Microsoft Sentinel分析ルールでは、セキュリティ アラートの結果としてインシデントが作成されます。 セキュリティ アラートはさまざまなソースから送信される場合があり、それに応じてさまざまな種類の分析ルールを使用してインシデントを作成できます。
スケジュールされた 分析ルールは、外部ソースから取り込まれたログ内のデータの定期的なクエリの結果としてアラートを生成し、同じルールによってそれらのアラートからインシデントが作成されます。 (このドキュメントでは、"スケジュールされた" ルール アラートに NRT ルール アラートが含まれています)。
Microsoft セキュリティ分析ルールは、他の Microsoft セキュリティ製品 (Microsoft Defender XDRやクラウドのMicrosoft Defenderなど) からそのまま取り込まれるアラートからインシデントを作成します。
ソースに関係なく、これらのアラートはすべて Log Analytics ワークスペースの SecurityAlert テーブルにまとめて格納されます。 この記事では、このテーブルのスキーマについて説明します。
アラートは多くのソースから送信されるため、すべてのフィールドがすべてのプロバイダーによって使用されるわけではありません。 一部のフィールドは空白のままになることがあります。
スキーマ定義
| 列名 | 型 | 説明 |
|---|---|---|
| AlertLink | string | 元の製品のポータルのアラートへのリンク。 |
| AlertName | string | アラートの表示名。
|
| AlertSeverity | string | アラートの重大度。 [情報/低/中/高] |
| AlertType | string | アラートの種類。
|
| CompromisedEntity | string | 警告対象のメイン エンティティの表示名。 |
| ConfidenceLevel | string | このアラートの信頼度: プロバイダーがこれが誤検知ではないことを確認する方法。 |
| ConfidenceScore | real | アラートの信頼度スコア (該当する場合は 0.0 から 1.0 のスケール)。 このプロパティを使用すると、ConfidenceLevel フィールドと比較して、アラートの信頼レベルをよりきめ細かく表現できます。 |
| 説明 | string | アラートの説明。 |
| DisplayName | string | アラートの表示名。 AlertName と同義ですが、互換性のために保持されます。 |
| EndTime | 日付型 | アラートの影響の終了時刻。
|
| Entities | string | アラートで識別されるエンティティの一覧。 この一覧には、さまざまな種類のエンティティの組み合わせを含めることができます。 エンティティの型は、エンティティ のドキュメントで説明されているように、スキーマで定義されている任意の型にすることができます。 |
| ExtendedLinks | string | アラートに関連するすべてのリンクのバッグ (コレクション)。 この袋は異なったタイプのリンクの組合せを含めることができる。 |
| ExtendedProperties | string | ユーザー定義プロパティなど、アラートの他のプロパティのコレクション。 アラートで定義されている カスタムの詳細 と、 アラートの詳細に含まれる動的コンテンツはここに格納されます。 |
| IsIncident | ブール値 | 廃止。 常に false に設定 します。 |
| ProcessingEndTime | 日付型 | アラートの公開時刻。
|
| ProductComponentName | string | アラートを生成した製品のコンポーネントの名前。 |
| ProductName | string | アラートを生成した製品の名前。 |
| ProviderName | string | アラートを生成したアラート プロバイダー (製品内のサービス) の名前。 |
| RemediationSteps | string | アラートを修復するために実行するアクション 項目の一覧。 |
| ResourceId | string | アラートの対象となるリソースの一意識別子。 |
| SourceComputerId | string | 廃止。 アラートを作成したサーバー上のエージェント ID でした。 |
| SourceSystem | string | 廃止。 常に "Detection" という文字列が入力されます。 |
| StartTime | 日付型 | アラートの影響の開始時刻。
|
| 状態 | string | ライフサイクル内のアラートの状態。 [New / InProgress / Resolved / Dismissed / Unknown] |
| SystemAlertId | string | Microsoft Sentinelのアラートの内部一意 ID。 |
| 戦術 | string | アラートに関連付けられた CK 戦術&MITRE ATT のコンマ区切りのリスト。 |
| 技術 | string | アラートに関連付けられている CK 手法&MITRE ATT のコンマ区切りのリスト。 |
| TenantId | string | テナントの一意の ID。 |
| TimeGenerated | 日付型 | アラートが生成された時刻 (UTC)。 |
| Type | string | 定数 ('SecurityAlert') |
| VendorName | string | アラートを生成した製品のベンダー。 |
| VendorOriginalId | string | 元の製品によって設定された、特定のアラート インスタンスの一意の ID。 |
| WorkspaceResourceGroup | string | 廃止 |
| WorkspaceSubscriptionId | string | 廃止 |
次の手順
セキュリティ アラートと分析ルールの詳細については、以下を参照してください。