アラートのスキーマ
Defender for Cloud には、セキュリティ上の脅威を特定し、理解し、対応するのに役立つアラートが用意されています。 Defender for Cloud が環境内の疑わしいアクティビティまたはセキュリティ関連の問題を検出すると、アラートが生成されます。 これらのアラートは、Defender for Cloud ポータルで表示することも、外部ツールにエクスポートして詳細な分析と対応を行うこともできます。
これらのセキュリティアラートは、Microsoft Defender for Cloud のページ- 概要ダッシュボード、 アラート、 リソース正常性ページ、 ワークロードの保護のダッシュボード 、および次のような外部ツールで表示できます。
- Microsoft Sentinel:Microsoft のクラウドネイティブ SIEM。 Sentinel コネクタは、Microsoft Defender for Cloud からアラートを取得し、Microsoft Sentinel の Log Analytics ワークスペース に送信します。
- サードパーティの SIEM - Azure Event Hubs にデータを送信します。 その後、Event Hubs のデータをサードパーティの SIEM に統合します。 詳細については、「SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする」を参照してください。
- REST API - REST API を使用してアラートにアクセスする場合は、Alerts API のオンライン ドキュメントを参照してください。
プログラムを使った方法でアラートを取り込む場合は、対象となるフィールドを検索するための適切なスキーマが必要です。 また、Event Hubs へのエクスポートを実行する場合や、汎用的な HTTP コネクタでワークフロー オートメーションをトリガーしようとしている場合は、JSON オブジェクトを適切に解析するためにスキーマを使用する必要があります。
重要
これらのシナリオごとにスキーマが異なるため、該当するタブを選択してください。
スキーマ
Sentinel コネクタは、Microsoft Defender for Cloud からアラートを取得し、Microsoft Sentinel の Log Analytics ワークスペースに送信します。
クラウドアラートに Defender を使用して Microsoft Sentinel ケースまたはインシデントを作成するには、アラートのスキーマが必要です。
詳細は、Microsoft Sentinel のドキュメント を参照してください。
スキーマのデータ モデル
| フィールド | 説明 |
|---|---|
| AlertName | アラートの表示名 |
| AlertType | 一意のアラート識別子 |
| ConfidenceLevel | (省略可能) このアラートの信頼レベル (高/低) |
| ConfidenceScore | (省略可能) セキュリティ アラートの数値信頼度インジケーター |
| 説明 | アラートの説明テキスト |
| 表示名 | アラートの表示名 |
| EndTime | アラートの効果の終了時刻 (アラートの原因となった最後のイベントの時刻) |
| エンティティ | アラートに関連するエンティティのリスト。 このリストでは、さまざまな種類のエンティティの混合を保持できます |
| ExtendedLinks | (省略可能) アラートに関連するすべてのリンクのバッグ。 このバッグでは、さまざまな種類のリンクの混合を保持できます |
| ExtendedProperties | アラートに関連する追加フィールドのバッグ |
| IsIncident | アラートがインシデントか標準アラートかを決定します。 インシデントとは、複数のアラートが 1 つのセキュリティ インシデントに集約されているセキュリティ アラートです |
| ProcessingEndTime | アラートが作成された UTC タイムスタンプ |
| ProductComponentName | (省略可能) 製品内のアラートを生成したコンポーネントの名前。 |
| ProductName | 定数 ("Azure Security Center") |
| ProviderName | 未使用 |
| RemediationSteps | セキュリティの脅威を修復するために実行する手動のアクション項目 |
| ResourceId | 影響を受けるリソースの完全な識別子 |
| Severity | アラートの重要度 (高/中/低/情報提供) |
| SourceComputerId | 影響を受けたサーバーの一意の GUID (アラートがサーバーで生成された場合) |
| SourceSystem | 未使用 |
| StartTime | アラートの効果の開始時刻 (アラートの原因となった最初のイベントの時刻) |
| SystemAlertId | このセキュリティ アラート インスタンスの一意識別子 |
| TenantId | スキャンされたリソースが存在するサブスクリプションの親 Microsoft Entra ID テナントの識別子 |
| TimeGenerated | 評価が実行された UTC タイムスタンプ (Security Center のスキャン時刻) (DiscoveredTimeUTC と同じ) |
| Type | 定数 ("SecurityAlert") |
| VendorName | アラートを提供したベンダーの名前 (例: 'Microsoft') |
| VendorOriginalId | 未使用 |
| WorkspaceResourceGroup | 仮想マシン (VM)、サーバー、仮想マシン スケール セット、またはワークスペースに報告する App Service インスタンスでアラートが生成された場合、そのワークスペースのリソース グループ名が含まれます |
| WorkspaceSubscriptionId | VM、サーバー、仮想マシン スケール セット、またはワークスペースに報告する App Service インスタンスでアラートが生成された場合、そのワークスペースの subscriptionId が含まれます |
関連記事
- Log Analytics ワークスペース - Azure Monitor のログ データは、Log Analytics ワークスペースという、データと構成情報を含んだコンテナーに格納されます。
- Microsoft Sentinel:Microsoft のクラウドネイティブ SIEM
- Azure Event Hubs - Microsoft のフル マネージドのリアルタイム データ インジェスト サービス