarının önem derecesi. Olası Değerler: Bilgilendirsel (sessiz), Düşük, Orta, Yüksek |
|
Başlangıç Saati (UTC)
|
StartTimeUtc | date-time |
Uyarının etki başlangıç zamanı (uyarıya katkıda bulunan ilk olayın zamanı). |
|
Sistem Uyarısı Kimliği
|
SystemAlertId | string |
Ürün için uyarının ürün tanımlayıcısını tutar. Bu, genellikle müşterilerin veya dış sistemlerin uyarılarını sorgulamak için harici olarak da kullanılabilen uyarı tanımlayıcısıdır. Bir ürünün içindeki uyarı yayımcısı, tek bir ürün kapsamında kullanılacak tanımlayıcıları raporlamak için ProviderAlertId alanını kullanmalıdır. |
|
Oluşturulma Zamanı (UTC)
|
TimeGenerated | date-time |
Uyarının oluşturulduğu saat. Bu süre uyarı sağlayıcısı tarafından oluşturulduğu zamanı içermelidir; eksikse sistem işleme için alındığı zamanı ona atar. |
|
Satıcı Adı
|
VendorName | string |
Uyarıyı oluşturan satıcının adı, bu değer kullanıcılara olduğu gibi görüntülenir; örneğin, Microsoft veya Derin Güvenlik Aracısı veya Microsoft Kötü Amaçlı Yazılımdan Koruma vb. |
|
Entities
|
Entities | array of object |
Uyarıyla ilgili varlıkların listesi. Bu liste, farklı türlerdeki varlıkların bir karışımını barındırabilir. Varlık türü, Varlıklarsection'da tanımlanan türlerden herhangi biri olabilir. Aşağıdaki listede bulunmayan varlıklar da gönderilebilir, ancak işleneceklerini garanti etmiyoruz (ancak uyarı doğrulama başarısız olmayacaktır). null olarak ayarlanamaz (bunun yerine boş numaralandırılabilir olarak ayarlanır). |
|
Genişletilmiş Bağlantılar
|
ExtendedLinks | array of object |
Uyarıyla ilgili tüm bağlantılar için bir çanta. Bu çanta, çeşitli türler için bağlantıların bir karışımını tutabilir. Aşağıdaki listede bulunmayan bağlantılar da gönderilebilir, ancak bunların işlendiğini garanti etmiyoruz (ancak uyarı doğrulama başarısız olmayacaktır). Null olarak ayarlanamaz (bunun yerine boş numaralandırılabilir olarak ayarlanır) |
|
Düzeltme Adımları
|
RemediationSteps | array of string |
Uyarıyı düzeltmek için el ile gerçekleştirilen eylem öğeleri. Parametre yer tutucuları olabilir. (yer tutucuları biçimlendirme örnekleri için Bkz. Notlar Bölümü). |
|
Kaynak Tanımlayıcıları
|
ResourceIdentifiers | array of object |
Bu uyarının kaynak tanımlayıcıları, uyarıyı doğru ürün açığa çıkarma grubuna (çalışma alanı, abonelik vb.) yönlendirmek için kullanılabilir. Uyarı başına farklı türde birden çok tanımlayıcı olabilir. Daha fazla ayrıntı için bkz. Kaynak Tanımlayıcıları. |