警报架构
Defender for Cloud 提供警报,可帮助识别、了解和响应安全威胁。 当 Defender for Cloud 检测到环境中的可疑活动或与安全相关的问题时,将生成警报。 可以在 Defender for Cloud 门户中查看这些警报,也可以将其导出到外部工具,以便进一步分析和响应。
可以在 Microsoft Defender for Cloud 的页面(概述仪表板、警报、资源运行状况页或工作负荷保护仪表板)中查看这些安全警报,还可以通过外部工具进行查看,例如:
- Microsoft Sentinel - Microsoft 的云原生 SIEM。 Sentinel 连接器从 Microsoft Defender for Cloud 获取警报,并将其发送到 Microsoft Sentinel 的 Log Analytics 工作区。
- 第三方 SIEM - 向 Azure 事件中心发送数据。 然后,将事件中心数据与第三方 SIEM 集成。 有关详细信息,请参阅将警报流式传输到 SIEM、SOAR 或 IT 服务管理解决方案。
- REST API - 如果你使用 REST API 访问警报,请参阅在线警报 API 文档。
如果通过任何编程方法来使用警报,将需要正确的架构来查找与你相关的字段。 此外,如果要导出到事件中心或尝试使用泛型 HTTP 连接器来触发工作流自动化,应使用架构来正确分析 JSON 对象。
重要
由于架构对于每种场景都略有不同,因此请确保选择相关选项卡。
架构
Sentinel 连接器从 Microsoft Defender for Cloud 获取警报,并将其发送到 Microsoft Sentinel 的 Log Analytics 工作区。
若要创建使用 Defender for Cloud 警报的 Microsoft Sentinel 案例或事件,需要如下所示警报的架构。
有关详细信息,请参阅 Microsoft Sentinel 文档。
架构的数据模型
字段 | 说明 |
---|---|
AlertName | 警报显示名称 |
AlertType | 唯一警报标识符 |
ConfidenceLevel | (可选)此警报的置信度级别(高/低) |
ConfidenceScore | (可选)安全警报的置信度数字指示器 |
说明 | 警报的说明文本 |
DisplayName | 警报的显示名称 |
EndTime | 警报的影响结束时间(引发警报的最后一个事件的时间) |
实体 | 与警报相关的实体的列表。 此列表可以包含不同类型的实体 |
ExtendedLinks | (可选)与警报相关的所有链接包。 此包可以保存各种类型的链接 |
ExtendedProperties | 与警报相关的附加字段包 |
IsIncident | 确定警报是事件还是常规警报。 事件是将多个警报聚合为一个安全事件的安全警报 |
ProcessingEndTime | 创建警报的 UTC 时间戳 |
ProductComponentName | (可选)生成警报的产品内组件的名称。 |
ProductName | 常量(“Azure 安全中心”) |
ProviderName | unused |
RemediationSteps | 要执行以修正安全威胁的手动操作项 |
ResourceId | 受影响资源的完整标识符 |
严重性 | 警报严重性(高/中/低/信息性) |
SourceComputerId | 受影响服务器的唯一 GUID(如果警报是在服务器上生成的) |
SourceSystem | unused |
StartTime | 警报的影响开始时间(引发警报的第一个事件的时间) |
SystemAlertId | 此安全警报实例的唯一标识符 |
TenantId | 扫描的资源所在的订阅的父 Azure Active directory 租户的标识符 |
TimeGenerated | 进行评估的 UTC 时间戳(安全中心的扫描时间)(等同于 DiscoveredTimeUTC) |
类型 | 常量(“SecurityAlert”) |
VendorName | 提供警报的供应商的名称(例如“Microsoft”) |
VendorOriginalId | unused |
WorkspaceResourceGroup | 如果在向工作区报告的 VM、服务器、虚拟机规模集或应用服务实例上生成警报,则该警报包含该工作区资源组名称 |
WorkspaceSubscriptionId | 如果在向工作区报告的 VM、服务器、虚拟机规模集或应用服务实例上生成警报,则该警报包含该工作区 subscriptionId |
相关文章
- Log Analytics 工作区 - Azure Monitor 将日志数据存储在 Log Analytics 工作区中,该工作区是一个包含数据和配置信息的容器
- Microsoft Sentinel - Microsoft 的云原生 SIEM
- Azure 事件中心 - Microsoft 的完全托管的实时数据引入服务