Esquemas de alertas

Artículo
08/08/2024

Defender for Cloud proporciona alertas que le ayudarán a identificar y comprender las amenazas a la seguridad y responder a ellas. Las alertas se generan cuando Defender for Cloud detecta actividades sospechosas o algún problema relacionado con la seguridad en el entorno. Puede ver estas alertas en el portal de Defender for Cloud o puede exportarlas a herramientas externas para realizar análisis y acciones adicionales.

Puede ver estas alertas de seguridad en las páginas de Microsoft Defender for Cloud (panel de información general, alertas, páginas de estado de recursos o panel de protección de cargas de trabajo) y a través de herramientas externas como:

Microsoft Sentinel: SIEM nativo de la nube de Microsoft. El conector de Sentinel obtiene alertas de Microsoft Defender for Cloud y las envía al área de trabajo de Log Analytics para Microsoft Sentinel.
SIEM de terceros: enviar datos a Azure Event Hubs. Luego, integre los datos de Event Hubs con un SIEM de terceros. Puede encontrar más información en Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR.
La API REST: si usa la API REST para acceder a las alertas, consulte la documentación de Alerts API en línea.

Si utiliza cualquier método de programación para consumir las alertas, necesita el esquema correcto para encontrar los campos de interés para usted. Además, si va a realizar la exportación a una instancia de Event Hubs o va a intentar desencadenar la automatización del flujo de trabajo con conectores HTTP genéricos, debe usar esquemas para analizar correctamente los objetos JSON.

Importante

Dado que el esquema es diferente para cada uno de estos escenarios, asegúrese de seleccionar la pestaña correspondiente.

Los esquemas

El conector de Sentinel obtiene alertas de Microsoft Defender for Cloud y las envía al área de trabajo de Log Analytics para Microsoft Sentinel.

Para crear un caso o incidente de Microsoft Sentinel mediante alertas de Defender for Cloud, necesita el esquema para esas alertas que se muestran.

Obtenga más información en la documentación de Microsoft Sentinel.

El modelo de datos del esquema

Campo	Descripción
AlertName	Nombre para mostrar de la alerta
AlertType	Identificador único de la alerta
ConfidenceLevel	(Opcional) El nivel de confianza de esta alerta (alta/baja)
ConfidenceScore	(Opcional) Indicador de confianza numérico de la alerta de seguridad
Descripción	Texto de descripción para la alerta
DisplayName	Nombre para mostrar de la alerta
EndTime	Hora de finalización del impacto de la alerta (es la hora del último evento que contribuyó a la alerta)
Entidades	Lista de entidades relacionadas con la alerta. Esta lista puede contener una combinación de entidades de diversos tipos
ExtendedLinks	(Opcional) Un contenedor para todos los vínculos relacionados con la alerta. Este contenedor puede contener una combinación de vínculos para diversos tipos
ExtendedProperties	Un contenedor de campos adicionales que son pertinentes para la alerta
IsIncident	Determina si la alerta es un incidente o una alerta normal. Un incidente es una alerta de seguridad que agrega varias alertas a un incidente de seguridad.
ProcessingEndTime	Marca de tiempo UTC en la que se creó la alerta
ProductComponentName	(Opcional) Nombre de un componente dentro del producto que generó la alerta
ProductName	Constante ("Azure Security Center")
ProviderName	unused
RemediationSteps	Elementos de acción manual que se deben llevar a cabo para corregir la amenaza de seguridad
ResourceId	Identificador completo del recurso afectado
Gravedad	La gravedad de alerta (alta/media/baja/informativa)
SourceComputerId	Un GUID único para el servidor afectado (si la alerta se genera en el servidor)
SourceSystem	unused
StartTime	Hora de inicio del impacto de la alerta (es la hora del primer evento que contribuyó a la alerta)
SystemAlertId	Identificador único de esta instancia de alerta de seguridad
TenantId	El identificador del inquilino principal de Azure Active Directory de la suscripción en la que reside el recurso examinado
TimeGenerated	Marca de tiempo UTC en la que tuvo lugar la evaluación (hora del examen de Security Center) (idéntica a DiscoveredTimeUTC)
Tipo	Constante ("SecurityAlert")
VendorName	Nombre del proveedor que proporcionó la alerta (p. ej., "Microsoft").
VendorOriginalId	unused
WorkspaceResourceGroup	En caso de que la alerta se genere en una instancia de máquina virtual, de Server, del conjunto de escalado de máquinas virtuales o de App Service que informe a un área de trabajo, contiene ese nombre del grupo de recursos del área de trabajo
WorkspaceSubscriptionId	En caso de que la alerta se genere en una instancia de máquina virtual, de Server, del conjunto de escalado de máquinas virtuales o de App Service que informe a un área de trabajo, contiene ese subscriptionId del área de trabajo

Las auditorías de Microsoft Defender for Cloud generaron alertas de seguridad como eventos en el registro de actividad de Azure.

Para ver los eventos de las alertas de seguridad en el registro de actividad, busque el evento Activar alerta como se muestra:

JSON de ejemplo para alertas enviadas al registro de actividad de Azure

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

El modelo de datos del esquema

Campo	Descripción
channels	Constante, "Operation"
correlationId	El identificador de alerta de Microsoft Defender for Cloud
description	Descripción de la alerta
eventDataId	Consulte correlationId
eventName	Los subcampos value y localizedValue contienen el nombre para mostrar de la alerta
category	Los subcampos Value y localizedValue son constantes: "Security"
eventTimestamp	La marca de tiempo UTC de cuando se generó la alerta
id	Identificador completo de la alerta
level	Constante, "Informational"
operationId	Consulte correlationId
operationName	El campo de valor es constante: `Microsoft.Security/locations/alerts/activate/action`, y el valor localizado es `Activate Alert` (puede localizarse potencialmente según la configuración regional del usuario).
resourceGroupName	Incluye el nombre del grupo de recursos.
resourceProviderName	Los subcampos value y localizedValue son constantes: "Microsoft.Security"
resourceType	Los subcampos value y localizedValue son constantes: "Microsoft.Security/locations/alerts"
resourceId	El identificador de recursos de Azure completo
status	Los subcampos value y localizedValue son constantes: "Active"
subStatus	Los subcampos value y localizedValue están vacíos
submissionTimestamp	Marca de tiempo UTC del envío de eventos al registro de actividad
subscriptionId	Identificador de suscripción del recurso en peligro
properties	Un contenedor JSON de otras propiedades relacionadas con la alerta. Las propiedades pueden cambiar de una alerta a la otra; sin embargo, los siguientes campos aparecen en todas las alertas: - severity: la gravedad del ataque - compromisedEntity: el nombre del recurso en peligro - remediationSteps: matriz de pasos de corrección que se deben realizar - intent: La intención de la cadena de eliminación de la alerta. Las posibles intenciones se documentan en la tabla de intenciones
relatedEvents	Constante: matriz vacía

Áreas de trabajo de Log Analytics: Azure Monitor almacena los datos de registro en un área de trabajo de Log Analytics, un contenedor que incluye información de configuración y datos
Microsoft Sentinel: SIEM nativo de la nube de Microsoft
Azure Event Hubs: servicio de ingesta de datos en tiempo real y totalmente administrado de Microsoft

Paso siguiente

Exportación continua de datos de Defender para nube

Compartir a través de

Esquemas de alertas

Los esquemas

El modelo de datos del esquema

JSON de ejemplo para alertas enviadas al registro de actividad de Azure

El modelo de datos del esquema

Paso siguiente

Comentarios

Recursos adicionales

Compartir a través de

Esquemas de alertas

Los esquemas

El modelo de datos del esquema

Artículos relacionados

Paso siguiente

Comentarios

Recursos adicionales