Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Sentinel analyseregels maken incidenten als gevolg van beveiligingswaarschuwingen. Beveiligingswaarschuwingen kunnen afkomstig zijn van verschillende bronnen en dienovereenkomstig verschillende soorten analyseregels gebruiken om incidenten te maken:
Geplande analyseregels genereren waarschuwingen als gevolg van hun regelmatige query's van gegevens in logboeken die zijn opgenomen uit externe bronnen, en diezelfde regels maken incidenten van die waarschuwingen. (Voor de doeleinden van dit document omvatten 'geplande' regelwaarschuwingen NRT-regelwaarschuwingen.)
Microsoft Beveiligingsanalyseregels maken incidenten van waarschuwingen die als zodanig worden opgenomen van andere Microsoft-beveiligingsproducten, bijvoorbeeld Microsoft Defender XDR en Microsoft Defender voor cloud.
Ongeacht de bron worden deze waarschuwingen allemaal samen opgeslagen in de tabel SecurityAlert in uw Log Analytics-werkruimte. In dit artikel wordt het schema van deze tabel beschreven.
Omdat waarschuwingen afkomstig zijn van veel bronnen, worden niet alle velden door alle providers gebruikt. Sommige velden zijn mogelijk leeg.
Schemadefinities
| Kolomnaam | Type | Beschrijving |
|---|---|---|
| AlertLink | tekenreeks | Een koppeling naar de waarschuwing in de portal van het oorspronkelijke product. |
| AlertName | tekenreeks | De weergavenaam van de waarschuwing.
|
| WaarschuwingenSeverity | tekenreeks | De ernst van de waarschuwing. [Informatie- / Laag / Gemiddeld / Hoog] |
| AlertType | tekenreeks | Het type waarschuwing.
|
| CompromisedEntity | tekenreeks | De weergavenaam van de hoofdentiteit die wordt gewaarschuwd. |
| ConfidenceLevel | tekenreeks | Het betrouwbaarheidsniveau van deze waarschuwing: hoe zeker is de provider dat dit geen fout-positief is. |
| ConfidenceScore | real | De betrouwbaarheidsscore van de waarschuwing, op een schaal van 0,0-1,0, indien van toepassing. Met deze eigenschap kunt u het betrouwbaarheidsniveau van de waarschuwing nauwkeuriger weergeven in vergelijking met het veld ConfidenceLevel. |
| Beschrijving | tekenreeks | De beschrijving van de waarschuwing. |
| Displayname | tekenreeks | De weergavenaam van de waarschuwing. Synoniem met AlertName , maar behouden voor compatibiliteit. |
| Eindtijd | Datetime | De eindtijd van de impact van de waarschuwing.
|
| Entiteiten | tekenreeks | Een lijst met de entiteiten die in de waarschuwing zijn geïdentificeerd. Deze lijst kan een combinatie van entiteiten van verschillende typen bevatten. De typen entiteiten kunnen een van de typen zijn die zijn gedefinieerd in het schema, zoals beschreven in de documentatie over entiteiten. |
| ExtendedLinks | tekenreeks | Een tas (een verzameling) voor alle koppelingen met betrekking tot de waarschuwing. Deze tas kan een combinatie van koppelingen van verschillende typen bevatten. |
| ExtendedProperties | tekenreeks | Een verzameling andere eigenschappen van de waarschuwing, inclusief door de gebruiker gedefinieerde eigenschappen. Alle aangepaste details die in de waarschuwing zijn gedefinieerd, en eventuele dynamische inhoud in de waarschuwingsdetails, worden hier opgeslagen. |
| IsIncident | booleaans | AFGEKEURD. Altijd ingesteld op false. |
| ProcessingEndTime | Datetime | Het tijdstip waarop de waarschuwing wordt gepubliceerd.
|
| ProductComponentName | tekenreeks | De naam van het onderdeel van het product dat de waarschuwing heeft gegenereerd. |
| Productnaam | tekenreeks | De naam van het product dat de waarschuwing heeft gegenereerd. |
| ProviderName | tekenreeks | De naam van de waarschuwingsprovider (de service in het product) die de waarschuwing heeft gegenereerd. |
| Herstelstappen | tekenreeks | Een lijst met actie-items die moeten worden uitgevoerd om de waarschuwing te herstellen. |
| Resourceid | tekenreeks | Een unieke id voor de resource die het onderwerp van de waarschuwing is. |
| SourceComputerId | tekenreeks | AFGEKEURD. Was de agent-id op de server die de waarschuwing heeft gemaakt. |
| SourceSystem | tekenreeks | AFGEKEURD. Altijd ingevuld met de tekenreeks 'Detectie'. |
| Starttime | Datetime | De begintijd van de impact van de waarschuwing.
|
| Status | tekenreeks | De status van de waarschuwing binnen de levenscyclus. [Nieuw / InProgress / Opgelost / Verwijderd / Onbekend] |
| SystemAlertId | tekenreeks | De interne unieke id voor de waarschuwing in Microsoft Sentinel. |
| Tactiek | tekenreeks | Een door komma's omlijnde lijst met MITRE ATT&CK-tactieken die aan de waarschuwing zijn gekoppeld. |
| Technieken | tekenreeks | Een door komma's omlijnde lijst met MITRE ATT&CK-technieken die aan de waarschuwing zijn gekoppeld. |
| TenantId | tekenreeks | De unieke id van de tenant. |
| TimeGenerated | Datetime | Het tijdstip waarop de waarschuwing is gegenereerd (in UTC). |
| Type | tekenreeks | De constante ('SecurityAlert') |
| VendorName | tekenreeks | De leverancier van het product dat de waarschuwing heeft geproduceerd. |
| VendorOriginalId | tekenreeks | Unieke id voor het specifieke waarschuwingsexemplaren, ingesteld door het oorspronkelijke product. |
| WorkspaceResourceGroup | tekenreeks | AFGEKEURD |
| WorkspaceSubscriptionId | tekenreeks | AFGEKEURD |
Volgende stappen
Meer informatie over beveiligingswaarschuwingen en analyseregels: