Microsoft Sentinel skjemareferanse for sikkerhetsvarsel

Microsoft Sentinel analyseregler oppretter hendelser som følge av sikkerhetsvarsler. Sikkerhetsvarsler kan komme fra ulike kilder, og bruke tilsvarende ulike typer analyseregler til å opprette hendelser:

  • Planlagte analyseregler genererer varsler som et resultat av deres vanlige spørringer med data i logger som er inntatt fra eksterne kilder, og de samme reglene oppretter hendelser fra disse varslene. (I forbindelse med dette dokumentet inneholder «planlagte» regelvarsler NRT-regelvarsler.)

  • Analyseregler for Microsoft Security oppretter hendelser fra varsler som er inntatt som de er fra andre Microsoft-sikkerhetsprodukter, for eksempel Microsoft Defender XDR og Microsoft Defender for Cloud.

Uavhengig av kilden lagres alle disse varslene sammen i SecurityAlert-tabellen i Log Analytics-arbeidsområdet. Denne artikkelen beskriver skjemaet for denne tabellen.

Fordi varsler kommer fra mange kilder, brukes ikke alle felt av alle leverandører. Noen felt kan være tomme.

Skjemadefinisjoner

Kolonnenavn Type: Beskrivelse
AlertLink Streng En kobling til varselet i portalen til det opprinnelige produktet.
AlertName Streng Visningsnavnet for varselet.
  • Planlagte regelvarsler: hentet fra regelnavnet.
  • Inntatte varsler: visningsnavnet for varselet i det opprinnelige produktet.
AlertSeverity Streng Alvorsgraden for varselet. [Informasjon / Lav / Middels / Høy]
AlertType Streng Varseltypen.
  • Planlagte regelvarsler: hentet fra regel-ID-en.
  • Inntatte varsler: Enkelte produkter grupperer varslene etter type. I noen tilfeller kan det være identisk med eller synonymt med produktnavnet.
CompromisedEntity Streng Visningsnavnet for hovedenheten som varsles.
Konfidensnivå Streng Konfidensnivået for dette varselet: hvor sikker leverandøren er at dette ikke er en falsk positiv.
ConfidenceScore Virkelige Konfidensresultatet for varselet, på skalaen 0,0-1,0, hvis det er aktuelt. Denne egenskapen gir en mer finkornet representasjon av konfidensnivået for varselet sammenlignet med ConfidenceLevel-feltet.
Beskrivelse Streng Beskrivelsen av varselet.
Displayname Streng Visningsnavnet for varselet. Synonymt med AlertName , men beholdt for kompatibilitet.
Endtime Datetime Sluttidspunktet for virkningen av varselet.
  • Planlagte regelvarsler: verdien for TimeGenerated-feltet for den siste hendelsen som ble registrert av spørringen.
  • Inntatte varsler: tidspunktet for den siste hendelsen eller aktiviteten som er inkludert i varselet.
Enheter Streng En liste over enhetene som er identifisert i varselet. Denne listen kan inneholde en kombinasjon av enheter av forskjellige typer. Enhetstypene kan være hvilke som helst av dem som er definert i skjemaet, som beskrevet i dokumentasjonen for enheter.
Utvidede koblinger Streng En pose (en samling) for alle koblinger relatert til varselet. Denne posen kan inneholde en kombinasjon av koblinger av forskjellige typer.
ExtendedProperties Streng En samling av andre egenskaper for varselet, inkludert brukerdefinerte egenskaper. Eventuelle egendefinerte detaljer som er definert i varselet, og dynamisk innhold i varseldetaljene, lagres her.
IsIncident Boolsk AVSKREVET. Alltid satt til usann.
ProcessingEndTime Datetime Tidspunktet for varselets publisering.
  • Planlagte regelvarsler: verdien i TimeGenerated-feltet .
  • Inntatte varsler: tidspunktet da det opprinnelige produktet fullfører produksjonen av varselet.
ProductComponentName Streng Navnet på komponenten for produktet som genererte varselet.
Productname Streng Navnet på produktet som genererte varselet.
ProviderName Streng Navnet på varselleverandøren (tjenesten i produktet) som genererte varselet.
Utbedringstrinn Streng En liste over gjøremål som skal utføres for å utbedre varselet.
ResourceId Streng En unik identifikator for ressursen som er gjenstand for varselet.
SourceComputerId Streng AVSKREVET. Var agent-ID-en på serveren som opprettet varselet.
SourceSystem Streng AVSKREVET. Alltid fylt ut med strengen «Gjenkjenning».
StartTime Datetime Starttidspunktet for virkningen av varselet.
  • Planlagte regelvarsler: verdien for TimeGenerated-feltet for den første hendelsen som ble registrert av spørringen.
  • Inntatte varsler: tidspunktet for den første hendelsen eller aktiviteten som er inkludert i varselet.
Status Streng Statusen for varselet i livssyklusen. [Ny / InProgress / Løst / Avvist / Ukjent]
SystemAlertId Streng Den interne unike IDen for varselet i Microsoft Sentinel.
Taktikk Streng En kommadelt liste over MITRE ATT&CK-taktikk knyttet til varselet.
Teknikker Streng En kommadelt liste over MITRE ATT-&CK-teknikker som er knyttet til varselet.
TenantId Streng Den unike ID-en til leieren.
TimeGenerated Datetime Tidspunktet da varselet ble generert (i UTC).
Type Streng Konstanten (SecurityAlert)
Leverandørnavn Streng Leverandøren av produktet som produserte varselet.
VendorOriginalId Streng Unik ID for den bestemte varslingsforekomsten, angitt av det opprinnelige produktet.
WorkspaceResourceGroup Streng AVSKREVET
WorkspaceSubscriptionId Streng AVSKREVET

Neste trinn

Mer informasjon om sikkerhetsvarsler og analyseregler:

  • Last updated on