Informations de référence sur le schéma d’alerte de sécurité Microsoft Sentinel

Microsoft Sentinel règles d’analyse créent des incidents à la suite d’alertes de sécurité. Les alertes de sécurité peuvent provenir de différentes sources et, en conséquence, utiliser différents types de règles d’analyse pour créer des incidents :

  • Les règles d’analytique planifiée génèrent des alertes à la suite de leurs requêtes régulières de données dans les journaux ingérés à partir de sources externes, et ces mêmes règles créent des incidents à partir de ces alertes. (Pour les besoins de ce document, les alertes de règle « planifiées » incluent les alertes de règle NRT.)

  • Les règles d’analyse de sécurité Microsoft créent des incidents à partir d’alertes ingérées telles quelles à partir d’autres produits de sécurité Microsoft, par exemple, Microsoft Defender XDR et Microsoft Defender pour le cloud.

Quelle que soit la source, ces alertes sont toutes stockées dans la table SecurityAlert de votre espace de travail Log Analytics. Cet article décrit le schéma de cette table.

Étant donné que les alertes proviennent de nombreuses sources, tous les champs ne sont pas utilisés par tous les fournisseurs. Certains champs peuvent être laissés vides.

Définitions de schéma

Nom de colonne Type Description
AlertLink string Lien vers l’alerte dans le portail du produit d’origine.
AlertName string Nom complet de l’alerte.
  • Alertes de règle planifiées : extraites du nom de la règle.
  • Alertes ingérées : nom complet de l’alerte dans le produit d’origine.
AlertSeverity string Gravité de l’alerte. [Informational / Low / Medium / High]
AlertType string Type d’alerte.
  • Alertes de règle planifiées : extraites de l’ID de règle.
  • Alertes ingérées : certains produits regroupent leurs alertes par type. Dans certains cas, peut être identique ou synonyme du nom du produit.
CompromisedEntity string Nom complet de l’entité principale sur laquelle l’alerte est déclenchée.
ConfidenceLevel string Niveau de confiance de cette alerte : certitude du fournisseur qu’il ne s’agit pas d’un faux positif.
ConfidenceScore réel Score de confiance de l’alerte, sur une échelle de 0,0 à 1,0, le cas échéant. Cette propriété permet une représentation plus fine du niveau de confiance de l’alerte par rapport au champ ConfidenceLevel.
Description string Description de l’alerte.
DisplayName string Nom complet de l’alerte. Synonyme de AlertName , mais conservé pour la compatibilité.
EndTime DateHeure Heure de fin de l’impact de l’alerte.
  • Alertes de règle planifiée : valeur du champ TimeGenerated pour le dernier événement capturé par la requête.
  • Alertes ingérées : heure du dernier événement ou activité inclus dans l’alerte.
Entities string Liste des entités identifiées dans l’alerte. Cette liste peut inclure une combinaison d’entités de différents types. Les types des entités peuvent être ceux définis dans le schéma, comme décrit dans la documentation des entités.
ExtendedLinks string Un sac (collection) pour tous les liens liés à l’alerte. Ce sac peut inclure une combinaison de liens de différents types.
ExtendedProperties string Collection d’autres propriétés de l’alerte, y compris les propriétés définies par l’utilisateur. Tous les détails personnalisés définis dans l’alerte et tout contenu dynamique dans les détails de l’alerte sont stockés ici.
IsIncident valeur booléenne DÉCONSEILLÉE. Toujours défini sur false.
ProcessingEndTime DateHeure Heure de publication de l’alerte.
  • Alertes de règle planifiée : valeur du champ TimeGenerated .
  • Alertes ingérées : heure à laquelle le produit d’origine termine la production de l’alerte.
ProductComponentName string Nom du composant du produit qui a généré l’alerte.
ProductName string Nom du produit qui a généré l’alerte.
ProviderName string Nom du fournisseur d’alertes (le service au sein du produit) qui a généré l’alerte.
RemediationSteps string Liste des actions à entreprendre pour corriger l’alerte.
ResourceId string Identificateur unique de la ressource qui fait l’objet de l’alerte.
SourceComputerId string DÉCONSEILLÉE. ID d’agent sur le serveur qui a créé l’alerte.
SourceSystem string DÉCONSEILLÉE. Toujours rempli avec la chaîne « Detection ».
StartTime DateHeure Heure de début de l’impact de l’alerte.
  • Alertes de règle planifiée : valeur du champ TimeGenerated pour le premier événement capturé par la requête.
  • Alertes ingérées : heure du premier événement ou activité inclus dans l’alerte.
État string Status de l’alerte dans le cycle de vie. [Nouveau / InProgress / Résolu / Ignoré / Inconnu]
SystemAlertId string ID unique interne de l’alerte dans Microsoft Sentinel.
Tactiques string Liste délimitée par des virgules des tactiques MITRE ATT&CK associées à l’alerte.
Techniques string Liste délimitée par des virgules des techniques MITRE ATT&CK associées à l’alerte.
TenantId string ID unique du locataire.
TimeGenerated DateHeure Heure à laquelle l’alerte a été générée (au format UTC).
Type string Constante (« SecurityAlert »)
VendorName string Fournisseur du produit qui a produit l’alerte.
VendorOriginalId string ID unique pour le instance d’alerte spécifique, défini par le produit d’origine.
WorkspaceResourceGroup string DÉCONSEILLÉE
WorkspaceSubscriptionId string DÉCONSEILLÉE

Étapes suivantes

En savoir plus sur les alertes de sécurité et les règles d’analyse :

  • Last updated on