Microsoft Sentinel 安全警报架构参考

Microsoft Sentinel 分析规则会根据安全警报创建事件。 安全警报可以来自不同的来源,并相应地使用不同类型的分析规则来创建事件:

  • 计划的分析规则会生成警报,因为它们定期查询从外部源引入的日志中的数据,并且这些相同的规则会根据这些警报创建事件。 (就本文档而言,计划的规则警报包括 NRT 规则警报。)

  • Microsoft 安全分析规则根据从其他 Microsoft 安全产品(例如 Microsoft Defender for Cloud)引入的警报创建事件。

无论来源如何,这些警报都一起存储在 Log Analytics 工作区的 SecurityAlert 表中。 本文介绍此表的架构。

由于警报来自多个源,因此并非所有字段都被所有提供程序使用。 某些字段可能留空。

架构定义

列名 类型 说明
AlertLink 字符串 原始产品门户中的警报链接。
AlertName 字符串 警报的显示名称。
  • 计划的规则警报: 取自规则名称。
  • 引入的警报: 原始产品中警报的显示名称。
AlertSeverity 字符串 警报严重性。 [信息性/低/中/高]
AlertType 字符串 警报的类型。
  • 计划的规则警报: 取自规则 ID。
  • 引入的警报: 一些产品按类型对警报进行分组。 在某些情况下,可能与产品名称相同或同义。
CompromisedEntity 字符串 被警报的主实体的显示名称。
ConfidenceLevel 字符串 此警报的置信度:提供程序如何确定这不是误报。
ConfidenceScore real 警报的置信度分数,范围为 0.0-1.0(如果适用)。 与 ConfidenceLevel 字段相比,此属性允许对警报的置信度级别进行更细粒度的表示。
说明 string 警报的说明。
DisplayName 字符串 警报的显示名称。 与 AlertName 同义,但为了兼容性而保留。
EndTime datetime 警报影响的结束时间。
  • 计划的规则警报: 查询捕获的最后一个事件的 TimeGenerated 字段的值 。
  • 引入的警报: 警报中包含的最后一个事件或活动的时间。
实体 字符串 警报中标识的实体的列表。 此列表可以包含不同类型的实体的组合。 实体的类型可以是架构中定义的任意类型,如实体文档中所述。
ExtendedLinks 字符串 与警报相关的所有链接的包(集合)。 此包可以包含不同类型的链接的组合。
ExtendedProperties 字符串 警报的其他属性的集合,包括用户定义的属性。 警报中定义的所有自定义详细信息以及警报详细信息中的所有动态内容都存储在此处。
IsIncident boolean 已弃用。 始终设置为 false。
ProcessingEndTime datetime 警报的发布时间。
  • 计划的规则规则: TimeGenerated 字段的值。
  • 引入的警报: 原始产品完成警报生成的时间。
ProductComponentName 字符串 生成警报的产品组件的名称。
ProductName 字符串 生成警报的产品的名称。
ProviderName 字符串 生成警报的警报提供程序(产品中的服务)的名称。
RemediationSteps 字符串 要执行以修正警报的操作项的列表。
ResourceId 字符串 作为警报主题的资源的唯一标识符。
SourceComputerId 字符串 已弃用。 创建警报的服务器的代理 ID。
SourceSystem string 已弃用。 始终填充字符串“Detection”。
StartTime datetime 警报影响的结束时间。
  • 计划的规则警报: 查询捕获的第一个事件的 TimeGenerated 字段的值 。
  • 引入的警报: 警报中包含的第一个事件或活动的时间。
Status string 生命周期内警报的状态。 [新增/正在进行/已解决/已消除/未知]
SystemAlertId 字符串 Microsoft Sentinel 中警报的内部唯一 ID。
策略 string 与警报相关的 MITRE ATT&CK 策略的逗号分隔列表。
方法 string 与警报相关的 MITRE ATT&CK 技术的逗号分隔列表。
TenantId string 租户的唯一 ID。
TimeGenerated datetime 生成警报的时间 (UTC)。
类型 string 常量(“SecurityAlert”)
VendorName 字符串 生成警报的产品的供应商。
VendorOriginalId 字符串 特定警报实例的唯一 ID,由原始产品设置。
WorkspaceResourceGroup 字符串 已弃用
WorkspaceSubscriptionId 字符串 已弃用

后续步骤

详细了解安全警报和分析规则: