Referência do esquema de alerta de segurança do Microsoft Sentinel

  • Artigo

As regras de análise do Microsoft Sentinel criam incidentes como resultado de alertas de segurança. Os alertas de segurança podem vir de diferentes fontes e, consequentemente, usar diferentes tipos de regras de análise para criar incidentes:

  • As regras de análise agendada geram alertas como resultado de suas consultas regulares de dados em logs ingeridos de fontes externas, e essas mesmas regras criam incidentes a partir desses alertas. (Para efeitos do presente documento, os alertas de regras "agendadas" incluem Alertas de regras NRT.)

  • As regras de análise de segurança da Microsoft criam incidentes a partir de alertas que são ingeridos como estão de outros produtos de segurança da Microsoft, por exemplo, Microsoft Defender XDR e Microsoft Defender for Cloud.

Independentemente da origem, esses alertas são todos armazenados juntos na tabela SecurityAlert no espaço de trabalho do Log Analytics. Este artigo descreve o esquema desta tabela.

Como os alertas vêm de muitas fontes, nem todos os campos são usados por todos os provedores. Alguns campos podem ser deixados em branco.

Definições de esquema

Nome da Coluna Type Description
AlertLink string Uma ligação para a indicação no portal do produto originário.
Nome do alerta string O nome para exibição do alerta.
  • Alertas de regra agendada: extraídos do nome da regra.
  • Alertas ingeridos: o nome de exibição do alerta no produto originário.
AlertSeverity string A gravidade do alerta. [Informativo / Baixo / Médio / Alto]
Tipo de alerta string O tipo de alerta.
  • Alertas de regra agendada: extraídos do ID da regra.
  • Alertas ingeridos: alguns produtos agrupam os seus alertas por tipo. Em alguns casos, pode ser idêntico ou sinónimo do nome do produto.
Entidade comprometida string O nome de exibição da entidade principal que está sendo alertada.
Nível de Confiança string O nível de confiança deste alerta: quão seguro o provedor tem de que este não é um falso positivo.
Pontuação de Confiança real A pontuação de confiança do alerta, numa escala de 0,0-1,0, se aplicável. Essa propriedade permite uma representação mais refinada do nível de confiança do alerta em comparação com o campo ConfidenceLevel.
Descrição string A descrição do alerta.
DisplayName string O nome para exibição do alerta. Sinônimo de AlertName, mas mantido para compatibilidade.
Tempo de Fim datetime A hora de fim do impacto do alerta.
  • Alertas de regra agendada: o valor do campo TimeGenerated para o último evento capturado pela consulta.
  • Alertas ingeridos: a hora do último evento ou atividade incluída no alerta.
Entidades string Uma lista das entidades identificadas no alerta. Esta lista pode incluir uma combinação de entidades de diferentes tipos. Os tipos de entidades podem ser qualquer um dos definidos no esquema, conforme descrito na documentação das entidades.
ExtendedLinks string Um saco (uma coleção) para todos os links relacionados ao alerta. Este saco pode incluir uma combinação de links de diferentes tipos.
ExtendedProperties string Uma coleção de outras propriedades do alerta, incluindo propriedades definidas pelo usuário. Todos os detalhes personalizados definidos no alerta e qualquer conteúdo dinâmico nos detalhes do alerta são armazenados aqui.
IsIncident boolean PRETERIDO. Sempre definido como false.
ProcessingEndTime datetime A hora da publicação do alerta.
  • Alertas de regra agendada: o valor do campo TimeGerado .
  • Alertas ingeridos: o momento em que o produto originário conclui a produção do alerta.
ProductComponentName string O nome do componente do produto que gerou o alerta.
Nome do Produto string O nome do produto que gerou o alerta.
Nome do provedor string O nome do provedor de alertas (o serviço dentro do produto) que gerou o alerta.
Etapas de remediação string Uma lista de itens de ação a serem executados para corrigir o alerta.
ResourceId string Um identificador exclusivo para o recurso que é o assunto do alerta.
SourceComputerId string PRETERIDO. Foi o ID do agente no servidor que criou o alerta.
SourceSystem [en] string PRETERIDO. Sempre preenchido com a string "Deteção".
Horário de Início datetime A hora de início do impacto do alerta.
  • Alertas de regra agendada: o valor do campo TimeGenerated para o primeiro evento capturado pela consulta.
  • Alertas ingeridos: a hora do primeiro evento ou atividade incluída no alerta.
Status string O status do alerta dentro do ciclo de vida. [Novo / InProgress / Resolvido / Demitido / Desconhecido]
SystemAlertId string A ID exclusiva interna para o alerta no Microsoft Sentinel.
Táticas string Uma lista delineada por vírgulas das táticas MITRE ATT&CK associadas ao alerta.
Técnicas string Uma lista delineada por vírgulas das técnicas MITRE ATT&CK associadas ao alerta.
Identificação do locatário cadeia A ID exclusiva do locatário.
Gerado por tempo datetime A hora em que o alerta foi gerado (em UTC).
Tipo string A constante ('SecurityAlert')
Nome do fornecedor string O fornecedor do produto que produziu o alerta.
VendorOriginalId string ID exclusivo para a instância de alerta específica, definida pelo produto de origem.
WorkspaceResourceGroup string DEPRECADO
WorkspaceSubscriptionId string DEPRECADO

Próximos passos

Saiba mais sobre alertas de segurança e regras de análise: