schemareferenz für sicherheitswarnungen Microsoft Sentinel

Microsoft Sentinel Analyseregeln erstellen Incidents als Ergebnis von Sicherheitswarnungen. Sicherheitswarnungen können aus verschiedenen Quellen stammen und entsprechend verschiedene Arten von Analyseregeln verwenden, um Incidents zu erstellen:

  • Geplante Analyseregeln generieren Warnungen als Ergebnis ihrer regelmäßigen Abfragen von Daten in Protokollen, die aus externen Quellen erfasst werden, und dieselben Regeln erstellen Incidents aus diesen Warnungen. (Für die Zwecke dieses Dokuments enthalten "geplante" Regelwarnungen NRT-Regelwarnungen.)

  • Microsoft-Sicherheitsanalyseregeln erstellen Incidents aus Warnungen, die unverändert von anderen Microsoft-Sicherheitsprodukten erfasst werden, z. B. Microsoft Defender XDR und Microsoft Defender für Cloud.

Unabhängig von der Quelle werden diese Warnungen alle zusammen in der Tabelle SecurityAlert in Ihrem Log Analytics-Arbeitsbereich gespeichert. In diesem Artikel wird das Schema dieser Tabelle beschrieben.

Da Warnungen aus vielen Quellen stammen, werden nicht alle Felder von allen Anbietern verwendet. Einige Felder werden möglicherweise leer gelassen.

Schemadefinitionen

Spaltenname Typ Beschreibung
AlertLink string Ein Link zur Warnung im Portal des Ursprungsprodukts.
AlertName string Der Anzeigename der Warnung.
  • Geplante Regelwarnungen: Stammen aus dem Regelnamen.
  • Erfasste Warnungen: Der Anzeigename der Warnung im Ursprungsprodukt.
AlertSeverity string Der Schweregrad der Warnung. [Informational / Low / Medium / High]
AlertType string Der Warnungstyp.
  • Geplante Regelwarnungen: Stammen aus der Regel-ID.
  • Erfasste Warnungen: Einige Produkte gruppieren ihre Warnungen nach Typ. In einigen Fällen kann mit dem Produktnamen identisch oder gleichbedeutend mit dem Produktnamen sein.
CompromisedEntity string Der Anzeigename der Hauptentität, für die eine Warnung ausgegeben wird.
ConfidenceLevel string Die Zuverlässigkeitsstufe dieser Warnung: Wie sicher ist der Anbieter, dass es sich nicht um ein falsch positives Ergebnis handelt.
ConfidenceScore real Die Zuverlässigkeitsbewertung der Warnung auf einer Skala von 0,0 bis 1,0, falls zutreffend. Diese Eigenschaft ermöglicht eine präzisere Darstellung des Konfidenzniveaus der Warnung im Vergleich zum ConfidenceLevel-Feld.
Beschreibung string Die Beschreibung der Warnung.
DisplayName string Der Anzeigename der Warnung. Synonym mit AlertName , aber aus Gründen der Kompatibilität beibehalten.
EndTime Datum/Uhrzeit Die Endzeit der Auswirkung der Warnung.
  • Geplante Regelwarnungen: Der Wert des Felds TimeGenerated für das letzte Ereignis , das von der Abfrage erfasst wurde.
  • Erfasste Warnungen: Der Zeitpunkt des letzten Ereignisses oder der letzten Aktivität, das bzw. die in der Warnung enthalten ist.
Entities string Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste kann eine Kombination von Entitäten unterschiedlicher Typen enthalten. Bei den Entitätstypen kann es sich um beliebige typen handeln, die im Schema definiert sind, wie in der Entitätsdokumentation beschrieben.
ExtendedLinks string Eine Tasche (eine Sammlung) für alle Links im Zusammenhang mit der Warnung. Diese Tasche kann eine Kombination von Links verschiedener Typen enthalten.
ExtendedProperties string Eine Auflistung anderer Eigenschaften der Warnung, einschließlich benutzerdefinierter Eigenschaften. Alle in der Warnung definierten benutzerdefinierten Details und alle dynamischen Inhalte in den Warnungsdetails werden hier gespeichert.
IsIncident Boolescher Wert VERALTET. Immer auf FALSE festgelegt.
ProcessingEndTime Datum/Uhrzeit Der Zeitpunkt der Veröffentlichung der Warnung.
  • Geplante Regelwarnungen: Der Wert des Felds TimeGenerated .
  • Erfasste Warnungen: Die Zeit, zu der das Ursprungsprodukt die Erstellung der Warnung abgeschlossen hat.
ProductComponentName string Der Name der Komponente des Produkts, das die Warnung generiert hat.
Produktname string Der Name des Produkts, das die Warnung generiert hat.
ProviderName string Der Name des Warnungsanbieters (der Dienst innerhalb des Produkts), der die Warnung generiert hat.
RemediationSteps string Eine Liste der Aktionselemente, die ausgeführt werden müssen, um die Warnung zu korrigieren.
Resourceid string Ein eindeutiger Bezeichner für die Ressource, die Gegenstand der Warnung ist.
SourceComputerId string VERALTET. Die Agent-ID auf dem Server, der die Warnung erstellt hat.
SourceSystem string VERALTET. Immer mit der Zeichenfolge "Detection" aufgefüllt.
StartTime Datum/Uhrzeit Die Startzeit der Auswirkungen der Warnung.
  • Warnungen für geplante Regeln: Der Wert des Felds TimeGenerated für das erste Ereignis , das von der Abfrage erfasst wird.
  • Erfasste Warnungen: Der Zeitpunkt des ersten Ereignisses oder der ersten Aktivität, das in der Warnung enthalten ist.
Status string Die status der Warnung innerhalb des Lebenszyklus. [Neu / InProgress / Aufgelöst / Verworfen / Unbekannt]
SystemAlertId string Die interne eindeutige ID für die Warnung in Microsoft Sentinel.
Taktik string Eine durch Trennzeichen abgegrenzte Liste von MITRE ATT-&CK-Taktiken, die der Warnung zugeordnet sind.
Techniken string Eine durch Trennzeichen abgegrenzte Liste von MITRE ATT-&CK-Techniken, die der Warnung zugeordnet sind.
TenantId string Die eindeutige ID des Mandanten.
TimeGenerated Datum/Uhrzeit Der Zeitpunkt, zu dem die Warnung generiert wurde (in UTC).
Type string Die Konstante ("SecurityAlert")
VendorName string Der Anbieter des Produkts, das die Warnung ausgegeben hat.
VendorOriginalId string Eindeutige ID für die spezifische Warnung instance, die vom Ursprungsprodukt festgelegt wird.
WorkspaceResourceGroup string VERALTET
WorkspaceSubscriptionId string VERALTET

Nächste Schritte

Erfahren Sie mehr über Sicherheitswarnungen und Analyseregeln:

  • Last updated on