Поделиться через

Справочник по схеме оповещений безопасности Microsoft Sentinel

  • Статья

Правила аналитики Microsoft Sentinel создают инциденты в результате оповещений безопасности. Оповещения системы безопасности могут поступать из разных источников и соответственно используют различные правила аналитики для создания инцидентов:

  • Запланированные правила аналитики создают предупреждения в результате обычных запросов данных в журналах, полученных из внешних источников, и те же правила создают инциденты на основе этих оповещений. (В рамках этого документа оповещения в запланированных правил включают оповещение по правилу режима почти реального времени.)

  • Правила аналитики безопасности Майкрософт создают инциденты из оповещений, которые обрабатываются как есть из других продуктов безопасности Майкрософт, например XDR в Microsoft Defender и Microsoft Defender для облака.

Независимо от источника эти оповещения хранятся вместе в таблице SecurityAlert в рабочей области Log Analytics. В этой статье описана схема этой таблицы.

Поскольку оповещения приходят из множества источников, не все поля используются всеми поставщиками. Некоторые поля могут быть оставлены пустыми.

Определения схем

Имя столбца Тип Описание
AlertLink строка Ссылка на оповещение на портале исходного продукта.
AlertName строка Отображаемое имя оповещения.
  • Оповещения запланированного правила: берется из имени правила.
  • Полученные оповещения: отображаемое имя оповещения в исходном продукте.
AlertSeverity строка Уровень серьезности оповещения. [Информационный/низкий/средний/высокий]
AlertType строка Тип оповещения.
  • Оповещения запланированного правила: берется из идентификатора правила.
  • Полученные оповещения: некоторые продукты группируют оповещения по типу. В некоторых случаях может быть идентичным или синонимом имени продукта.
CompromisedEntity строка Отображаемое имя главной сущности, по которой выдаются оповещения.
ConfidenceLevel строка Уровень достоверности этого предупреждения: как убедиться, что поставщик не является ложным положительным.
ConfidenceScore real Показатель достоверности оповещения в масштабе 0,0–1,0 (если применимо). Это свойство обеспечивает более детализированное представление уровня достоверности предупреждения по сравнению с полем ConfidenceLevel.
Description строка Описание оповещения.
Отображаемое имя строка Отображаемое имя оповещения. Синоним AlertName, но поддерживается для обеспечения совместимости.
EndTime datetime Время окончания воздействия оповещения.
  • Оповещения запланированного правила: значение поля TimeGenerated для последнего события, захваченного запросом.
  • Полученные оповещения: время последнего события или действия, включенного в оповещение.
Сущности строка Список сущностей, определенных в оповещении. Этот список может включать в себя сочетание сущностей различных типов. Типы сущностей могут быть любыми из определенных в схеме, как описано в документации по сущностям.
ExtendedLinks строка Контейнер (коллекция) для всех ссылок, связанных с оповещением. Этот контейнер может включать сочетание ссылок различных типов.
ExtendedProperties строка Коллекция других свойств оповещения, включая определяемые пользователем свойства. Здесь хранятся все пользовательские сведения, определенные в оповещении, а также любое динамическое содержимое в сведениях о оповещении.
IsIncident boolean НЕ РЕКОМЕНДУЕТСЯ. Всегда имеет значение false.
ProcessingEndTime datetime Время публикации оповещения.
  • Оповещения запланированного правила: значение поля TimeGenerated.
  • Полученные оповещения: время, в течение которого исходный продукт завершает воспроизведение оповещения.
ProductComponentName строка Имя компонента продукта, который сгенерировал оповещение.
ProductName строка Имя продукта, который сгенерировал оповещение.
ProviderName строка Имя поставщика оповещения (службы в рамках продукта), создавшего оповещение.
RemediationSteps строка Список элементов действий для устранения причины оповещения.
ResourceId строка Уникальный идентификатор ресурса, который является темой оповещения.
SourceComputerId строка НЕ РЕКОМЕНДУЕТСЯ. Был идентификатором агента на сервере, создавшем оповещение.
SourceSystem строка НЕ РЕКОМЕНДУЕТСЯ. Всегда заполняется строкой Detection.
StartTime datetime Время начала воздействия оповещения.
  • Оповещения запланированного правила: значение поля TimeGenerated для первого события, захваченного запросом.
  • Полученные оповещения: время первого события или действия, включенного в оповещение.
Состояние строка Состояние оповещения в течение жизненного цикла. [Создание/выполнение/разрешение/отклонено/неизвестно]
SystemAlertId строка Внутренний уникальный идентификатор для оповещения в Microsoft Sentinel.
Тактики строка Список тактики MITRE ATT&CK с запятыми, связанный с оповещением.
Techniques строка Список методов MITRE ATT&CK с запятыми, связанных с оповещением.
TenantId строка Уникальный идентификатор клиента.
TimeGenerated datetime Время создания оповещения (в формате UTC).
Тип строка Константа (SecurityAlert)
VendorName строка Поставщик продукта, в котором возникло оповещение.
VendorOriginalId строка Уникальный идентификатор для конкретного экземпляра оповещения, заданный исходным продуктом.
WorkspaceResourceGroup строка УСТАРЕЛО
WorkspaceSubscriptionId строка УСТАРЕЛО

Следующие шаги

Дополнительные сведения об оповещениях системы безопасности и правилах аналитики: