重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
Microsoft Sentinel 分析规则 会根据 安全警报创建事件。 安全警报可能来自不同来源,并相应地使用不同类型的分析规则来创建事件:
计划 分析规则根据从外部源引入的日志中的数据的常规查询而生成警报,这些规则从这些警报创建事件。 (出于本文档的目的,“计划”规则警报包括 NRT 规则警报。
Microsoft安全 分析规则从从其他Microsoft安全产品引入 as-is 的警报创建事件,例如,Microsoft Defender for Cloud。
无论源如何,这些警报都存储在 Log Analytics 工作区的 SecurityAlert 表中。 本文介绍此表的架构。
由于警报来自许多源,并非所有字段都由所有提供程序使用。 某些字段可能留空。
架构定义
列名 | 类型 | DESCRIPTION |
---|---|---|
AlertLink | 字符串 | 指向原始产品的门户中警报的链接。 |
AlertName | 字符串 | 警报的显示名称。
|
AlertSeverity | 字符串 | 警报严重性。 [信息性/低/中/高] |
AlertType | 字符串 | 警报的类型。
|
CompromisedEntity | 字符串 | 正在发出警报的主实体的显示名称。 |
ConfidenceLevel | 字符串 | 此警报的置信度:确保提供程序不是误报。 |
ConfidenceScore | 真实 | 警报的置信度分数(如果适用的话)为 0.0-1.0。 与 ConfidenceLevel 字段相比,此属性允许更精细地表示警报的置信度级别。 |
说明 | 字符串 | 警报的说明。 |
显示名称 | 字符串 | 警报的显示名称。 与 AlertName 同义词,但为了兼容而保留。 |
EndTime | 日期/时间 | 警报影响的结束时间。
|
实体 | 字符串 | 警报中标识的实体的列表。 此列表可以包含不同类型的实体的组合。 实体的类型可以是架构中定义的任意类型,如 实体文档中所述。 |
ExtendedLinks | 字符串 | 与警报相关的所有链接的包(集合)。 此包可以包含不同类型的链接的组合。 |
扩展属性 | 字符串 | 警报的其他属性的集合,包括用户定义的属性。 警报中定义的任何 自定义详细信息 以及 警报详细信息中的任何动态内容都存储在此处。 |
IsIncident | 布尔 | 荒废的。 始终设置为 false。 |
ProcessingEndTime | 日期/时间 | 警报发布的时间。
|
ProductComponentName | 字符串 | 生成警报的产品组件的名称。 |
ProductName | 字符串 | 生成警报的产品的名称。 |
ProviderName | 字符串 | 生成警报的警报提供程序(产品中的服务)的名称。 |
RemediationSteps | 字符串 | 要修正警报的作项的列表。 |
资源ID | 字符串 | 作为警报主题的资源的唯一标识符。 |
SourceComputerId | 字符串 | 荒废的。 创建警报的服务器上的代理 ID。 |
SourceSystem | 字符串 | 荒废的。 始终使用字符串“Detection”填充。 |
StartTime | 日期/时间 | 警报影响的结束时间。
|
Status | 字符串 | 生命周期内警报的状态。 [New / InProgress / Resolved / Dismissed / Unknown] |
SystemAlertId | 字符串 | Microsoft Sentinel 中警报的内部唯一 ID。 |
策略 | 字符串 | 与警报关联的 MITRE ATT&CK 策略的逗号分隔列表。 |
技术 | 字符串 | 与警报关联的 MITRE ATT&CK 技术的逗号分隔列表。 |
TenantId | 字符串 | 租户的唯一 ID。 |
TimeGenerated | 日期/时间 | 生成警报的时间(UTC)。 |
类型 | 字符串 | 常量 ('SecurityAlert') |
VendorName | 字符串 | 生成警报的产品的供应商。 |
VendorOriginalId | 字符串 | 由原始产品设置的特定警报实例的唯一 ID。 |
WorkspaceResourceGroup | 字符串 | 已弃用 |
WorkspaceSubscriptionId | 字符串 | 已弃用 |
后续步骤
详细了解安全警报和分析规则: