分享方式:

警示結構描述

  • 文章

適用於雲端的 Defender 提供警示,可協助您識別、瞭解及回應安全性威脅。 適用於雲端的 Defender 偵測到您環境中的可疑活動或安全性相關問題時,會產生警示。 您可以在 適用於雲端的 Defender 入口網站中檢視這些警示,也可以將它們匯出至外部工具,以進一步分析和回應。

您可以在適用於雲端的 Microsoft Defender 頁面中檢視這些安全性警示 (概觀儀表板警示資源健康情況頁面工作負載保護儀表板),以及透過外部工具,例如:

如果您使用任何程式設計方法取用警示,您將需要正確的結構描述尋找與您相關的欄位。 此外,如果您要匯出至事件中樞,或嘗試使用一般 HTTP 連接器觸發工作流程自動化,則應使用架構來正確剖析 JSON 物件。

重要

由於每個案例的架構都不同,因此請確定您選取相關的索引標籤。

結構描述

Sentinel 連接器會從適用於雲端的 Microsoft Defender 取得警示,並將警示傳送至適用於 Microsoft Sentinel 的 Log Analytics 工作區。

若要使用適用於雲端的 Defender 警示建立 Microsoft Sentinel 案例或事件,您需要所示警示的結構描述。

若要深入瞭解,請參閱 Microsoft Sentinel 文件

結構描述的資料模型

欄位 描述
AlertName 警示顯示名稱
AlertType 唯一警示識別碼
ConfidenceLevel (選擇性) 此警示的信賴度等級 (高/低)
ConfidenceScore (選擇性) 安全性警示的數值信賴度指標
說明 警示的描述文字
DisplayName 警示的顯示名稱
EndTime 警示影響結束的時間 (上一個事件佔警示的時間)
實體 與警示相關的實體清單。 此清單可以保存各種類型實體的混合
ExtendedLinks (選擇性) 與警示相關的所有連結包。 此包可以保存各種類型連結的混合
ExtendedProperties 與警示相關的其他欄位包
IsIncident 判斷警示是否為事件或一般警示。 事件是一種安全性警示,會將多個警示彙總成一個安全性事件
ProcessingEndTime 建立警示的 UTC 時間戳記
ProductComponentName (選擇性) 產生警示的產品內元件名稱。
ProductName 常數 ('Azure Security Center')
ProviderName 未使用的
RemediationSteps 要修正安全性威脅所要採取的手動動作項目
ResourceId 受影響資源的完整識別碼
嚴重性 警示嚴重性 (高/中/低/資訊)
SourceComputerId 受影響伺服器的唯一 GUID (如果伺服器上產生警示)
SourceSystem 未使用的
StartTime 警示影響開始的時間 (上一個事件佔警示的時間)
SystemAlertId 此安全性警示執行個體的唯一識別碼
TenantId 已掃描資源所在的訂用帳戶的父代 Azure Active Directory 租用戶識別碼
TimeGenerated 執行評估的 UTC 時間戳記 (資訊安全中心的掃描時間) (與 DiscoveredTimeUTC 相同)
類型 常數 ('SecurityAlert')
VendorName 提供警示的廠商名稱 (例如'Microsoft')
VendorOriginalId 未使用的
WorkspaceResourceGroup 如果是在 VM、伺服器、虛擬機器擴展集,或向工作區回報的 App Service 執行個體上產生警示,則會包含該工作區資源群組名稱
WorkspaceSubscriptionId 如果是在 VM、伺服器、虛擬機器擴展集,或向工作區回報的 App Service 執行個體上產生警示,則會包含該工作區訂用帳戶名稱

後續步驟

持續匯出適用於雲端的 Defender 資料