Aviseringsscheman

Defender för molnet tillhandahåller aviseringar som hjälper dig att identifiera, förstå och svara på säkerhetshot. Aviseringar genereras när Defender för molnet identifierar misstänkt aktivitet eller ett säkerhetsrelaterat problem i din miljö. Du kan visa dessa aviseringar i Defender för molnet-portalen, eller så kan du exportera dem till externa verktyg för ytterligare analys och svar.

Du kan visa dessa säkerhetsaviseringar på Microsoft Defender för molnet sidor – översiktsinstrumentpanel, aviseringar, resurshälsosidor eller instrumentpanel för arbetsbelastningsskydd – och via externa verktyg som:

• Microsoft Sentinel – Microsofts molnbaserade SIEM. Sentinel-Anslut eller hämtar aviseringar från Microsoft Defender för molnet och skickar dem till Log Analytics-arbetsytan för Microsoft Sentinel.
• SIEM från tredje part – Skicka data till Azure Event Hubs. Integrera sedan dina Event Hubs-data med en SIEM från tredje part. Läs mer i Stream-aviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning.
• REST-API:et – Om du använder REST-API:et för att komma åt aviseringar kan du läsa dokumentationen om API:et för onlineaviseringar.

Om du använder programmatiska metoder för att använda aviseringarna behöver du rätt schema för att hitta de fält som är relevanta för dig. Om du exporterar till en händelsehubb eller försöker utlösa Arbetsflödesautomation med allmänna HTTP-anslutningsappar bör scheman också användas för att parsa JSON-objekten korrekt.

Viktigt!

Eftersom schemat är olika för var och en av dessa scenarier bör du välja relevant flik.

Scheman

Microsoft Sentinel

Sentinel-Anslut eller hämtar aviseringar från Microsoft Defender för molnet och skickar dem till Log Analytics-arbetsytan för Microsoft Sentinel.

Om du vill skapa ett Microsoft Sentinel-ärende eller en incident med hjälp av Defender för molnet aviseringar behöver du schemat för de aviseringar som visas.

Läs mer i Microsoft Sentinel-dokumentationen.

Schemats datamodell

Fält	beskrivning
AlertName	Visningsnamn för avisering
AlertType	unik aviseringsidentifierare
ConfidenceLevel	(Valfritt) Konfidensnivån för den här aviseringen (hög/låg)
ConfidenceScore	(Valfritt) Numerisk konfidensindikator för säkerhetsaviseringen
Beskrivning	Beskrivningstext för aviseringen
DisplayName	Aviseringens visningsnamn
Endtime	Sluttiden för aviseringen (tidpunkten för den senaste händelsen som bidrog till aviseringen)
Entiteter	En lista över entiteter som är relaterade till aviseringen. Den här listan kan innehålla en blandning av entiteter av olika typer
ExtendedLinks	(Valfritt) En påse för alla länkar som är relaterade till aviseringen. Den här påsen kan innehålla en blandning av länkar för olika typer
ExtendedProperties	En påse med ytterligare fält som är relevanta för aviseringen
IsIncident	Avgör om aviseringen är en incident eller en vanlig avisering. En incident är en säkerhetsvarning som aggregerar flera aviseringar till en säkerhetsincident
ProcessingEndTime	UTC-tidsstämpel där aviseringen skapades
ProductComponentName	(Valfritt) Namnet på en komponent i produkten som genererade aviseringen.
Productname	konstant ("Azure Security Center")
ProviderName	Oanvända
RemediationSteps	Manuella åtgärder som ska vidtas för att åtgärda säkerhetshotet
ResourceId	Fullständig identifierare för den berörda resursen
Allvarlighetsgrad	Allvarlighetsgraden för aviseringen (hög/medel/låg/informationsbaserad)
SourceComputerId	ett unikt GUID för den berörda servern (om aviseringen genereras på servern)
SourceSystem	Oanvända
Starttime	Starttiden för aviseringen (tidpunkten för den första händelsen som bidrar till aviseringen)
SystemAlertId	Unik identifierare för den här säkerhetsaviseringsinstansen
TenantId	identifieraren för den överordnade Azure Active Directory-klientorganisationen för prenumerationen där den genomsökt resursen finns
TimeGenerated	UTC-tidsstämpel som utvärderingen ägde rum på (Security Centers genomsökningstid) (identisk med DiscoveredTimeUTC)
Typ	konstant ('SecurityAlert')
VendorName	Namnet på leverantören som tillhandahöll aviseringen (t.ex. "Microsoft")
VendorOriginalId	Oanvända
ArbetsytaResourceGroup	om aviseringen genereras på en virtuell dator, server, vm-skalningsuppsättning eller App Service-instans som rapporterar till en arbetsyta, innehåller resursgruppens namn på arbetsytan
WorkspaceSubscriptionId	om aviseringen genereras på en virtuell dator, server, vm-skalningsuppsättning eller App Service-instans som rapporterar till en arbetsyta, innehåller den arbetsytans subscriptionId

Azure-aktivitetslogg

Microsoft Defender för molnet granskningar genererade säkerhetsaviseringar som händelser i Azure-aktivitetsloggen.

Du kan visa säkerhetsaviseringar i aktivitetsloggen genom att söka efter händelsen Aktivera avisering enligt följande:

Exempel på JSON för aviseringar som skickas till Azure-aktivitetsloggen

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Schemats datamodell

Fält	beskrivning
Kanaler	Konstant, "Åtgärd"
correlationId	Aviserings-ID för Microsoft Defender för molnet
Beskrivning	Beskrivning av aviseringen
eventDataId	Se correlationId
eventName	Underfälten value och localizedValue innehåller aviseringsvisningsnamnet
Kategori	Värdet och localizedValue-underfälten är konstanta – "Säkerhet"
eventTimestamp	UTC-tidsstämpel för när aviseringen genererades
id	Det fullständigt kvalificerade aviserings-ID:t
Nivå	Konstant, "Informationsbaserad"
operationId	Se correlationId
operationName	Värdefältet är konstant – Microsoft.Security/locations/alerts/activate/actionoch det lokaliserade värdet är Activate Alert (kan eventuellt lokaliseras enligt användarspråket)
resourceGroupName	Innehåller resursgruppens namn
resourceProviderName	Underfälten value och localizedValue är konstanta – "Microsoft.Security"
Resurstypens	Underfälten value och localizedValue är konstanta – "Microsoft.Security/locations/alerts"
resourceId	Det fullständigt kvalificerade Azure-resurs-ID:t
status	Underfälten value och localizedValue är konstanta – "Active"
subStatus	Underfälten value och localizedValue är tomma
submissionTimestamp	UTC-tidsstämpeln för händelseöverföring till aktivitetsloggen
subscriptionId	Prenumerations-ID för den komprometterade resursen
Egenskaper	En JSON-påse med andra egenskaper som rör aviseringen. Egenskaper kan ändras från en avisering till en annan, men följande fält visas i alla aviseringar: - allvarlighetsgrad: Attackens allvarlighetsgrad - compromisedEntity: Namnet på den komprometterade resursen - remediationSteps: Matris med åtgärdssteg som ska vidtas - avsikt: Avsikten med kill-chain för aviseringen. Möjliga avsikter dokumenteras i tabellen Avsikter
relatedEvents	Konstant – tom matris

Arbetsflödesautomation

Information om aviseringsschemat när du använder arbetsflödesautomation finns i dokumentationen om anslutningsappar.

Löpande export

Defender för molnet funktionen för kontinuerlig export skickar aviseringsdata till:

• Azure Event Hubs använder samma schema som aviserings-API:et.
• Log Analytics-arbetsytor enligt SecurityAlert-schemat i Azure Monitor-datadokumentationen.

MS Graph API

Microsoft Graph är gatewayen till data och intelligens i Microsoft 365. Det ger en enhetlig programmeringsmodell som du kan använda för att komma åt den enorma mängden data i Microsoft 365, Windows 10 och Enterprise Mobility + Security. Använd mängden data i Microsoft Graph för att skapa appar för organisationer och konsumenter som interagerar med miljontals användare.

Schemat och en JSON-representation för säkerhetsaviseringar som skickas till MS Graph finns i Microsoft Graph-dokumentationen.

Relaterade artiklar

• Log Analytics-arbetsytor – Azure Monitor lagrar loggdata på en Log Analytics-arbetsyta, en container som innehåller data och konfigurationsinformation
• Microsoft Sentinel – Microsofts molnbaserade SIEM
• Azure Event Hubs – Microsofts fullständigt hanterade datainmatningstjänst i realtid

Gå vidare

Exportera kontinuerligt Defender för molnet data