Schémas d’alertes

Defender pour le cloud fournit des alertes qui vous aident à identifier, à comprendre et à répondre aux menaces de sécurité. Les alertes sont générées lorsque Defender pour le cloud détecte une activité suspecte ou un problème lié à la sécurité dans votre environnement. Vous pouvez afficher ces alertes dans le portail Defender pour le cloud, ou les exporter vers des outils externes en vue d’une analyse et d’une réponse approfondies.

Vous pouvez voir ces alertes de sécurité dans les pages de Microsoft Defender pour le cloud, le tableau de bord de présentation, les alertes, les pages sur l’intégrité des ressources ou le tableau de bord des protections de charge de travail, ainsi que via des outils externes tels que les suivants :

• Azure Sentinel : SIEM natif Cloud de Microsoft. Le connecteur Sentinel reçoit des alertes de Microsoft Defender pour le cloud et les envoie à l’espace de travail Log Analytics pour Microsoft Sentinel.
• SIEM tiers : Envoyer des données à Azure Event Hubs. Ensuite, intégrez vos données Event Hubs à un SIEM tiers. En savoir plus dans Diffuser des alertes vers un système SIEM, SOAR ou une solution de gestion des services informatiques.
• API REST : si vous utilisez l’API REST pour accéder aux alertes, consultez la documentation en ligne sur l’API Alertes.

Si vous utilisez des méthodes programmatiques pour consommer les alertes, vous avez besoin du schéma approprié pour rechercher les champs pertinents pour vous. En outre, si vous exportez vers un Event Hubs ou essayez de déclencher Workflow Automation avec des connecteurs HTTP génériques, vous devez utiliser des schémas pour analyser correctement les objets JSON.

Important

Le schéma étant légèrement différent pour chacun de ces scénarios, veillez à sélectionner l’onglet approprié.

Les schémas

Microsoft Sentinel

Le connecteur Sentinel reçoit les alertes de Microsoft Defender pour le cloud et les envoie à l’espace de travail Log Analytics pour Microsoft Sentinel.

Pour créer un cas ou un incident Microsoft Sentinel à l’aide d’alertes Defender pour cloud, vous avez besoin du schéma pour ces alertes affichées.

Plus d’informations dans la Documentation sur Microsoft Sentinel.

Modèle de données du schéma

Champ	Description
AlertName	Nom d’affichage de l’alerte
AlertType	Identificateur d’alerte unique
ConfidenceLevel	(Facultatif) Niveau de confiance de cette alerte (haut/bas)
ConfidenceScore	(Facultatif) Indicateur de confiance numérique de l’alerte de sécurité
Description	Texte de description pour l’alerte
DisplayName	Nom d’affichage de l’alerte
EndTime	Heure de fin de l’impact de l’alerte (heure du dernier événement contribuant à l’alerte)
Entités	Liste des entités liées à l’alerte. Cette liste peut contenir un mélange d’entités de types divers.
ExtendedLinks	(Facultatif) Conteneur pour tous les liens liés à l’alerte. Ce conteneur peut contenir un mélange de liens pour des types divers
ExtendedProperties	Conteneur de champs supplémentaires qui sont pertinents pour l’alerte
IsIncident	Détermine si l’alerte est un incident ou une alerte régulière. Un incident est une alerte de sécurité qui regroupe plusieurs alertes dans un incident de sécurité.
ProcessingEndTime	Timestamp UTC dans lequel l’alerte a été créée
ProductComponentName	(Facultatif) Nom d’un composant à l’intérieur du produit qui a généré l’alerte
ProductName	constant ('Azure Security Center')
ProviderName	unused
RemediationSteps	Éléments d’action manuelle à mettre à jour pour corriger la menace de sécurité
ResourceId	Identificateur complet de la ressource affectée
Niveau de gravité	Gravité de l’alerte (haute/moyenne/faible/informative)
SourceComputerId	GUID unique pour le serveur concerné (si l’alerte est générée sur le serveur)
SourceSystem	unused
StartTime	Heure de début de l’impact de l’alerte (heure du premier événement contribuant à l’alerte)
SystemAlertId	Identificateur unique de cette instance d’alerte de sécurité
TenantId	Identificateur du locataire Azure Active Directory parent de l’abonnement sous lequel la ressource analysée réside
TimeGenerated	Timestamp UTC à laquelle l’évaluation a eu lieu (heure d’analyse de Security Center) (identique à DiscoveredTimeUTC)
Type	constant ('SecurityAlert')
VendorName	Nom du fournisseur qui a émis l’alerte (par exemple, « Microsoft »)
VendorOriginalId	unused
WorkspaceResourceGroup	Contient le nom de ce groupe de ressources d’espace de travail si l’alerte est générée sur une machine virtuelle, un serveur, un groupe de machines virtuelles identiques ou une instance App Service qui rend compte à un espace de travail.
WorkspaceSubscriptionId	Contient cet espace de travail subscriptionId si l’alerte est générée sur une machine virtuelle, un serveur, un groupe de machines virtuelles identiques ou une instance App Service qui rend compte à un espace de travail.

Journal d'activité Azure

Microsoft Defender pour le cloud audite les alertes de sécurité générées en tant qu’événements dans le journal d’activité Azure.

Vous pouvez afficher les événements d’alertes de sécurité dans le journal d’activité en recherchant l’événement Activer l’alerte, comme indiqué ci-dessous :

Exemple d’objet JSON pour les alertes envoyées au journal d’activité Azure

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Modèle de données du schéma

Champ	Description
canaux	Constante, « Operation »
correlationId	ID d’alerte Microsoft Defender pour le cloud
description	Description de l’alerte
eventDataId	Voir correlationId
eventName	Les sous-champs value et localizedValue contiennent le nom complet de l’alerte
category	Les sous-champs value et localizedValue sont constants - « Security »
eventTimestamp	Horodateur UTC de l’heure à laquelle l'alerte a été générée
id	ID complet de l’alerte
level	Constante, « Informational »
operationId	Voir correlationId
operationName	Le champ valeur est constant - Microsoft.Security/locations/alerts/activate/action, et la valeur localisée est Activate Alert (peut potentiellement être localisée par les paramètres régionaux de l’utilisateur)
resourceGroupName	Inclut le nom du groupe de ressources
resourceProviderName	Les sous-champs value et localizedValue sont constants - « Microsoft.Security »
resourceType	Les sous-champs value et localizedValue sont constants - « Microsoft.Security/locations/alerts »
resourceId	L’ID complet de la ressource Azure
statut	Les sous-champs value et localizedValue sont constants - « Active »
subStatus	Les sous-champs value et localizedValue sont vides
submissionTimestamp	Horodateur UTC de l’envoi d’un événement au Journal d’activité
subscriptionId	ID d’abonnement de la ressource compromise
properties	Un conteneur JSON d’autres propriétés relatives à l’alerte. Toutefois, les propriétés peuvent passer d’une alerte à l’autre, les champs suivants s’affichent dans toutes les alertes : - severity : Gravité de l’attaque - compromisedEntity : Nom de la ressource compromise - remediationSteps : Tableau des étapes de correction à effectuer - intent : Intention de la chaîne de destruction de l’alerte. Les intentions possibles sont documentées dans le tableau des intentions
relatedEvents	Constante - tableau vide

Automatisation de workflow

Pour le schéma des alertes lors de l’utilisation de l’automatisation de workflow, consultez la documentation relative aux connecteurs.

Exportation continue

La fonctionnalité d’exportation continue de Defender pour le cloud transmet les données d’alerte :

• Azure Event Hubs utilisant le même schéma que l’API d’alertes.
• Espaces de travail Log Analytics en fonction du schéma SecurityAlert dans la documentation des données Azure Monitor.

API MS Graph

Microsoft Graph est la passerelle vers les données et les informations dans Microsoft 365. Il fournit un modèle de programmabilité unifié que vous pouvez utiliser pour accéder à la gigantesque quantité de données disponibles dans Microsoft 365, Windows 10 et Enterprise Mobility + Security. Utilisez la richesse des données de Microsoft Graph afin de créer des applications pour les organisations et les consommateurs qui interagissent avec des millions d’utilisateurs.

Le schéma et une représentation JSON pour les alertes de sécurité envoyées à MS Graph sont disponibles dans la documentation de Microsoft Graph.

Articles connexes

• Espaces de travail Log Analytics - Azure Monitor stocke les données de journal dans un espace de travail Log Analytics, c’est-à-dire un conteneur de données et d’informations de configuration
• Microsoft Sentinel : SIEM natif Cloud de Microsoft
• Azure Event Hubs : service Microsoft d’ingestion de données en temps réel complètement managé

Étape suivante

Exportation continue des données Defender pour le cloud