Schemi di avvisi
Defender per il cloud fornisce avvisi che consentono di identificare, comprendere e rispondere alle minacce alla sicurezza. Gli avvisi vengono generati quando Defender per il cloud rileva attività sospette o un problema correlato alla sicurezza nell'ambiente. È possibile visualizzare questi avvisi nel portale di Defender per il cloud oppure esportarli in strumenti esterni per un'ulteriore analisi e risposta.
È possibile visualizzare questi avvisi di sicurezza nelle pagine di Microsoft Defender per il cloud: dashboard di panoramica, avvisi, pagine di integrità delle risorse o dashboard delle protezioni dei carichi di lavoro e tramite strumenti esterni, ad esempio:
- Microsoft Sentinel - SIEM nativo del cloud di Microsoft. Il connettore Sentinel riceve avvisi da Microsoft Defender per il cloud e li invia all'area di lavoro Log Analytics per Microsoft Sentinel.
- SIEM di terze parti: inviare dati a Hub eventi di Azure. Integrare quindi i dati di Hub eventi con una soluzione SIEM di terze parti. Per altre informazioni, vedere Trasmettere avvisi a una soluzione SIEM, SOAR o di gestione dei servizi IT.
- API REST: se si usa l'API REST per accedere agli avvisi, vedere la documentazione dell'API avvisi online.
Se si usano metodi programmatici per utilizzare gli avvisi, è necessario lo schema corretto per trovare i campi pertinenti. Inoltre, se si esegue l'esportazione in un hub eventi o si tenta di attivare l'automazione del flusso di lavoro con connettori HTTP generici, è consigliabile usare gli schemi per analizzare correttamente gli oggetti JSON.
Importante
Poiché lo schema è diverso per ognuno di questi scenari, assicurarsi di selezionare la scheda pertinente.
Schemi
- Microsoft Sentinel
- Log attività di Azure
- Automazione del flusso di lavoro
- Esportazione continua
- API Microsoft Graph
Il connettore Sentinel riceve avvisi da Microsoft Defender per il cloud e li invia all'area di lavoro Log Analytics per Microsoft Sentinel.
Per creare un caso o un evento imprevisto di Microsoft Sentinel usando gli avvisi di Defender per il cloud, è necessario lo schema per tali avvisi visualizzati.
Per altre informazioni, vedere la documentazione di Microsoft Sentinel.
Modello di dati dello schema
| Campo | Descrizione |
|---|---|
| AlertName | Nome visualizzato dell'avviso |
| AlertType | identificatore di avviso univoco |
| ConfidenceLevel | (Facoltativo) Livello di attendibilità di questo avviso (alto/basso) |
| ConfidenceScore | (Facoltativo) Indicatore di attendibilità numerica dell'avviso di sicurezza |
| Descrizione | Testo della descrizione per l'avviso |
| DisplayName | Nome visualizzato dell'avviso |
| EndTime | Ora di fine dell'avviso (ora dell'ultimo evento che contribuisce all'avviso) |
| Entità | Elenco di entità correlate all'avviso. Questo elenco può contenere una combinazione di entità di tipi diversi |
| ExtendedLinks | (Facoltativo) Contenitore per tutti i collegamenti correlati all'avviso. Questa borsa può contenere una miscela di collegamenti per diversi tipi |
| ExtendedProperties | Contenitore di campi aggiuntivi, rilevanti per l'avviso |
| IsIncident | Determina se l'avviso è un evento imprevisto o un normale avviso. Un evento imprevisto è un avviso di sicurezza che aggrega più avvisi in un evento imprevisto di sicurezza |
| ProcessingEndTime | Timestamp UTC in cui è stato creato l'avviso |
| ProductComponentName | (Facoltativo) Nome di un componente all'interno del prodotto, che ha generato l'avviso. |
| ProductName | costante ('Centro sicurezza di Azure') |
| ProviderName | inutilizzato |
| CorrezioneSteps | Elementi di azione manuali da intraprendere per correggere la minaccia per la sicurezza |
| ResourceId | Identificatore completo della risorsa interessata |
| Gravità | Gravità dell'avviso (alta/media/bassa/informativa) |
| SourceComputerId | GUID univoco per il server interessato (se l'avviso viene generato nel server) |
| SourceSystem | inutilizzato |
| StartTime | Ora di inizio dell'avviso (ora del primo evento che contribuisce all'avviso) |
| SystemAlertId | Identificatore univoco di questa istanza di avviso di sicurezza |
| TenantId | identificatore del tenant dell'ID Microsoft Entra padre della sottoscrizione in cui risiede la risorsa analizzata |
| TimeGenerated | Timestamp UTC in cui è stata eseguita la valutazione (ora di analisi del Centro sicurezza) (identica a DiscoveredTimeUTC) |
| Type | constant ('SecurityAlert') |
| VendorName | Nome del fornitore che ha fornito l'avviso ,ad esempio 'Microsoft'. |
| VendorOriginalId | inutilizzato |
| WorkspaceResourceGroup | nel caso in cui l'avviso venga generato in una macchina virtuale (VM), server, set di scalabilità di macchine virtuali o servizio app'istanza che segnala a un'area di lavoro, contiene il nome del gruppo di risorse dell'area di lavoro |
| WorkspaceSubscriptionId | nel caso in cui l'avviso venga generato in una macchina virtuale, in un server, in un set di scalabilità di macchine virtuali o in un'istanza di servizio app che segnala a un'area di lavoro, contiene tale id sottoscrizione dell'area di lavoro |
Articoli correlati
- Aree di lavoro Log Analytics - Monitoraggio di Azure archivia i dati di log in un'area di lavoro Log Analytics, un contenitore che include informazioni di configurazione e dati
- Microsoft Sentinel - SIEM nativo del cloud di Microsoft
- Hub eventi di Azure - Servizio di inserimento dati completamente gestito e in tempo reale di Microsoft