Microsoft Sentinel 安全性警示架構參考
Microsoft Sentinel 分析規則會建立事件作為安全性警示的結果。 安全性警示可能來自不同的來源,並據以使用不同的分析規則來建立事件:
排程的分析規則會根據從外部來源擷取的記錄中定期查詢數據而產生警示,而這些相同的規則會從這些警示建立事件。 (針對本檔的目的,「已排程」規則警示包括 NRT 規則警示。)
Microsoft 安全性分析規則會從從其他 Microsoft 安全性產品擷取的警示建立事件,例如 Microsoft Defender 全面偵測回應 和 適用於雲端的 Microsoft Defender。
不論來源為何,這些警示都會一起儲存在Log Analytics工作區的 SecurityAlert 數據表中。 本文說明此數據表的架構。
因為警示來自許多來源,並非所有提供者都會使用所有欄位。 某些欄位可能保留空白。
架構定義
| 資料行名稱 | 類型 | 描述 |
|---|---|---|
| AlertLink | string | 原始產品入口網站中警示的連結。 |
| AlertName | string | 警示的顯示名稱。
|
| AlertSeverity | string | 警示的嚴重性。 [Informational / Low / Medium / High] |
| AlertType | string | 警示的類型。
|
| CompromisedEntity | string | 要警示之主要實體的顯示名稱。 |
| ConfidenceLevel | string | 此警示的信賴等級:提供者如何確定這不是誤判。 |
| ConfidenceScore | real | 如果適用的話,警示的信賴分數為0.0-1.0。 相較於 ConfidenceLevel 字段,這個屬性可讓您更精細地表示警示的信賴等級。 |
| 說明 | string | 警示的描述。 |
| DisplayName | string | 警示的顯示名稱。 與 AlertName 同義,但為了相容性而保留。 |
| EndTime | Datetime | 警示影響的結束時間。
|
| 實體 | string | 警示中識別的實體清單。 此清單可以包含不同類型的實體組合。 實體的類型可以是架構中定義的任一類型,如實體檔中所述。 |
| ExtendedLinks | string | 警示相關之所有連結的包(集合)。 此包可以包含不同類型的連結組合。 |
| ExtendedProperties | string | 警示的其他屬性集合,包括使用者定義的屬性。 警示中定義的任何自定義詳細數據,以及警示詳細數據中的任何動態內容,都儲存在這裡。 |
| IsIncident | boolean | 廢棄。 一律設定為 false。 |
| ProcessingEndTime | Datetime | 警示發佈的時間。
|
| ProductComponentName | string | 產生警示之產品元件的名稱。 |
| ProductName | string | 產生警示的產品名稱。 |
| ProviderName | string | 產生警示之警示提供者的名稱(產品內的服務)。 |
| RemediationSteps | string | 要補救警示的動作項目清單。 |
| ResourceId | string | 資源的唯一標識碼,該資源是警示的主旨。 |
| SourceComputerId | string | 廢棄。 這是建立警示之伺服器上的代理程式標識碼。 |
| SourceSystem | string | 廢棄。 一律填入字串 「Detection」。。 |
| StartTime | Datetime | 警示影響的開始時間。
|
| 狀態 | 字串 | 生命週期內警示的狀態。 [New / InProgress / Resolved / Dismissed / Unknown] |
| SystemAlertId | string | Microsoft Sentinel 中警示的內部唯一標識符。 |
| 策略 | string | 與警示相關聯的 MITRE ATT&CK 策略逗號分隔清單。 |
| 技術 | string | 與警示相關聯的 MITRE ATT&CK 技術逗號分隔清單。 |
| TenantId | string | 租使用者的唯一標識碼。 |
| TimeGenerated | Datetime | 產生警示的時間(UTC)。 |
| 型別 | string | 常數 ('SecurityAlert') |
| VendorName | string | 產生警示的產品廠商。 |
| VendorOriginalId | string | 由原始產品設定之特定警示實例的唯一標識碼。 |
| WorkspaceResourceGroup | string | 廢棄 |
| WorkspaceSubscriptionId | string | 廢棄 |
下一步
深入瞭解安全性警示和分析規則: