Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Sentinel regras de análise criam incidentes como resultado de alertas de segurança. Os alertas de segurança podem ser provenientes de origens diferentes e, em conformidade, utilizam diferentes tipos de regras de análise para criar incidentes:
As regras de análise agendada geram alertas como resultado das consultas regulares de dados em registos ingeridos a partir de origens externas e essas mesmas regras criam incidentes a partir desses alertas. (Para efeitos deste documento, os alertas de regras "agendadas" incluem alertas de regras NRT.)
As regras de análise de Segurança da Microsoft criam incidentes a partir de alertas que são ingeridos tal como são de outros produtos de segurança da Microsoft, por exemplo, Microsoft Defender XDR e Microsoft Defender para a Cloud.
Independentemente da origem, estes alertas são todos armazenados em conjunto na tabela SecurityAlert na área de trabalho do Log Analytics. Este artigo descreve o esquema desta tabela.
Uma vez que os alertas provêm de muitas origens, nem todos os campos são utilizados por todos os fornecedores. Alguns campos podem ficar em branco.
Definições de esquema
| Nome da Coluna | Tipo | Descrição |
|---|---|---|
| AlertLink | cadeia | Uma ligação para o alerta no portal do produto de origem. |
| AlertName | cadeia | O nome a apresentar do alerta.
|
| AlertSeverity | cadeia | A gravidade do alerta. [Informativo/Baixo/Médio/Alto] |
| Tipo de Alerta | cadeia | O tipo de alerta.
|
| ComprometidoEntidade | cadeia | O nome a apresentar da entidade principal a ser alertada. |
| Nível de Confiança | cadeia | O nível de confiança deste alerta: a certeza de que o fornecedor não é um falso positivo. |
| ConfidenceScore | real | A classificação de confiança do alerta, numa escala de 0,0-1.0, se aplicável. Esta propriedade permite uma representação mais detalhada do nível de confiança do alerta em comparação com o campo ConfidenceLevel. |
| Descrição | cadeia | A descrição do alerta. |
| DisplayName | cadeia | O nome a apresentar do alerta. Sinónimo de AlertName , mas retido para compatibilidade. |
| EndTime | datetime | A hora de fim do impacto do alerta.
|
| Entidades | cadeia | Uma lista das entidades identificadas no alerta. Esta lista pode incluir uma combinação de entidades de diferentes tipos. Os tipos das entidades podem ser qualquer um dos definidos no esquema, conforme descrito na documentação das entidades. |
| ExtendedLinks | cadeia | Um saco (uma coleção) para todas as ligações relacionadas com o alerta. Este saco pode incluir uma combinação de ligações de diferentes tipos. |
| Propriedades Expandidas | cadeia | Uma coleção de outras propriedades do alerta, incluindo propriedades definidas pelo utilizador. Todos os detalhes personalizados definidos no alerta e qualquer conteúdo dinâmico nos detalhes do alerta são armazenados aqui. |
| IsIncident | booleano | PRETERIDO. Sempre definido como falso. |
| ProcessingEndTime | datetime | A hora da publicação do alerta.
|
| ProductComponentName | cadeia | O nome do componente do produto que gerou o alerta. |
| NomedoProduto | cadeia | O nome do produto que gerou o alerta. |
| ProviderName | cadeia | O nome do fornecedor de alertas (o serviço no produto) que gerou o alerta. |
| RemediaçãoPassos | cadeia | Uma lista de itens de ação a tomar para remediar o alerta. |
| ResourceId | cadeia | Um identificador exclusivo para o recurso que é o assunto do alerta. |
| SourceComputerId | cadeia | PRETERIDO. Foi o ID do agente no servidor que criou o alerta. |
| SourceSystem | cadeia | PRETERIDO. Sempre preenchido com a cadeia "Deteção". |
| StartTime | datetime | A hora de início do impacto do alerta.
|
| Estado | cadeia | O estado do alerta no ciclo de vida. [Novo/InProgress/ Resolvido/Dispensado/Desconhecido] |
| SystemAlertId | cadeia | O ID exclusivo interno do alerta no Microsoft Sentinel. |
| Táticas | cadeia | Uma lista delimitada por vírgulas de MITRE ATT&táticas CK associadas ao alerta. |
| Técnicas | cadeia | Uma lista delimitada por vírgulas de MITRE ATT&técnicas CK associadas ao alerta. |
| TenantId | cadeia | O ID exclusivo do inquilino. |
| TimeGenerated | datetime | A hora em que o alerta foi gerado (em UTC). |
| Tipo | cadeia | A constante ("SecurityAlert") |
| VendorName | cadeia | O fornecedor do produto que produziu o alerta. |
| VendorOriginalId | cadeia | ID exclusivo para a instância de alerta específica, definida pelo produto de origem. |
| WorkspaceResourceGroup | cadeia | PRETERIDO |
| WorkspaceSubscriptionId | cadeia | PRETERIDO |
Passos seguintes
Saiba mais sobre alertas de segurança e regras de análise: