Справочник по схеме оповещений безопасности Microsoft Sentinel

Правила аналитики Microsoft Sentinel создают инциденты в результате оповещений безопасности. Оповещения системы безопасности могут поступать из разных источников и соответственно используют различные правила аналитики для создания инцидентов:

• Запланированные правила аналитики создают предупреждения в результате обычных запросов данных в журналах, полученных из внешних источников, и те же правила создают инциденты на основе этих оповещений. (В рамках этого документа оповещения в запланированных правил включают оповещение по правилу режима почти реального времени.)

• Правила аналитики безопасности Майкрософт создают инциденты из оповещений, которые обрабатываются как есть из других продуктов безопасности Майкрософт, например XDR в Microsoft Defender и Microsoft Defender для облака.

Независимо от источника эти оповещения хранятся вместе в таблице SecurityAlert в рабочей области Log Analytics. В этой статье описана схема этой таблицы.

Поскольку оповещения приходят из множества источников, не все поля используются всеми поставщиками. Некоторые поля могут быть оставлены пустыми.

Определения схем

Имя столбца	Тип	Описание
AlertLink	строка	Ссылка на оповещение на портале исходного продукта.
AlertName	строка	Отображаемое имя оповещения. Оповещения запланированного правила: берется из имени правила. Полученные оповещения: отображаемое имя оповещения в исходном продукте.
AlertSeverity	строка	Уровень серьезности оповещения. [Информационный/низкий/средний/высокий]
AlertType	строка	Тип оповещения. Оповещения запланированного правила: берется из идентификатора правила. Полученные оповещения: некоторые продукты группируют оповещения по типу. В некоторых случаях может быть идентичным или синонимом имени продукта.
CompromisedEntity	строка	Отображаемое имя главной сущности, по которой выдаются оповещения.
ConfidenceLevel	строка	Уровень достоверности этого предупреждения: как убедиться, что поставщик не является ложным положительным.
ConfidenceScore	real	Показатель достоверности оповещения в масштабе 0,0–1,0 (если применимо). Это свойство обеспечивает более детализированное представление уровня достоверности предупреждения по сравнению с полем ConfidenceLevel.
Description	строка	Описание оповещения.
Отображаемое имя	строка	Отображаемое имя оповещения. Синоним AlertName, но поддерживается для обеспечения совместимости.
EndTime	datetime	Время окончания воздействия оповещения. Оповещения запланированного правила: значение поля TimeGenerated для последнего события, захваченного запросом. Полученные оповещения: время последнего события или действия, включенного в оповещение.
Сущности	строка	Список сущностей, определенных в оповещении. Этот список может включать в себя сочетание сущностей различных типов. Типы сущностей могут быть любыми из определенных в схеме, как описано в документации по сущностям.
ExtendedLinks	строка	Контейнер (коллекция) для всех ссылок, связанных с оповещением. Этот контейнер может включать сочетание ссылок различных типов.
ExtendedProperties	строка	Коллекция других свойств оповещения, включая определяемые пользователем свойства. Здесь хранятся все пользовательские сведения, определенные в оповещении, а также любое динамическое содержимое в сведениях о оповещении.
IsIncident	boolean	НЕ РЕКОМЕНДУЕТСЯ. Всегда имеет значение false.
ProcessingEndTime	datetime	Время публикации оповещения. Оповещения запланированного правила: значение поля TimeGenerated. Полученные оповещения: время, в течение которого исходный продукт завершает воспроизведение оповещения.
ProductComponentName	строка	Имя компонента продукта, который сгенерировал оповещение.
ProductName	строка	Имя продукта, который сгенерировал оповещение.
ProviderName	строка	Имя поставщика оповещения (службы в рамках продукта), создавшего оповещение.
RemediationSteps	строка	Список элементов действий для устранения причины оповещения.
ResourceId	строка	Уникальный идентификатор ресурса, который является темой оповещения.
SourceComputerId	строка	НЕ РЕКОМЕНДУЕТСЯ. Был идентификатором агента на сервере, создавшем оповещение.
SourceSystem	строка	НЕ РЕКОМЕНДУЕТСЯ. Всегда заполняется строкой Detection.
StartTime	datetime	Время начала воздействия оповещения. Оповещения запланированного правила: значение поля TimeGenerated для первого события, захваченного запросом. Полученные оповещения: время первого события или действия, включенного в оповещение.
Состояние	строка	Состояние оповещения в течение жизненного цикла. [Создание/выполнение/разрешение/отклонено/неизвестно]
SystemAlertId	строка	Внутренний уникальный идентификатор для оповещения в Microsoft Sentinel.
Тактики	строка	Список тактики MITRE ATT&CK с запятыми, связанный с оповещением.
Techniques	строка	Список методов MITRE ATT&CK с запятыми, связанных с оповещением.
TenantId	строка	Уникальный идентификатор клиента.
TimeGenerated	datetime	Время создания оповещения (в формате UTC).
Тип	строка	Константа (SecurityAlert)
VendorName	строка	Поставщик продукта, в котором возникло оповещение.
VendorOriginalId	строка	Уникальный идентификатор для конкретного экземпляра оповещения, заданный исходным продуктом.
WorkspaceResourceGroup	строка	УСТАРЕЛО
WorkspaceSubscriptionId	строка	УСТАРЕЛО

Следующие шаги

Дополнительные сведения об оповещениях системы безопасности и правилах аналитики:

• Встроенное обнаружение угроз

• Создание настраиваемых правил аналитики для обнаружения угроз

• Экспорт и импорт правил аналитики в шаблоны ARM и из нее