共用方式為

Microsoft Sentinel 安全警报架构参考

重要

注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。

Microsoft Sentinel 分析规则 会根据 安全警报创建事件。 安全警报可能来自不同来源,并相应地使用不同类型的分析规则来创建事件:

  • 计划 分析规则根据从外部源引入的日志中的数据的常规查询而生成警报,这些规则从这些警报创建事件。 (出于本文档的目的,“计划”规则警报包括 NRT 规则警报

  • Microsoft安全 分析规则从从其他Microsoft安全产品引入 as-is 的警报创建事件,例如,Microsoft Defender for Cloud。

无论源如何,这些警报都存储在 Log Analytics 工作区的 SecurityAlert 表中。 本文介绍此表的架构。

由于警报来自许多源,并非所有字段都由所有提供程序使用。 某些字段可能留空。

架构定义

列名 类型 DESCRIPTION
AlertLink 字符串 指向原始产品的门户中警报的链接。
AlertName 字符串 警报的显示名称。
  • 计划的规则警报: 取自规则名称。
  • 引入的警报: 原始产品中警报的显示名称。
AlertSeverity 字符串 警报严重性。 [信息性/低/中/高]
AlertType 字符串 警报的类型。
  • 计划规则警报: 从规则 ID 获取。
  • 引入的警报: 某些产品按类型对警报进行分组。 在某些情况下,可能与产品名称相同或同义词。
CompromisedEntity 字符串 正在发出警报的主实体的显示名称。
ConfidenceLevel 字符串 此警报的置信度:确保提供程序不是误报。
ConfidenceScore 真实 警报的置信度分数(如果适用的话)为 0.0-1.0。 与 ConfidenceLevel 字段相比,此属性允许更精细地表示警报的置信度级别。
说明 字符串 警报的说明。
显示名称 字符串 警报的显示名称。 与 AlertName 同义词,但为了兼容而保留。
EndTime 日期/时间 警报影响的结束时间。
  • 计划规则警报:查询捕获的最后一个事件的TimeGenerated 字段的值。
  • 引入的警报: 警报中包含的最后一个事件或活动的时间。
实体 字符串 警报中标识的实体的列表。 此列表可以包含不同类型的实体的组合。 实体的类型可以是架构中定义的任意类型,如 实体文档中所述。
ExtendedLinks 字符串 与警报相关的所有链接的包(集合)。 此包可以包含不同类型的链接的组合。
扩展属性 字符串 警报的其他属性的集合,包括用户定义的属性。 警报中定义的任何 自定义详细信息 以及 警报详细信息中的任何动态内容都存储在此处。
IsIncident 布尔 荒废的。 始终设置为 false
ProcessingEndTime 日期/时间 警报发布的时间。
  • 计划规则警报:TimeGenerated 字段的值。
  • 引入的警报: 原始产品完成警报生产的时间。
ProductComponentName 字符串 生成警报的产品组件的名称。
ProductName 字符串 生成警报的产品的名称。
ProviderName 字符串 生成警报的警报提供程序(产品中的服务)的名称。
RemediationSteps 字符串 要修正警报的作项的列表。
资源ID 字符串 作为警报主题的资源的唯一标识符。
SourceComputerId 字符串 荒废的。 创建警报的服务器上的代理 ID。
SourceSystem 字符串 荒废的。 始终使用字符串“Detection”填充。
StartTime 日期/时间 警报影响的结束时间。
  • 计划规则警报:查询捕获的第一个事件的TimeGenerated 字段的值。
  • 引入的警报: 警报中包含的第一个事件或活动的时间。
Status 字符串 生命周期内警报的状态。 [New / InProgress / Resolved / Dismissed / Unknown]
SystemAlertId 字符串 Microsoft Sentinel 中警报的内部唯一 ID。
策略 字符串 与警报关联的 MITRE ATT&CK 策略的逗号分隔列表。
技术 字符串 与警报关联的 MITRE ATT&CK 技术的逗号分隔列表。
TenantId 字符串 租户的唯一 ID。
TimeGenerated 日期/时间 生成警报的时间(UTC)。
类型 字符串 常量 ('SecurityAlert')
VendorName 字符串 生成警报的产品的供应商。
VendorOriginalId 字符串 由原始产品设置的特定警报实例的唯一 ID。
WorkspaceResourceGroup 字符串 已弃用
WorkspaceSubscriptionId 字符串 已弃用

后续步骤

详细了解安全警报和分析规则: