Microsoft Sentinel suojaushälytyksen rakenneviittaus

Microsoft Sentinel analytiikkasäännöt luovat tietoturvahälytysten seurauksena tapauksia. Suojaushälytykset voivat olla peräisin eri lähteistä, ja ne voivat näin ollen käyttää erilaisia analytiikkasääntöjä tapausten luomiseen:

  • Ajoitetut analytiikkasäännöt luovat hälytyksiä ulkoisista lähteistä käytettyjen lokien säännöllisten tietokyselyiden tuloksena, ja nämä samat säännöt luovat tapauksia näistä hälytyksistä. (Tässä asiakirjassa "ajoitettuja" sääntöilmoituksia ovat NRT-sääntöilmoitukset.)

  • Microsoft Securityn analytiikkasäännöt luovat tapauksia ilmoituksista, joita käytetään sellaisina kuin ne ovat peräisin muista Microsoftin suojaustuotteista, esimerkiksi Microsoft Defender XDR ja Microsoft Defender Cloudille.

Lähteestä riippumatta kaikki nämä ilmoitukset tallennetaan yhdessä Log Analytics -työtilasi SecurityAlert-taulukkoon . Tässä artikkelissa kuvataan tämän taulukon rakenne.

Koska ilmoitukset ovat peräisin monesta lähteestä, kaikki palveluntarjoajat eivät käytä kaikkia kenttiä. Jotkin kentät saattavat olla tyhjiä.

Rakenteen määritykset

Sarakkeen nimi Kirjoita Kuvaus
Ilmoituksen linkki Merkkijono Linkki ilmoituksen alkuperätuotteen portaalissa.
Ilmoituksen nimi Merkkijono Ilmoituksen näyttönimi.
  • Ajoitetut sääntöilmoitukset: otettu säännön nimestä.
  • Sisäänotetut ilmoitukset: hälytyksen näyttönimi alkuperäisestä tuotteesta.
Hälytykset sen mukaan, mikä niistä on Merkkijono Hälytyksen vakavuus. [Tiedote / Pieni / Keskikokoinen / Korkea]
Ilmoituksen tyyppi Merkkijono Ilmoituksen tyyppi.
  • Ajoitetut sääntöilmoitukset: otettu sääntötunnuksesta.
  • Käyttöönotetut hälytykset: jotkin tuotteet ryhmittelevät ilmoituksensa tyypin mukaan. Joissakin tapauksissa se voi olla identtinen tuotteen nimen kanssa tai synonyymi sille.
Vaarantunut kohde Merkkijono Sen pääentiteetin näyttönimi, jossa ilmoitus tehdään.
Luotettavuustaso Merkkijono Tämän ilmoituksen luotettavuustaso: miten varma palveluntarjoaja on siitä, että tämä ei ole epätosi-positiivinen.
Luottamuspisteet Todellinen Hälytyksen luotettavuuspisteet asteikolla 0,0-1,0, jos käytettävissä. Tämä ominaisuus mahdollistaa tarkemman esityksen hälytyksen luotettavuustasosta ConfidenceLevel-kenttään verrattuna.
Kuvaus Merkkijono Hälytyksen kuvaus.
Displayname Merkkijono Ilmoituksen näyttönimi. Synonyymi AlertNamelle , mutta säilytetään yhteensopivuuden vuoksi.
Päättymisaika Datetime Hälytyksen vaikutuksen päättymisaika.
  • Ajoitetut sääntöilmoitukset:TimeGenerated-kentän arvo viimeiselle kyselyn sieppaamalle tapahtumalle .
  • Sisäänkäytyt ilmoitukset: hälytyksen viimeisen tapahtuman tai toiminnan aika.
Yhteisöt Merkkijono Luettelo ilmoituksesta tunnistetuista entiteeteistä. Tämä luettelo voi sisältää erityyppisten entiteettien yhdistelmän. Entiteettien tyypit voivat olla mitä tahansa rakenteen tyyppejä entiteettidokumentaatiossa kuvatulla tavalla.
Laajennetut linkit Merkkijono Laukku (kokoelma) kaikille ilmoitukseen liittyville linkeille. Tämä säilö voi sisältää erityyppisten linkkien yhdistelmän.
ExtendedProperties Merkkijono Kokoelma muita ilmoituksen ominaisuuksia, mukaan lukien käyttäjän määrittämät ominaisuudet. Kaikki hälytyksessä määritetyt mukautetut tiedot ja ilmoituksen tiedoissa oleva dynaaminen sisältö tallennetaan tähän.
IsIncident Boolean VANHENTUNUT. Määritä aina arvoksi epätosi.
ProcessingEndTime Datetime Hälytyksen julkaisemisen aika.
  • Ajoitetut sääntöilmoitukset:TimeGenerated-kentän arvo.
  • Käytetyt ilmoitukset: aika, jolloin alkuperäinen tuote on suorittanut ilmoituksen tuottamisen.
ProductComponentName Merkkijono Ilmoituksen luoneen tuotteen osan nimi.
Productname Merkkijono Hälytyksen luoneen tuotteen nimi.
Toimittajan nimi Merkkijono Hälytyksen luoneen hälytyspalvelun nimi (palvelun sisällä tuotteessa).
Korjausvaiheet Merkkijono Luettelo toiminnoista, jotka on tehtävä ilmoituksen korjaamiseksi.
Resurssitunnus Merkkijono Hälytyksen kohteena olevan resurssin yksilöllinen tunnus.
SourceComputerId Merkkijono VANHENTUNUT. Oliko hälytyksen luoneen palvelimen agenttitunnus.
SourceSystem Merkkijono VANHENTUNUT. Täytetään aina merkkijonolla "Detection".
Aloitusaika Datetime Hälytyksen vaikutuksen alkamisaika.
  • Ajoitetut sääntöilmoitukset:TimeGenerated-kentän arvo ensimmäiselle kyselyn sieppaamalle tapahtumalle .
  • Käyttöön otetut ilmoitukset: hälytyksen ensimmäisen tapahtuman tai toiminnan aika.
Tila Merkkijono Hälytyksen tila elinkaaren aikana. [Uusi / Saapuva edistyminen / Ratkaistu / Hylätty / Tuntematon]
SystemAlertId Merkkijono Ilmoituksen sisäinen yksilöivä tunnus Microsoft Sentinel.
Taktiikka Merkkijono Pilkuin viitoitettu luettelo MITRE ATT&hälytykseen liittyvistä CK-taktiikoista.
Tekniikoita Merkkijono Pilkuin viitoitettu luettelo MITRE ATT&hälytykseen liittyvistä CK-tekniikoista.
Vuokraajan tunnus Merkkijono Vuokraajan yksilöivä tunnus.
TimeGenerated Datetime Ilmoituksen luontiaika (UTC-aika).
Tyyppi Merkkijono Vakio ('SecurityAlert')
Toimittajan nimi Merkkijono Hälytyksen tuottaneen tuotteen toimittaja.
VendorOriginalId Merkkijono Yksilöivä tunnus tietylle ilmoituksen esiintymälle, jonka alkuperäinen tuote määrittää.
WorkspaceResourceGroup Merkkijono VANHENTUNUT
WorkspaceSubscriptionId Merkkijono VANHENTUNUT

Seuraavat vaiheet

Lue lisätietoja suojaushälytyksistä ja analytiikkasäännöistä:

  • Last updated on