Microsoft Sentinel 安全警报架构参考
Microsoft Sentinel 分析规则会根据安全警报创建事件。 安全警报可以来自不同的来源,并相应地使用不同类型的分析规则来创建事件:
计划的分析规则会生成警报,因为它们定期查询从外部源引入的日志中的数据,并且这些相同的规则会根据这些警报创建事件。 (就本文档而言,计划的规则警报包括 NRT 规则警报。)
Microsoft 安全分析规则根据从其他 Microsoft 安全产品(例如 Microsoft Defender for Cloud)引入的警报创建事件。
无论来源如何,这些警报都一起存储在 Log Analytics 工作区的 SecurityAlert 表中。 本文介绍此表的架构。
由于警报来自多个源,因此并非所有字段都被所有提供程序使用。 某些字段可能留空。
架构定义
列名 | 类型 | 说明 |
---|---|---|
AlertLink | 字符串 | 原始产品门户中的警报链接。 |
AlertName | 字符串 | 警报的显示名称。
|
AlertSeverity | 字符串 | 警报严重性。 [信息性/低/中/高] |
AlertType | 字符串 | 警报的类型。
|
CompromisedEntity | 字符串 | 被警报的主实体的显示名称。 |
ConfidenceLevel | 字符串 | 此警报的置信度:提供程序如何确定这不是误报。 |
ConfidenceScore | real | 警报的置信度分数,范围为 0.0-1.0(如果适用)。 与 ConfidenceLevel 字段相比,此属性允许对警报的置信度级别进行更细粒度的表示。 |
说明 | string | 警报的说明。 |
DisplayName | 字符串 | 警报的显示名称。 与 AlertName 同义,但为了兼容性而保留。 |
EndTime | datetime | 警报影响的结束时间。
|
实体 | 字符串 | 警报中标识的实体的列表。 此列表可以包含不同类型的实体的组合。 实体的类型可以是架构中定义的任意类型,如实体文档中所述。 |
ExtendedLinks | 字符串 | 与警报相关的所有链接的包(集合)。 此包可以包含不同类型的链接的组合。 |
ExtendedProperties | 字符串 | 警报的其他属性的集合,包括用户定义的属性。 警报中定义的所有自定义详细信息以及警报详细信息中的所有动态内容都存储在此处。 |
IsIncident | boolean | 已弃用。 始终设置为 false。 |
ProcessingEndTime | datetime | 警报的发布时间。
|
ProductComponentName | 字符串 | 生成警报的产品组件的名称。 |
ProductName | 字符串 | 生成警报的产品的名称。 |
ProviderName | 字符串 | 生成警报的警报提供程序(产品中的服务)的名称。 |
RemediationSteps | 字符串 | 要执行以修正警报的操作项的列表。 |
ResourceId | 字符串 | 作为警报主题的资源的唯一标识符。 |
SourceComputerId | 字符串 | 已弃用。 创建警报的服务器的代理 ID。 |
SourceSystem | string | 已弃用。 始终填充字符串“Detection”。 |
StartTime | datetime | 警报影响的结束时间。
|
Status | string | 生命周期内警报的状态。 [新增/正在进行/已解决/已消除/未知] |
SystemAlertId | 字符串 | Microsoft Sentinel 中警报的内部唯一 ID。 |
策略 | string | 与警报相关的 MITRE ATT&CK 策略的逗号分隔列表。 |
方法 | string | 与警报相关的 MITRE ATT&CK 技术的逗号分隔列表。 |
TenantId | string | 租户的唯一 ID。 |
TimeGenerated | datetime | 生成警报的时间 (UTC)。 |
类型 | string | 常量(“SecurityAlert”) |
VendorName | 字符串 | 生成警报的产品的供应商。 |
VendorOriginalId | 字符串 | 特定警报实例的唯一 ID,由原始产品设置。 |
WorkspaceResourceGroup | 字符串 | 已弃用 |
WorkspaceSubscriptionId | 字符串 | 已弃用 |
后续步骤
详细了解安全警报和分析规则: