Riasztási sémák
Felhőhöz készült Defender olyan riasztásokat biztosít, amelyek segítenek a biztonsági fenyegetések azonosításában, megértésében és megválaszolásában. A riasztások akkor jönnek létre, ha Felhőhöz készült Defender gyanús tevékenységet vagy biztonsági problémát észlel a környezetben. Ezeket a riasztásokat a Felhőhöz készült Defender portálon tekintheti meg, vagy exportálhatja őket külső eszközökre további elemzés és válasz céljából.
Ezeket a biztonsági riasztásokat megtekintheti Felhőhöz készült Microsoft Defender lapjain – áttekintő irányítópulton, riasztásokon, erőforrás-állapotlapokon vagy számítási feladatok védelmének irányítópultján – és külső eszközökkel, például:
- Microsoft Sentinel – A Microsoft felhőalapú natív SIEM-je. A Sentinel Csatlakozás or riasztásokat kap Felhőhöz készült Microsoft Defender, és elküldi őket a Microsoft Sentinel Log Analytics-munkaterületére.
- Külső SIEM-ek – Adatok küldése az Azure Event Hubsba. Ezután integrálja az Event Hubs-adatokat egy külső SIEM-sel. További információ a Stream-riasztásokról egy SIEM-, SOAR- vagy IT Service Management-megoldáshoz.
- A REST API – Ha a REST API-t használja a riasztások eléréséhez, tekintse meg az online Riasztások API dokumentációját.
Ha bármilyen programozott módszert használ a riasztások felhasználására, a megfelelő sémára van szüksége az Ön számára releváns mezők megkereséséhez. Továbbá, ha egy Event Hubsba exportál, vagy általános HTTP-összekötőkkel próbál munkafolyamat-automatizálást aktiválni, a JSON-objektumok megfelelő elemzéséhez sémákat kell használni.
Fontos
Mivel a séma mindegyik forgatókönyv esetében eltérő, győződjön meg arról, hogy a megfelelő lapot választja.
A sémák
- Microsoft Sentinel
- Azure-tevékenységnapló
- Munkafolyamat-automatizálás
- Folyamatos exportálás
- MS Graph API
A Sentinel Csatlakozás or riasztásokat kap Felhőhöz készült Microsoft Defender, és elküldi őket a Microsoft Sentinel Log Analytics-munkaterületére.
Ha Microsoft Sentinel-esetet vagy incidenst szeretne létrehozni Felhőhöz készült Defender riasztások használatával, szüksége van a megjelenő riasztások sémára.
További információ a Microsoft Sentinel dokumentációjában.
A séma adatmodellje
Mező | Leírás |
---|---|
AlertName | Riasztás megjelenítendő neve |
AlertType | egyedi riasztásazonosító |
Megbízhatósági szint | (Nem kötelező) A riasztás megbízhatósági szintje (magas/alacsony) |
ConfidenceScore | (Nem kötelező) A biztonsági riasztás numerikus megbízhatósági mutatója |
Leírás | A riasztás leírásának szövege |
Megjelenítendő név | A riasztás megjelenítendő neve |
EndTime | A riasztás hatásának befejezési ideje (a riasztáshoz hozzájáruló utolsó esemény időpontja) |
Entitások | A riasztáshoz kapcsolódó entitások listája. Ez a lista különböző típusú entitások keverékét tartalmazhatja |
ExtendedLinks | (Nem kötelező) Egy táska a riasztáshoz kapcsolódó összes hivatkozáshoz. Ez a táska különböző típusú hivatkozások keverékét képes tárolni |
ExtendedProperties | A riasztás szempontjából releváns további mezőket tartalmazó zsák |
IsIncident | Meghatározza, hogy a riasztás incidens vagy rendszeres riasztás-e. Az incidens egy biztonsági riasztás, amely több riasztást összesít egy biztonsági incidensben |
ProcessingEndTime | UTC időbélyeg, amelyben a riasztás létrejött |
ProductComponentName | (Nem kötelező) A riasztást létrehozó terméken belüli összetevő neve. |
Productname | állandó ('Azure Security Center') |
ProviderName | Használatlan |
RemediationSteps | A biztonsági fenyegetés elhárításához szükséges manuális műveletelemek |
ResourceId | Az érintett erőforrás teljes azonosítója |
Súlyosság | A riasztás súlyossága (magas/közepes/alacsony/tájékoztató) |
SourceComputerId | az érintett kiszolgáló egyedi GUID azonosítója (ha a riasztás a kiszolgálón jön létre) |
SourceSystem | Használatlan |
StartTime | A riasztás kezdési időpontja (a riasztáshoz hozzájáruló első esemény időpontja) |
SystemAlertId | A biztonsági riasztási példány egyedi azonosítója |
TenantId | annak az előfizetésnek a szülő Azure Active Directory-bérlőjének azonosítója, amelyben a beolvasott erőforrás található |
TimeGenerated | UTC időbélyeg, amelyen az értékelés lezajlott (a Security Center vizsgálati ideje) (megegyezik az DiscoveredTimeUTC-sel) |
Típus | állandó ('SecurityAlert') |
Szállítónév | A riasztást küldő szállító neve (pl. "Microsoft") |
VendorOriginalId | Használatlan |
WorkspaceResourceGroup | ha a riasztás olyan virtuális gépen, kiszolgálón, virtuálisgép-méretezési csoporton vagy App Service-példányon jön létre, amely egy munkaterületnek jelent, a munkaterület erőforráscsoportjának nevét tartalmazza |
WorkspaceSubscriptionId | ha a riasztás egy munkaterületnek jelentést küldő virtuális gépen, kiszolgálón, virtuálisgép-méretezési csoporton vagy App Service-példányon jön létre, az tartalmazza a munkaterület subscriptionId azonosítóját |
Kapcsolódó cikkek
- Log Analytics-munkaterületek – Az Azure Monitor egy Log Analytics-munkaterületen tárolja a naplóadatokat, amely adatokat és konfigurációs információkat tartalmaz
- Microsoft Sentinel – A Microsoft felhőalapú natív SIEM-je
- Azure Event Hubs – A Microsoft teljes mértékben felügyelt, valós idejű adatbetöltési szolgáltatása