Aviseringsscheman
Defender för molnet tillhandahåller aviseringar som hjälper dig att identifiera, förstå och svara på säkerhetshot. Aviseringar genereras när Defender för molnet identifierar misstänkt aktivitet eller ett säkerhetsrelaterat problem i din miljö. Du kan visa dessa aviseringar i Defender för molnet-portalen, eller så kan du exportera dem till externa verktyg för ytterligare analys och svar.
Du kan visa dessa säkerhetsaviseringar på Microsoft Defender för molnet sidor – översiktsinstrumentpanel, aviseringar, resurshälsosidor eller instrumentpanel för arbetsbelastningsskydd – och via externa verktyg som:
- Microsoft Sentinel – Microsofts molnbaserade SIEM. Sentinel Connector hämtar aviseringar från Microsoft Defender för molnet och skickar dem till Log Analytics-arbetsytan för Microsoft Sentinel.
- SIEM från tredje part – Skicka data till Azure Event Hubs. Integrera sedan dina Event Hubs-data med en SIEM från tredje part. Läs mer i Stream-aviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning.
- REST-API:et – Om du använder REST-API:et för att komma åt aviseringar kan du läsa dokumentationen om API:et för onlineaviseringar.
Om du använder programmatiska metoder för att använda aviseringarna behöver du rätt schema för att hitta de fält som är relevanta för dig. Om du exporterar till en händelsehubb eller försöker utlösa Arbetsflödesautomation med allmänna HTTP-anslutningsappar bör scheman också användas för att parsa JSON-objekten korrekt.
Viktigt!
Eftersom schemat är olika för var och en av dessa scenarier bör du välja relevant flik.
Scheman
Sentinel Connector hämtar aviseringar från Microsoft Defender för molnet och skickar dem till Log Analytics-arbetsytan för Microsoft Sentinel.
Om du vill skapa ett Microsoft Sentinel-ärende eller en incident med hjälp av Defender för molnet aviseringar behöver du schemat för de aviseringar som visas.
Läs mer i Microsoft Sentinel-dokumentationen.
Schemats datamodell
Fält | beskrivning |
---|---|
AlertName | Visningsnamn för avisering |
AlertType | unik aviseringsidentifierare |
ConfidenceLevel | (Valfritt) Konfidensnivån för den här aviseringen (hög/låg) |
ConfidenceScore | (Valfritt) Numerisk konfidensindikator för säkerhetsaviseringen |
Beskrivning | Beskrivningstext för aviseringen |
DisplayName | Aviseringens visningsnamn |
EndTime | Effektens sluttid för aviseringen (tidpunkten för den senaste händelsen som bidrog till aviseringen) |
Entiteter | En lista över entiteter som är relaterade till aviseringen. Den här listan kan innehålla en blandning av entiteter av olika typer |
ExtendedLinks | (Valfritt) En påse för alla länkar som är relaterade till aviseringen. Den här påsen kan innehålla en blandning av länkar för olika typer |
ExtendedProperties | En påse extra fält som är relevanta för aviseringen |
IsIncident | Avgör om aviseringen är en incident eller en vanlig avisering. En incident är en säkerhetsvarning som aggregerar flera aviseringar till en säkerhetsincident |
ProcessingEndTime | UTC-tidsstämpel där aviseringen skapades |
ProductComponentName | (Valfritt) Namnet på en komponent i produkten, som genererade aviseringen. |
ProductName | konstant ("Azure Security Center") |
ProviderName | oanvänd |
RemediationSteps | Manuella åtgärder som ska vidtas för att åtgärda säkerhetshotet |
ResourceId | Fullständig identifierare för den berörda resursen |
Allvarlighetsgrad | Allvarlighetsgraden för aviseringen (hög/medel/låg/informationsbaserad) |
SourceComputerId | ett unikt GUID för den berörda servern (om aviseringen genereras på servern) |
SourceSystem | oanvänd |
StartTime | Starttiden för aviseringen (tidpunkten för den första händelsen som bidrar till aviseringen) |
SystemAlertId | Unik identifierare för den här säkerhetsaviseringsinstansen |
TenantId | identifieraren för den överordnade Microsoft Entra ID-klientorganisationen för prenumerationen under vilken den skannade resursen finns |
TimeGenerated | UTC-tidsstämpel som utvärderingen ägde rum på (Security Centers genomsökningstid) (identisk med DiscoveredTimeUTC) |
Typ | konstant ('SecurityAlert') |
VendorName | Namnet på leverantören som tillhandahöll aviseringen (till exempel "Microsoft") |
VendorOriginalId | oanvänd |
ArbetsytaResourceGroup | om aviseringen genereras på en virtuell dator (VM), server, vm-skalningsuppsättning eller App Service-instans som rapporterar till en arbetsyta, innehåller arbetsytans resursgruppsnamn |
WorkspaceSubscriptionId | om aviseringen genereras på en virtuell dator, server, vm-skalningsuppsättning eller App Service-instans som rapporterar till en arbetsyta, innehåller den arbetsytans subscriptionId |
Relaterade artiklar
- Log Analytics-arbetsytor – Azure Monitor lagrar loggdata på en Log Analytics-arbetsyta, en container som innehåller data och konfigurationsinformation
- Microsoft Sentinel – Microsofts molnbaserade SIEM
- Azure Event Hubs – Microsofts fullständigt hanterade datainmatningstjänst i realtid