警报架构

Defender for Cloud 提供警报,可帮助识别、了解和响应安全威胁。 当 Defender for Cloud 检测到环境中的可疑活动或与安全相关的问题时,将生成警报。 可以在 Defender for Cloud 门户中查看这些警报,也可以将其导出到外部工具,以便进一步分析和响应。

可以在 Microsoft Defender for Cloud 的页面(概述仪表板警报资源运行状况页工作负荷保护仪表板)中查看这些安全警报,还可以通过外部工具进行查看,例如:

如果通过任何编程方法来使用警报,将需要正确的架构来查找与你相关的字段。 此外,如果要导出到事件中心或尝试使用泛型 HTTP 连接器来触发工作流自动化,应使用架构来正确分析 JSON 对象。

重要

由于架构对于每种场景都略有不同,因此请确保选择相关选项卡。

架构

Sentinel 连接器从 Microsoft Defender for Cloud 获取警报,并将其发送到 Microsoft Sentinel 的 Log Analytics 工作区。

若要创建使用 Defender for Cloud 警报的 Microsoft Sentinel 案例或事件,需要如下所示警报的架构。

有关详细信息,请参阅 Microsoft Sentinel 文档

架构的数据模型

字段 说明
AlertName 警报显示名称
AlertType 唯一警报标识符
ConfidenceLevel (可选)此警报的置信度级别(高/低)
ConfidenceScore (可选)安全警报的置信度数字指示器
说明 警报的说明文本
DisplayName 警报的显示名称
EndTime 警报的影响结束时间(引发警报的最后一个事件的时间)
实体 与警报相关的实体的列表。 此列表可以包含不同类型的实体
ExtendedLinks (可选)与警报相关的所有链接包。 此包可以保存各种类型的链接
ExtendedProperties 与警报相关的附加字段包
IsIncident 确定警报是事件还是常规警报。 事件是将多个警报聚合为一个安全事件的安全警报
ProcessingEndTime 创建警报的 UTC 时间戳
ProductComponentName (可选)生成警报的产品内组件的名称。
ProductName 常量(“Azure 安全中心”)
ProviderName unused
RemediationSteps 要执行以修正安全威胁的手动操作项
ResourceId 受影响资源的完整标识符
严重性 警报严重性(高/中/低/信息性)
SourceComputerId 受影响服务器的唯一 GUID(如果警报是在服务器上生成的)
SourceSystem unused
StartTime 警报的影响开始时间(引发警报的第一个事件的时间)
SystemAlertId 此安全警报实例的唯一标识符
TenantId 扫描的资源所在的订阅的父 Azure Active directory 租户的标识符
TimeGenerated 进行评估的 UTC 时间戳(安全中心的扫描时间)(等同于 DiscoveredTimeUTC)
类型 常量(“SecurityAlert”)
VendorName 提供警报的供应商的名称(例如“Microsoft”)
VendorOriginalId unused
WorkspaceResourceGroup 如果在向工作区报告的 VM、服务器、虚拟机规模集或应用服务实例上生成警报,则该警报包含该工作区资源组名称
WorkspaceSubscriptionId 如果在向工作区报告的 VM、服务器、虚拟机规模集或应用服务实例上生成警报,则该警报包含该工作区 subscriptionId

下一步