Microsoft Sentinel güvenlik uyarısı şema başvurusu

Microsoft Sentinel analiz kuralları, güvenlik uyarılarının sonucu olarak olaylar oluşturur. Güvenlik uyarıları farklı kaynaklardan gelebilir ve buna göre olay oluşturmak için farklı analiz kuralları kullanabilir:

• Zamanlanmış analiz kuralları, dış kaynaklardan alınan günlüklerdeki düzenli veri sorgularının sonucu olarak uyarılar oluşturur ve aynı kurallar bu uyarılardan olaylar oluşturur. (Bu belgenin amaçları doğrultusunda "zamanlanmış" kural uyarıları şunlardır: NRT kuralı uyarıları.)

• Microsoft Güvenlik analizi kuralları, microsoft Defender XDR ve Bulut için Microsoft Defender gibi diğer Microsoft güvenlik ürünlerinden olduğu gibi alınan uyarılardan olaylar oluşturur.

Kaynak ne olursa olsun, bu uyarıların tümü Log Analytics çalışma alanınızdaki SecurityAlert tablosunda birlikte depolanır. Bu makalede, bu tablonun şeması açıklanmaktadır.

Uyarılar birçok kaynaktan geldiğinden, tüm alanlar tüm sağlayıcılar tarafından kullanılmaz. Bazı alanlar boş bırakılabilir.

Şema tanımları

Sütun Adı	Türü	Açıklama
AlertLink	Dize	Kaynak ürünün portalında uyarının bağlantısı.
AlertName	Dize	Uyarının görünen adı. Zamanlanmış kural uyarıları: kural adından alınır. Alınan uyarılar: Kaynağı olan üründeki uyarının görünen adı.
Uyarı Azmi	Dize	Uyarının önem derecesi. [Bilgilendirsel / Düşük / Orta / Yüksek]
Alerttype	Dize	Uyarı türü. Zamanlanmış kural uyarıları: kural kimliğinden alınır. Alınan uyarılar: Bazı ürünler uyarılarını türe göre gruplandırıyor. Bazı durumlarda, ürün adıyla aynı veya eş anlamlı olabilir.
CompromisedEntity	Dize	Uyarılmakta olan ana varlığın görünen adı.
ConfidenceLevel	Dize	Bu uyarının güvenilirlik düzeyi: sağlayıcının bunun hatalı pozitif olmadığından ne kadar emin olduğu.
ConfidenceScore	real	Varsa uyarının 0,0-1,0 ölçeğinde güvenilirlik puanı. Bu özellik, ConfidenceLevel alanına kıyasla uyarının güvenilirlik düzeyinin daha ayrıntılı bir gösterimini sağlar.
Açıklama	Dize	Uyarının açıklaması.
DisplayName	Dize	Uyarının görünen adı. AlertName ile eş anlamlıdır ancak uyumluluk için korunur.
Endtime	datetime	Uyarının etkisinin bitiş saati. Zamanlanmış kural uyarıları: Sorgu tarafından yakalanan son olay için TimeGenerated alanının değeri. Alınan uyarılar: Uyarıya dahil edilen son olayın veya etkinliğin zamanı.
Varlıklar	Dize	Uyarıda tanımlanan varlıkların listesi. Bu liste, farklı türlerdeki varlıkların bir bileşimini içerebilir. Varlıkların türleri, varlıklar belgelerinde açıklandığı gibi şemada tanımlananlardan herhangi biri olabilir.
ExtendedLinks	Dize	Uyarıyla ilgili tüm bağlantılar için bir çanta (koleksiyon). Bu çanta, farklı türlerdeki bağlantıların bir bileşimini içerebilir.
ExtendedProperties	Dize	Kullanıcı tanımlı özellikler de dahil olmak üzere uyarının diğer özellikleri koleksiyonu. Uyarıda tanımlanan tüm özel ayrıntılar ve uyarı ayrıntılarındaki tüm dinamik içerikler burada depolanır.
IsIncident	boolean	KALDIRIL -MIŞ. Her zaman false olarak ayarlayın.
ProcessingEndTime	datetime	Uyarının yayımlanma zamanı. Zamanlanmış kural uyarıları: TimeGenerated alanının değeri. Alınan uyarılar: Kaynak ürünün uyarının üretimini tamamlama süresi.
ProductComponentName	Dize	Uyarıyı oluşturan ürünün bileşeninin adı.
Productname	Dize	Uyarıyı oluşturan ürünün adı.
ProviderName	Dize	Uyarıyı oluşturan uyarı sağlayıcısının (ürün içindeki hizmet) adı.
DüzeltmeLerTeps	Dize	Uyarıyı düzeltmek için gerçekleştirecek eylem öğelerinin listesi.
ResourceId	Dize	Uyarının konusu olan kaynağın benzersiz tanımlayıcısı.
SourceComputerId	Dize	KALDIRIL -MIŞ. Uyarıyı oluşturan sunucudaki aracı kimliğiydi.
SourceSystem	Dize	KALDIRIL -MIŞ. Her zaman "Algılama" dizesiyle doldurulur.
Starttime	datetime	Uyarının etkisinin başlangıç saati. Zamanlanmış kural uyarıları: Sorgu tarafından yakalanan ilk olay için TimeGenerated alanının değeri. Alınan uyarılar: uyarıya dahil edilen ilk olayın veya etkinliğin zamanı.
Statü	Dize	Uyarının yaşam döngüsü içindeki durumu. [Yeni / InProgress / Çözüldü / Kapatıldı / Bilinmiyor]
SystemAlertId	Dize	Microsoft Sentinel'de uyarının dahili benzersiz kimliği.
Taktik	Dize	Uyarıyla ilişkili MITRE ATT&CK taktiklerinin virgülle ayrılmış listesi.
Teknik	Dize	Uyarıyla ilişkili MITRE ATT&CK tekniklerinin virgülle ayrılmış listesi.
Kiracı Kimliği	Dize	Kiracının benzersiz kimliği.
TimeGenerated	datetime	Uyarının oluşturulduğu saat (UTC olarak).
Türü	Dize	Sabit ('SecurityAlert')
Satıcıadı	Dize	Uyarıyı üreten ürünün satıcısı.
VendorOriginalId	Dize	Kaynak ürün tarafından ayarlanan belirli bir uyarı örneğinin benzersiz kimliği.
WorkspaceResourceGroup	Dize	KALDIRIL -MIŞ
WorkspaceSubscriptionId	Dize	KALDIRIL -MIŞ

Sonraki adımlar

Güvenlik uyarıları ve analiz kuralları hakkında daha fazla bilgi edinin:

• Kullanıma hazır özelliklerle tehditleri algılama

• Tehditleri algılamak için özel analitik kuralları oluşturma

• ARM şablonlarına ve arm şablonlarından analiz kurallarını dışarı ve içeri aktarma