警示結構描述
適用於雲端的 Defender 提供警示,可協助您識別、瞭解及回應安全性威脅。 適用於雲端的 Defender 偵測到您環境中的可疑活動或安全性相關問題時,會產生警示。 您可以在 適用於雲端的 Defender 入口網站中檢視這些警示,也可以將它們匯出至外部工具,以進一步分析和回應。
您可以在適用於雲端的 Microsoft Defender 頁面中檢視這些安全性警示 (概觀儀表板、警示、資源健康情況頁面或工作負載保護儀表板),以及透過外部工具,例如:
- Microsoft Sentinel - Microsoft 的雲端原生 SIEM。 Sentinel 連接器會從適用於雲端的 Microsoft Defender 取得警示,並將警示傳送至適用於 Microsoft Sentinel 的 Log Analytics 工作區。
- 協力廠商 SIEM - 將資料傳送至 Azure 事件中樞。 然後整合事件中樞資料與協力廠商 SIEM。 如要深入了解,請參閱將警示串流至 SIEM、SOAR 或 IT 服務管理解決方案。
- REST API - 如果您使用 REST API 存取警示,請參閱線上警示 API 文件。
如果您使用任何程式設計方法取用警示,您將需要正確的結構描述尋找與您相關的欄位。 此外,如果您要匯出至事件中樞,或嘗試使用一般 HTTP 連接器觸發工作流程自動化,則應使用架構來正確剖析 JSON 物件。
重要
由於每個案例的架構都不同,因此請確定您選取相關的索引標籤。
結構描述
Sentinel 連接器會從適用於雲端的 Microsoft Defender 取得警示,並將警示傳送至適用於 Microsoft Sentinel 的 Log Analytics 工作區。
若要使用適用於雲端的 Defender 警示建立 Microsoft Sentinel 案例或事件,您需要所示警示的結構描述。
若要深入瞭解,請參閱 Microsoft Sentinel 文件。
結構描述的資料模型
欄位 | 描述 |
---|---|
AlertName | 警示顯示名稱 |
AlertType | 唯一警示識別碼 |
ConfidenceLevel | (選擇性) 此警示的信賴度等級 (高/低) |
ConfidenceScore | (選擇性) 安全性警示的數值信賴度指標 |
說明 | 警示的描述文字 |
DisplayName | 警示的顯示名稱 |
EndTime | 警示影響結束的時間 (上一個事件佔警示的時間) |
實體 | 與警示相關的實體清單。 此清單可以保存各種類型實體的混合 |
ExtendedLinks | (選擇性) 與警示相關的所有連結包。 此包可以保存各種類型連結的混合 |
ExtendedProperties | 與警示相關的其他欄位包 |
IsIncident | 判斷警示是否為事件或一般警示。 事件是一種安全性警示,會將多個警示彙總成一個安全性事件 |
ProcessingEndTime | 建立警示的 UTC 時間戳記 |
ProductComponentName | (選擇性) 產生警示的產品內元件名稱。 |
ProductName | 常數 ('Azure Security Center') |
ProviderName | 未使用的 |
RemediationSteps | 要修正安全性威脅所要採取的手動動作項目 |
ResourceId | 受影響資源的完整識別碼 |
嚴重性 | 警示嚴重性 (高/中/低/資訊) |
SourceComputerId | 受影響伺服器的唯一 GUID (如果伺服器上產生警示) |
SourceSystem | 未使用的 |
StartTime | 警示影響開始的時間 (上一個事件佔警示的時間) |
SystemAlertId | 此安全性警示執行個體的唯一識別碼 |
TenantId | 已掃描資源所在的訂用帳戶的父代 Azure Active Directory 租用戶識別碼 |
TimeGenerated | 執行評估的 UTC 時間戳記 (資訊安全中心的掃描時間) (與 DiscoveredTimeUTC 相同) |
類型 | 常數 ('SecurityAlert') |
VendorName | 提供警示的廠商名稱 (例如'Microsoft') |
VendorOriginalId | 未使用的 |
WorkspaceResourceGroup | 如果是在 VM、伺服器、虛擬機器擴展集,或向工作區回報的 App Service 執行個體上產生警示,則會包含該工作區資源群組名稱 |
WorkspaceSubscriptionId | 如果是在 VM、伺服器、虛擬機器擴展集,或向工作區回報的 App Service 執行個體上產生警示,則會包含該工作區訂用帳戶名稱 |
相關文章
- Log Analytics 工作區 - Azure 監視器會將記錄資料儲存在 Log Analytics 工作區中,這是一個包含資料和設定資訊的容器
- Microsoft Sentinel - Microsoft 的雲端原生 SIEM
- Azure 事件中樞 - Microsoft 完全受控的即時資料擷取服務
後續步驟
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: