Informazioni di riferimento sullo schema degli avvisi di sicurezza di Microsoft Sentinel

  • Articolo

Le regole di analisi di Microsoft Sentinel creano eventi imprevisti come risultato degli avvisi di sicurezza. Gli avvisi di sicurezza possono provenire da origini diverse e usare di conseguenza diversi tipi di regole di analisi per creare eventi imprevisti:

  • Le regole di analisi pianificate generano avvisi come risultato delle query regolari dei dati nei log inseriti da origini esterne e queste stesse regole creano eventi imprevisti da tali avvisi. Ai fini di questo documento, gli avvisi delle regole "pianificati" includono Avvisi delle regole NRT.

  • Le regole di analisi della sicurezza Microsoft creano eventi imprevisti da avvisi inseriti così come sono provenienti da altri prodotti di sicurezza Microsoft, ad esempio Microsoft Defender XDR e Microsoft Defender per il cloud.

Indipendentemente dall'origine, questi avvisi vengono tutti archiviati insieme nella tabella SecurityAlert nell'area di lavoro Log Analytics. Questo articolo descrive lo schema di questa tabella.

Poiché gli avvisi provengono da molte origini, non tutti i campi vengono usati da tutti i provider. Alcuni campi potrebbero essere lasciati vuoti.

Definizioni dello schema

Nome colonna Tipo Descrizione
AlertLink string Collegamento all'avviso nel portale del prodotto di origine.
AlertName string Nome visualizzato dell'avviso.
  • Avvisi delle regole pianificati: ricavati dal nome della regola.
  • Avvisi inseriti: nome visualizzato dell'avviso nel prodotto di origine.
AlertSeverity string La gravità dell'avviso. [Informativo/Basso/Medio/Alto]
AlertType string Tipo di avviso.
  • Avvisi delle regole pianificati: ricavati dall'ID regola.
  • Avvisi inseriti: alcuni prodotti raggruppano gli avvisi per tipo. In alcuni casi, può essere identico o sinonimo del nome del prodotto.
CompromisedEntity string Nome visualizzato dell'entità principale in cui viene visualizzato un avviso.
ConfidenceLevel string Livello di attendibilità di questo avviso: come assicurarsi che il provider non sia un falso positivo.
ConfidenceScore real Punteggio di attendibilità dell'avviso, su una scala di 0,0-1,0, se applicabile. Questa proprietà consente una rappresentazione più dettagliata del livello di attendibilità dell'avviso rispetto al campo ConfidenceLevel.
Descrizione string Descrizione dell'avviso.
DisplayName string Nome visualizzato dell'avviso. Sinonimo di AlertName ma mantenuto per la compatibilità.
EndTime datetime Ora di fine dell'impatto dell'avviso.
  • Avvisi delle regole pianificate: valore del campo TimeGenerated per l'ultimo evento acquisito dalla query.
  • Avvisi inseriti: l'ora dell'ultimo evento o dell'attività inclusa nell'avviso.
Entità string Elenco delle entità identificate nell'avviso. Questo elenco può includere una combinazione di entità di tipi diversi. I tipi di entità possono essere uno qualsiasi di quelli definiti nello schema, come descritto nella documentazione delle entità.
ExtendedLinks string Contenitore (raccolta) per tutti i collegamenti correlati all'avviso. Questa borsa può includere una combinazione di collegamenti di tipi diversi.
ExtendedProperties string Raccolta di altre proprietà dell'avviso, incluse le proprietà definite dall'utente. Tutti i dettagli personalizzati definiti nell'avviso e qualsiasi contenuto dinamico nei dettagli dell'avviso vengono archiviati qui.
IsIncident boolean DEPRECATO. Impostare sempre su false.
ProcessingEndTime datetime Ora della pubblicazione dell'avviso.
  • Avvisi delle regole pianificate: valore del campo TimeGenerated .
  • Avvisi inseriti: ora in cui il prodotto di origine completa la produzione dell'avviso.
ProductComponentName string Nome del componente del prodotto che ha generato l'avviso.
ProductName string Nome del prodotto che ha generato l'avviso.
ProviderName string Nome del provider di avvisi (il servizio all'interno del prodotto) che ha generato l'avviso.
CorrezioneSteps string Elenco di elementi di azione da eseguire per correggere l'avviso.
ResourceId string Identificatore univoco per la risorsa oggetto dell'avviso.
SourceComputerId string DEPRECATO. ID agente nel server che ha creato l'avviso.
SourceSystem string DEPRECATO. Popolato sempre con la stringa "Rilevamento".
StartTime datetime Ora di inizio dell'impatto dell'avviso.
  • Avvisi delle regole pianificate: valore del campo TimeGenerated per il primo evento acquisito dalla query.
  • Avvisi inseriti: l'ora del primo evento o dell'attività inclusa nell'avviso.
Stato string Stato dell'avviso all'interno del ciclo di vita. [Nuovo/InProgress/Risolto/Ignorato/Sconosciuto]
SystemAlertId string ID univoco interno per l'avviso in Microsoft Sentinel.
Tattiche string Elenco delimitato da virgole delle tattiche MITRE ATT&CK associate all'avviso.
Tecniche string Elenco delimitato da virgole delle tecniche MITRE ATT&CK associate all'avviso.
TenantId string ID univoco del tenant.
TimeGenerated datetime Ora in cui è stato generato l'avviso (in formato UTC).
Type string Costante ('SecurityAlert')
VendorName string Fornitore del prodotto che ha generato l'avviso.
VendorOriginalId string ID univoco per l'istanza di avviso specifica, impostata dal prodotto di origine.
WorkspaceResourceGroup string DEPRECATO
WorkspaceSubscriptionId string DEPRECATO

Passaggi successivi

Altre informazioni sugli avvisi di sicurezza e sulle regole di analisi: