Riasztási sémák

Felhőhöz készült Defender olyan riasztásokat biztosít, amelyek segítenek a biztonsági fenyegetések azonosításában, megértésében és megválaszolásában. A riasztások akkor jönnek létre, ha Felhőhöz készült Defender gyanús tevékenységet vagy biztonsági problémát észlel a környezetben. Ezeket a riasztásokat a Felhőhöz készült Defender portálon tekintheti meg, vagy exportálhatja őket külső eszközökre további elemzés és válasz céljából.

Ezeket a biztonsági riasztásokat megtekintheti Felhőhöz készült Microsoft Defender lapjain – áttekintő irányítópulton, riasztásokon, erőforrás-állapotlapokon vagy számítási feladatok védelmének irányítópultján – és külső eszközökkel, például:

• Microsoft Sentinel – A Microsoft felhőalapú natív SIEM-je. A Sentinel Csatlakozás or riasztásokat kap Felhőhöz készült Microsoft Defender, és elküldi őket a Microsoft Sentinel Log Analytics-munkaterületére.
• Külső SIEM-ek – Adatok küldése az Azure Event Hubsba. Ezután integrálja az Event Hubs-adatokat egy külső SIEM-sel. További információ a Stream-riasztásokról egy SIEM-, SOAR- vagy IT Service Management-megoldáshoz.
• A REST API – Ha a REST API-t használja a riasztások eléréséhez, tekintse meg az online Riasztások API dokumentációját.

Ha bármilyen programozott módszert használ a riasztások felhasználására, a megfelelő sémára van szüksége az Ön számára releváns mezők megkereséséhez. Továbbá, ha egy Event Hubsba exportál, vagy általános HTTP-összekötőkkel próbál munkafolyamat-automatizálást aktiválni, a JSON-objektumok megfelelő elemzéséhez sémákat kell használni.

Fontos

Mivel a séma mindegyik forgatókönyv esetében eltérő, győződjön meg arról, hogy a megfelelő lapot választja.

A sémák

Microsoft Sentinel

A Sentinel Csatlakozás or riasztásokat kap Felhőhöz készült Microsoft Defender, és elküldi őket a Microsoft Sentinel Log Analytics-munkaterületére.

Ha Microsoft Sentinel-esetet vagy incidenst szeretne létrehozni Felhőhöz készült Defender riasztások használatával, szüksége van a megjelenő riasztások sémára.

További információ a Microsoft Sentinel dokumentációjában.

A séma adatmodellje

Mező	Leírás
AlertName	Riasztás megjelenítendő neve
AlertType	egyedi riasztásazonosító
Megbízhatósági szint	(Nem kötelező) A riasztás megbízhatósági szintje (magas/alacsony)
ConfidenceScore	(Nem kötelező) A biztonsági riasztás numerikus megbízhatósági mutatója
Leírás	A riasztás leírásának szövege
Megjelenítendő név	A riasztás megjelenítendő neve
EndTime	A riasztás hatásának befejezési ideje (a riasztáshoz hozzájáruló utolsó esemény időpontja)
Entitások	A riasztáshoz kapcsolódó entitások listája. Ez a lista különböző típusú entitások keverékét tartalmazhatja
ExtendedLinks	(Nem kötelező) Egy táska a riasztáshoz kapcsolódó összes hivatkozáshoz. Ez a táska különböző típusú hivatkozások keverékét képes tárolni
ExtendedProperties	A riasztás szempontjából releváns további mezőket tartalmazó zsák
IsIncident	Meghatározza, hogy a riasztás incidens vagy rendszeres riasztás-e. Az incidens egy biztonsági riasztás, amely több riasztást összesít egy biztonsági incidensben
ProcessingEndTime	UTC időbélyeg, amelyben a riasztás létrejött
ProductComponentName	(Nem kötelező) A riasztást létrehozó terméken belüli összetevő neve.
Productname	állandó ('Azure Security Center')
ProviderName	Használatlan
RemediationSteps	A biztonsági fenyegetés elhárításához szükséges manuális műveletelemek
ResourceId	Az érintett erőforrás teljes azonosítója
Súlyosság	A riasztás súlyossága (magas/közepes/alacsony/tájékoztató)
SourceComputerId	az érintett kiszolgáló egyedi GUID azonosítója (ha a riasztás a kiszolgálón jön létre)
SourceSystem	Használatlan
StartTime	A riasztás kezdési időpontja (a riasztáshoz hozzájáruló első esemény időpontja)
SystemAlertId	A biztonsági riasztási példány egyedi azonosítója
TenantId	annak az előfizetésnek a szülő Azure Active Directory-bérlőjének azonosítója, amelyben a beolvasott erőforrás található
TimeGenerated	UTC időbélyeg, amelyen az értékelés lezajlott (a Security Center vizsgálati ideje) (megegyezik az DiscoveredTimeUTC-sel)
Típus	állandó ('SecurityAlert')
Szállítónév	A riasztást küldő szállító neve (pl. "Microsoft")
VendorOriginalId	Használatlan
WorkspaceResourceGroup	ha a riasztás olyan virtuális gépen, kiszolgálón, virtuálisgép-méretezési csoporton vagy App Service-példányon jön létre, amely egy munkaterületnek jelent, a munkaterület erőforráscsoportjának nevét tartalmazza
WorkspaceSubscriptionId	ha a riasztás egy munkaterületnek jelentést küldő virtuális gépen, kiszolgálón, virtuálisgép-méretezési csoporton vagy App Service-példányon jön létre, az tartalmazza a munkaterület subscriptionId azonosítóját

Azure-tevékenységnapló

Felhőhöz készült Microsoft Defender naplózza a biztonsági riasztásokat eseményekként az Azure-tevékenységnaplóban.

A biztonsági riasztások eseményeit a tevékenységnaplóban a riasztás aktiválása eseményre való kereséssel tekintheti meg az alábbi módon:

JSON-minta az Azure-tevékenységnaplóba küldött riasztásokhoz

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

A séma adatmodellje

Mező	Leírás
Csatornák	Állandó, "Művelet"
correlationId	A Felhőhöz készült Microsoft Defender riasztásazonosítója
leírás	A riasztás leírása
eventDataId	Lásd: korrelációs azonosító
eventName	Az érték és a localizedValue almezők tartalmazzák a riasztás megjelenítendő nevét
Kategória	Az érték és a localizedValue almezők állandók – "Biztonság"
eventTimestamp	UTC időbélyeg a riasztás létrehozásakor
id	A teljes riasztásazonosító
Szinten	Constant, "Informational"
operationId	Lásd: korrelációs azonosító
operationName	Az értékmező állandó – Microsoft.Security/locations/alerts/activate/actionés a honosított érték Activate Alert (lehetséges, hogy a felhasználói területi beállítás szerint honosítható)
resourceGroupName	Tartalmazza az erőforráscsoport nevét
resourceProviderName	Az érték és a localizedValue almezők állandóak – "Microsoft.Security"
resourceType	Az érték és a localizedValue almezők állandóak – "Microsoft.Security/locations/alerts"
resourceId	A teljes Azure-erőforrás-azonosító
status	Az érték és a localizedValue almezők állandók – "Aktív"
subStatus	Az érték és a localizedValue almezők üresek
submissionTimestamp	Az esemény tevékenységnaplóba való beküldésének UTC-időbélyege
subscriptionId	A feltört erőforrás előfizetés-azonosítója
Tulajdonságok	A riasztáshoz kapcsolódó egyéb tulajdonságokat tartalmazó JSON-táska. A tulajdonságok egyik riasztásról a másikra változhatnak, azonban az alábbi mezők minden riasztásban megjelennek: - súlyosság: A támadás súlyossága - compromisedEntity: A feltört erőforrás neve - remediationSteps: A végrehajtandó szervizelési lépések tömbje - szándék: A riasztás kill-chain szándéka. A lehetséges szándékok dokumentálva vannak a Szándékok táblában
relatedEvents	Állandó – üres tömb

Munkafolyamat-automatizálás

A munkafolyamat-automatizálás használatakor használt riasztási sémáról az összekötők dokumentációjában olvashat.

Folyamatos exportálás

Felhőhöz készült Defender folyamatos exportálási funkciója a riasztási adatokat a következőre továbbítja:

• Az Azure Event Hubs ugyanazt a sémát használja, mint a riasztási API.
• Log Analytics-munkaterületek az Azure Monitor-adatdokumentáció SecurityAlert sémájának megfelelően.

MS Graph API

A Microsoft Graph a Microsoft 365 adat- és intelligenciaátjárója. Egységes programozhatósági modellt biztosít, amellyel a Microsoft 365, a Windows 10 és az Enterprise Mobility + Security rengeteg adathoz férhet hozzá. A Microsoft Graph rengeteg adatát felhasználva több millió felhasználóval kommunikáló szervezetek és fogyasztók számára hozhat létre alkalmazásokat.

Az MS Graphnak küldött biztonsági riasztások sémája és JSON-reprezentációja a Microsoft Graph dokumentációjában érhető el.

Kapcsolódó cikkek

• Log Analytics-munkaterületek – Az Azure Monitor egy Log Analytics-munkaterületen tárolja a naplóadatokat, amely adatokat és konfigurációs információkat tartalmaz
• Microsoft Sentinel – A Microsoft felhőalapú natív SIEM-je
• Azure Event Hubs – A Microsoft teljes mértékben felügyelt, valós idejű adatbetöltési szolgáltatása

Következő lépés

Adatok folyamatos exportálása Felhőhöz készült Defender