Schema's voor waarschuwingen

Defender voor Cloud biedt waarschuwingen waarmee u beveiligingsrisico's kunt identificeren, begrijpen en erop kunt reageren. Waarschuwingen worden gegenereerd wanneer Defender voor Cloud verdachte activiteiten of een beveiligingsprobleem in uw omgeving detecteert. U kunt deze waarschuwingen bekijken in de Defender voor Cloud-portal of u kunt ze exporteren naar externe hulpprogramma's voor verdere analyse en reactie.

U kunt deze beveiligingswaarschuwingen bekijken op de pagina's van Microsoft Defender voor Cloud - overzichtsdashboard, waarschuwingen, resourcestatuspagina's of workloadbeveiligingsdashboards, en via externe hulpprogramma's zoals:

• Microsoft Sentinel - cloudeigen SIEM van Microsoft. De Sentinel-Verbinding maken or ontvangt waarschuwingen van Microsoft Defender voor Cloud en verzendt deze naar de Log Analytics-werkruimte voor Microsoft Sentinel.
• Externe SIEM's: gegevens verzenden naar Azure Event Hubs. Integreer vervolgens uw Event Hubs-gegevens met een SIEM van derden. Zie voor meer informatie Waarschuwingen streamen naar een SIEM-, SOAR- of IT Service Management-oplossing.
• De REST API: als u de REST API gebruikt om toegang te krijgen tot waarschuwingen, raadpleegt u de online documentatie voor de waarschuwingen-API.

Als u programmatische methoden gebruikt om de waarschuwingen te gebruiken, hebt u het juiste schema nodig om de velden te vinden die relevant voor u zijn. Als u exporteert naar een Event Hub of werkstroomautomatisering probeert te activeren met algemene HTTP-connectors, moeten schema's worden gebruikt om de JSON-objecten correct te parseren.

Belangrijk

Omdat het schema voor elk van deze scenario's verschilt, moet u het relevante tabblad selecteren.

De schema's

Microsoft Sentinel

De Sentinel-Verbinding maken or ontvangt waarschuwingen van Microsoft Defender voor Cloud en stuurt deze naar de Log Analytics-werkruimte voor Microsoft Sentinel.

Als u een Microsoft Sentinel-case of -incident wilt maken met behulp van Defender voor Cloud-waarschuwingen, hebt u het schema nodig voor deze waarschuwingen.

Meer informatie vindt u in de microsoft Sentinel-documentatie.

Het gegevensmodel van het schema

Veld	Beschrijving
AlertName	Weergavenaam van waarschuwing
AlertType	unieke waarschuwings-id
ConfidenceLevel	(Optioneel) Het betrouwbaarheidsniveau van deze waarschuwing (hoog/laag)
ConfidenceScore	(Optioneel) Numerieke betrouwbaarheidsindicator van de beveiligingswaarschuwing
Beschrijving	Beschrijvingstekst voor de waarschuwing
DisplayName	De weergavenaam van de waarschuwing
Eindtijd	De eindtijd van de impact van de waarschuwing (de tijd van de laatste gebeurtenis die bijdraagt aan de waarschuwing)
Entiteiten	Een lijst met entiteiten die zijn gerelateerd aan de waarschuwing. Deze lijst kan een combinatie van entiteiten van diverse typen bevatten
ExtendedLinks	(Optioneel) Een tas voor alle koppelingen met betrekking tot de waarschuwing. Deze tas kan een combinatie van koppelingen voor diverse soorten bevatten
ExtendedProperties	Een zak met extra velden die relevant zijn voor de waarschuwing
IsIncident	Bepaalt of de waarschuwing een incident of een reguliere waarschuwing is. Een incident is een beveiligingswaarschuwing die meerdere waarschuwingen samenvoegt in één beveiligingsincident
ProcessingEndTime	UTC-tijdstempel waarin de waarschuwing is gemaakt
ProductComponentName	(Optioneel) De naam van een onderdeel in het product dat de waarschuwing heeft gegenereerd.
Productnaam	constant ('Azure Security Center')
ProviderName	Ongebruikte
RemediationSteps	Handmatige actie-items die moeten worden uitgevoerd om de beveiligingsrisico te verhelpen
ResourceId	Volledige id van de betrokken resource
Ernst	De ernst van de waarschuwing (hoog/gemiddeld/laag/informatielijk)
SourceComputerId	een unieke GUID voor de betreffende server (als de waarschuwing op de server wordt gegenereerd)
SourceSystem	Ongebruikte
Starttime	De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis die bijdraagt aan de waarschuwing)
SystemAlertId	Unieke id van dit beveiligingswaarschuwingexemplaren
Tenant-ID	de id van de bovenliggende Azure Active Directory-tenant van het abonnement waaronder de gescande resource zich bevindt
TimeGenerated	UTC-tijdstempel waarop de evaluatie heeft plaatsgevonden (scantijd van Security Center) (identiek aan DiscoveredTimeUTC)
Type	constant ('SecurityAlert')
VendorName	De naam van de leverancier die de waarschuwing heeft opgegeven (bijvoorbeeld 'Microsoft')
VendorOriginalId	Ongebruikte
WorkspaceResourceGroup	als de waarschuwing wordt gegenereerd op een vm, server, virtuele-machineschaalset of App Service-exemplaar dat rapporteert aan een werkruimte, die de naam van de resourcegroep van de werkruimte bevat
WorkspaceSubscriptionId	als de waarschuwing wordt gegenereerd op een vm, server, virtuele-machineschaalset of App Service-exemplaar dat rapporteert aan een werkruimte, die de subscriptionId van de werkruimte bevat

Azure-activiteitenlogboek

Microsoft Defender voor Cloud controleert gegenereerde beveiligingswaarschuwingen als gebeurtenissen in het Azure-activiteitenlogboek.

U kunt de gebeurtenissen voor beveiligingswaarschuwingen in het activiteitenlogboek bekijken door te zoeken naar de gebeurtenis Waarschuwing activeren, zoals wordt weergegeven:

Voorbeeld-JSON voor waarschuwingen die naar het Azure-activiteitenlogboek worden verzonden

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Het gegevensmodel van het schema

Veld	Beschrijving
Kanalen	Constante, "Bewerking"
correlationId	De Microsoft Defender voor Cloud waarschuwings-id
beschrijving	Beschrijving van de waarschuwing
eventDataId	Zie correlationId
eventName	De waarde en localizedValue-subvelden bevatten de weergavenaam van de waarschuwing
category	De waarden en localizedValue-subvelden zijn constant - 'Beveiliging'
eventTimestamp	UTC-tijdstempel voor het moment waarop de waarschuwing is gegenereerd
id	De volledig gekwalificeerde waarschuwings-id
Niveau	Constant, "Informatielijk"
operationId	Zie correlationId
operationName	Het waardeveld is constant, Microsoft.Security/locations/alerts/activate/actionen de gelokaliseerde waarde is Activate Alert (kan mogelijk worden gelokaliseerd op basis van de landinstelling van de gebruiker)
resourceGroupName	Bevat de naam van de resourcegroep
resourceProviderName	De waarden en localizedValue-subvelden zijn constant - 'Microsoft.Security'
Resourcetype	De waarde en localizedValue-subvelden zijn constant - 'Microsoft.Security/locations/alerts'
resourceId	De volledig gekwalificeerde Azure-resource-id
status	De waarde en localizedValue-subvelden zijn constant - 'Actief'
subStatus	De waarden en localizedValue-subvelden zijn leeg
submissionTimestamp	De UTC-tijdstempel van het verzenden van gebeurtenissen naar het activiteitenlogboek
subscriptionId	De abonnements-id van de gecompromitteerde resource
properties	Een JSON-zak met andere eigenschappen die betrekking hebben op de waarschuwing. Eigenschappen kunnen echter worden gewijzigd van de ene waarschuwing in de andere, maar de volgende velden worden weergegeven in alle waarschuwingen: - ernst: de ernst van de aanval - compromisedEntity: de naam van de aangetaste resource - remediationSteps: Matrix van herstelstappen die moeten worden uitgevoerd - intent: De kill-chain intent van de waarschuwing. Mogelijke intenties worden beschreven in de tabel Intenties
relatedEvents	Constante - lege matrix

Werkstroomautomatisering

Zie de documentatie voor connectors voor het schema voor waarschuwingen bij het gebruik van werkstroomautomatisering.

Continue export

de functie voor continue export van Defender voor Cloud geeft waarschuwingsgegevens door aan:

• Azure Event Hubs maakt gebruik van hetzelfde schema als de waarschuwingen-API.
• Log Analytics-werkruimten volgens het SecurityAlert-schema in de azure Monitor-gegevensdocumentatie.

MS Graph API

Microsoft Graph is de gateway voor gegevens en intelligentie in Microsoft 365. Het biedt een geïntegreerd programmeermodel dat u kunt gebruiken voor toegang tot de enorme hoeveelheid gegevens in Microsoft 365, Windows 10 en Enterprise Mobility + Security. Gebruik de schat aan gegevens in Microsoft Graph om apps te bouwen voor organisaties en consumenten die communiceren met miljoenen gebruikers.

Het schema en een JSON-weergave voor beveiligingswaarschuwingen die naar MS Graph worden verzonden, zijn beschikbaar in de Microsoft Graph-documentatie.

Verwante artikelen:

• Log Analytics-werkruimten - Azure Monitor slaat logboekgegevens op in een Log Analytics-werkruimte, een container met gegevens en configuratiegegevens
• Microsoft Sentinel - cloudeigen SIEM van Microsoft
• Azure Event Hubs : de volledig beheerde, realtime gegevensopnameservice van Microsoft

Volgende stap

Continu Defender voor Cloud gegevens exporteren