アラートのスキーマ

Defender for Cloud には、セキュリティ上の脅威を特定し、理解し、対応するのに役立つアラートが用意されています。 Defender for Cloud が環境内の疑わしいアクティビティまたはセキュリティ関連の問題を検出すると、アラートが生成されます。 これらのアラートは、Defender for Cloud ポータルで表示することも、外部ツールにエクスポートして詳細な分析と対応を行うこともできます。

これらのセキュリティアラートは、Microsoft Defender for Cloud のページ- 概要ダッシュボード、 アラート、 リソース正常性ページ、 ワークロードの保護のダッシュボード 、および次のような外部ツールで表示できます。

• Microsoft Sentinel：Microsoft のクラウドネイティブ SIEM。 Sentinel コネクタは、Microsoft Defender for Cloud からアラートを取得し、Microsoft Sentinel の Log Analytics ワークスペース に送信します。
• サードパーティの SIEM - Azure Event Hubs にデータを送信します。 その後、Event Hubs のデータをサードパーティの SIEM に統合します。 詳細については、「SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする」を参照してください。
• REST API - REST API を使用してアラートにアクセスする場合は、Alerts API のオンライン ドキュメントを参照してください。

プログラムを使った方法でアラートを取り込む場合は、対象となるフィールドを検索するための適切なスキーマが必要です。 また、Event Hubs へのエクスポートを実行する場合や、汎用的な HTTP コネクタでワークフロー オートメーションをトリガーしようとしている場合は、JSON オブジェクトを適切に解析するためにスキーマを使用する必要があります。

重要

これらのシナリオごとにスキーマが異なるため、該当するタブを選択してください。

スキーマ

Microsoft Sentinel

Sentinel コネクタは、Microsoft Defender for Cloud からアラートを取得し、Microsoft Sentinel の Log Analytics ワークスペースに送信します。

クラウドアラートに Defender を使用して Microsoft Sentinel ケースまたはインシデントを作成するには、アラートのスキーマが必要です。

詳細は、Microsoft Sentinel のドキュメント を参照してください。

スキーマのデータ モデル

フィールド	説明
AlertName	アラートの表示名
AlertType	一意のアラート識別子
ConfidenceLevel	(省略可能) このアラートの信頼レベル (高/低)
ConfidenceScore	(省略可能) セキュリティ アラートの数値信頼度インジケーター
説明	アラートの説明テキスト
表示名	アラートの表示名
EndTime	アラートの影響の終了時間 (アラートの原因となった最後のイベントの時刻)
エンティティ	アラートに関連するエンティティのリスト。 このリストでは、さまざまな種類のエンティティの混合を保持できます
ExtendedLinks	(省略可能) アラートに関連するすべてのリンクのバッグ。 このバッグでは、さまざまな種類のリンクの混合を保持できます
ExtendedProperties	アラートに関連する追加フィールドのバッグ
IsIncident	アラートがインシデントか標準アラートかを決定します。 インシデントとは、複数のアラートが 1 つのセキュリティ インシデントに集約されているセキュリティ アラートです
ProcessingEndTime	アラートが作成された UTC タイムスタンプ
ProductComponentName	(省略可能) アラートを生成した製品内のコンポーネントの名前。
ProductName	定数 ("Azure Security Center")
ProviderName	未使用
RemediationSteps	セキュリティの脅威を修復するために実行する手動のアクション項目
ResourceId	影響を受けるリソースの完全な識別子
Severity	アラートの重要度 (高/中/低/情報提供)
SourceComputerId	影響を受けたサーバーの一意の GUID (アラートがサーバーで生成された場合)
SourceSystem	未使用
StartTime	アラートの影響の開始時間 (アラートの原因となった最初のイベントの時刻)
SystemAlertId	このセキュリティ アラート インスタンスの一意識別子
TenantId	スキャンされたリソースが存在するサブスクリプションの親 Azure Active Directory テナントの識別子
TimeGenerated	評価が実行された UTC タイムスタンプ (Security Center のスキャン時刻) (DiscoveredTimeUTC と同じ)
Type	定数 ("SecurityAlert")
VendorName	アラートを提供したベンダーの名前 (例: 'Microsoft')
VendorOriginalId	未使用
WorkspaceResourceGroup	VM、サーバー、仮想マシン スケール セット、またはワークスペースに報告する App Service インスタンスでアラートが生成された場合、そのワークスペース リソース グループの名前が含まれます
WorkspaceSubscriptionId	VM、サーバー、仮想マシン スケール セット、またはワークスペースに報告する App Service インスタンスでアラートが生成された場合、そのワークスペースのサブスクリプションが含まれます

Azure アクティビティ ログ

Microsoft Defender for Cloud は、生成されたセキュリティアラートを Azure アクティビティログのイベントとして監査します。

セキュリティ アラートのイベントは、アクティビティ ログで Activate Alert (アラートのアクティブ化) イベントを検索することによって確認できます。

Azure のアクティビティ ログに送信されるアラートのサンプル JSON

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

スキーマのデータ モデル

フィールド	説明
channels	定数 ("Operation")
correlationId	Microsoft Defender for Cloud のアラート ID
description	アラートの説明
eventDataId	correlationId を参照してください。
eventName	サブフィールドの value と localizedValue にアラートの表示名が格納されます。
category	サブフィールドの value と localizedValue は定数です ("Security")。
eventTimestamp	アラートが生成された時刻の UTC タイムスタンプ
id	完全修飾アラート ID
level	定数 ("Informational")
operationId	correlationId を参照してください。
operationName	value フィールドは定数 Microsoft.Security/locations/alerts/activate/action で、ローカライズされた値は Activate Alert です (ユーザー ロケールごとにローカライズすることが可能)
resourceGroupName	リソース グループ名を含む
resourceProviderName	サブフィールドの value と localizedValue は定数です ("Microsoft.Security")。
resourceType	サブフィールドの value と localizedValue は定数です ("Microsoft.Security/locations/alerts")。
resourceId	完全修飾 Azure リソース ID
status	サブフィールドの value と localizedValue は定数です ("Active")。
subStatus	サブフィールドの value と localizedValue は空です。
submissionTimestamp	イベントがアクティビティ ログに送信された時刻の UTC タイムスタンプ
subscriptionId	セキュリティ侵害を受けたリソースのサブスクリプション ID
properties	アラートに関するその他のプロパティの JSON バッグ。 プロパティはアラートごとに異なる場合がありますが、次のフィールドについては、すべてのアラートに共通です。 - severity: 攻撃の重大度 - compromisedEntity: セキュリティ侵害を受けたリソースの名前 - remediationSteps: 講じるべきさまざまな修復手順 - intent: アラートのキルチェーンの意図。 想定される意図については、「意図」の表に記載されています。
relatedEvents	定数 (空の配列)

ワークフローの自動化

ワークフローの自動化を使用する場合のアラート スキーマについては、コネクタのドキュメントを参照してください。

連続エクスポート

クラウドの連続エクスポート機能の Defender は、アラートデータを次のように渡します。

• Azure Event Hubs では、アラート API と同じスキーマを使用します。
• Log Analytics ワークスペース。その際、Azure Monitor データ ドキュメントの SecurityAlert スキーマに従います。

MS Graph API

Microsoft Graph は、Microsoft 365 のデータとインテリジェンスにアクセスするための入口です。 Microsoft 365、Windows 10、Enterprise Mobility + Security の大量のデータにアクセスする目的で使用できる統合型プログラミング モデルを備えています。 Microsoft Graph の豊富なデータを使用して、数百万人のユーザーと対話する、組織やコンシューマー向けのアプリを作成できます。

MS Graph に送信されるセキュリティ アラートのスキーマと JSON 表記は、Microsoft Graph のドキュメントでご覧いただけます。

関連記事

• Log Analytics ワークスペース - Azure Monitor のログ データは、Log Analytics ワークスペースという、データと構成情報を含んだコンテナーに格納されます。
• Microsoft Sentinel：Microsoft のクラウドネイティブ SIEM
• Azure Event Hubs - Microsoft のフル マネージドのリアルタイム データ インジェスト サービス

次のステップ

Defender for Cloud のデータを継続的にエクスポートする