Microsoft Sentinel güvenlik uyarısı şema başvurusu
Microsoft Sentinel analiz kuralları, güvenlik uyarılarının sonucu olarak olaylar oluşturur. Güvenlik uyarıları farklı kaynaklardan gelebilir ve buna göre olay oluşturmak için farklı analiz kuralları kullanabilir:
Zamanlanmış analiz kuralları, dış kaynaklardan alınan günlüklerdeki düzenli veri sorgularının sonucu olarak uyarılar oluşturur ve aynı kurallar bu uyarılardan olaylar oluşturur. (Bu belgenin amaçları doğrultusunda "zamanlanmış" kural uyarıları şunlardır: NRT kuralı uyarıları.)
Microsoft Güvenlik analizi kuralları, microsoft Defender XDR ve Bulut için Microsoft Defender gibi diğer Microsoft güvenlik ürünlerinden olduğu gibi alınan uyarılardan olaylar oluşturur.
Kaynak ne olursa olsun, bu uyarıların tümü Log Analytics çalışma alanınızdaki SecurityAlert tablosunda birlikte depolanır. Bu makalede, bu tablonun şeması açıklanmaktadır.
Uyarılar birçok kaynaktan geldiğinden, tüm alanlar tüm sağlayıcılar tarafından kullanılmaz. Bazı alanlar boş bırakılabilir.
Şema tanımları
Sütun Adı | Türü | Açıklama |
---|---|---|
AlertLink | Dize | Kaynak ürünün portalında uyarının bağlantısı. |
AlertName | Dize | Uyarının görünen adı.
|
Uyarı Azmi | Dize | Uyarının önem derecesi. [Bilgilendirsel / Düşük / Orta / Yüksek] |
Alerttype | Dize | Uyarı türü.
|
CompromisedEntity | Dize | Uyarılmakta olan ana varlığın görünen adı. |
ConfidenceLevel | Dize | Bu uyarının güvenilirlik düzeyi: sağlayıcının bunun hatalı pozitif olmadığından ne kadar emin olduğu. |
ConfidenceScore | real | Varsa uyarının 0,0-1,0 ölçeğinde güvenilirlik puanı. Bu özellik, ConfidenceLevel alanına kıyasla uyarının güvenilirlik düzeyinin daha ayrıntılı bir gösterimini sağlar. |
Açıklama | Dize | Uyarının açıklaması. |
DisplayName | Dize | Uyarının görünen adı. AlertName ile eş anlamlıdır ancak uyumluluk için korunur. |
Endtime | datetime | Uyarının etkisinin bitiş saati.
|
Varlıklar | Dize | Uyarıda tanımlanan varlıkların listesi. Bu liste, farklı türlerdeki varlıkların bir bileşimini içerebilir. Varlıkların türleri, varlıklar belgelerinde açıklandığı gibi şemada tanımlananlardan herhangi biri olabilir. |
ExtendedLinks | Dize | Uyarıyla ilgili tüm bağlantılar için bir çanta (koleksiyon). Bu çanta, farklı türlerdeki bağlantıların bir bileşimini içerebilir. |
ExtendedProperties | Dize | Kullanıcı tanımlı özellikler de dahil olmak üzere uyarının diğer özellikleri koleksiyonu. Uyarıda tanımlanan tüm özel ayrıntılar ve uyarı ayrıntılarındaki tüm dinamik içerikler burada depolanır. |
IsIncident | boolean | KALDIRIL -MIŞ. Her zaman false olarak ayarlayın. |
ProcessingEndTime | datetime | Uyarının yayımlanma zamanı.
|
ProductComponentName | Dize | Uyarıyı oluşturan ürünün bileşeninin adı. |
Productname | Dize | Uyarıyı oluşturan ürünün adı. |
ProviderName | Dize | Uyarıyı oluşturan uyarı sağlayıcısının (ürün içindeki hizmet) adı. |
DüzeltmeLerTeps | Dize | Uyarıyı düzeltmek için gerçekleştirecek eylem öğelerinin listesi. |
ResourceId | Dize | Uyarının konusu olan kaynağın benzersiz tanımlayıcısı. |
SourceComputerId | Dize | KALDIRIL -MIŞ. Uyarıyı oluşturan sunucudaki aracı kimliğiydi. |
SourceSystem | Dize | KALDIRIL -MIŞ. Her zaman "Algılama" dizesiyle doldurulur. |
Starttime | datetime | Uyarının etkisinin başlangıç saati.
|
Statü | Dize | Uyarının yaşam döngüsü içindeki durumu. [Yeni / InProgress / Çözüldü / Kapatıldı / Bilinmiyor] |
SystemAlertId | Dize | Microsoft Sentinel'de uyarının dahili benzersiz kimliği. |
Taktik | Dize | Uyarıyla ilişkili MITRE ATT&CK taktiklerinin virgülle ayrılmış listesi. |
Teknik | Dize | Uyarıyla ilişkili MITRE ATT&CK tekniklerinin virgülle ayrılmış listesi. |
Kiracı Kimliği | Dize | Kiracının benzersiz kimliği. |
TimeGenerated | datetime | Uyarının oluşturulduğu saat (UTC olarak). |
Türü | Dize | Sabit ('SecurityAlert') |
Satıcıadı | Dize | Uyarıyı üreten ürünün satıcısı. |
VendorOriginalId | Dize | Kaynak ürün tarafından ayarlanan belirli bir uyarı örneğinin benzersiz kimliği. |
WorkspaceResourceGroup | Dize | KALDIRIL -MIŞ |
WorkspaceSubscriptionId | Dize | KALDIRIL -MIŞ |
Sonraki adımlar
Güvenlik uyarıları ve analiz kuralları hakkında daha fazla bilgi edinin: