你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel分析规则创建事件作为安全警报的结果。 安全警报可能来自不同的源,并相应地使用不同类型的分析规则来创建事件:
计划 分析规则通过定期查询从外部源引入的日志中的数据生成警报,这些相同的规则会从这些警报创建事件。 (对于本文档,“计划”规则警报包括 NRT 规则警报。)
Microsoft安全分析规则从其他Microsoft安全产品(例如 Microsoft Defender XDR 和 Microsoft Defender for Cloud)按原样引入的警报创建事件。
无论源如何,这些警报都一起存储在 Log Analytics 工作区的 SecurityAlert 表中。 本文介绍此表的架构。
由于警报来自许多源,并非所有字段都由所有提供程序使用。 某些字段可能留空。
架构定义
| 列名称 | 类型 | 说明 |
|---|---|---|
| AlertLink | string | 指向原始产品的门户中警报的链接。 |
| AlertName | string | 警报的显示名称。
|
| AlertSeverity | string | 警报的严重性。 [信息/低/中/高] |
| AlertType | string | 警报的类型。
|
| CompromisedEntity | string | 正在发出警报的主实体的显示名称。 |
| ConfidenceLevel | string | 此警报的置信度:提供程序是否确定这不是误报。 |
| ConfidenceScore | 实数 | 警报的置信度分数(如果适用),其比例为 0.0-1.0。 与 ConfidenceLevel 字段相比,此属性允许更精细地表示警报的置信度级别。 |
| 说明 | string | 警报的说明。 |
| DisplayName | string | 警报的显示名称。 与 AlertName 同义,但为了兼容而保留。 |
| EndTime | datetime | 警报影响的结束时间。
|
| Entities | string | 警报中标识的实体的列表。 此列表可以包含不同类型的实体的组合。 实体的类型可以是架构中定义的任意类型,如 实体文档中所述。 |
| ExtendedLinks | string | 包 (与警报相关的所有链接的集合) 。 此包可以包含不同类型的链接的组合。 |
| ExtendedProperties | string | 警报的其他属性的集合,包括用户定义的属性。 警报中定义的任何 自定义详细信息 以及 警报详细信息中的任何动态内容都存储在此处。 |
| IsIncident | boolean | 废弃。 始终设置为 false。 |
| ProcessingEndTime | datetime | 警报的发布时间。
|
| ProductComponentName | string | 生成警报的产品的组件的名称。 |
| ProductName | string | 生成警报的产品的名称。 |
| ProviderName | string | 警报提供程序的名称 (生成警报的产品) 中的服务。 |
| RemediationSteps | string | 修正警报所要执行的操作项的列表。 |
| ResourceId | string | 作为警报主题的资源的唯一标识符。 |
| SourceComputerId | string | 废弃。 创建警报的服务器上的代理 ID。 |
| SourceSystem | string | 废弃。 始终使用字符串“Detection”填充。 |
| StartTime | datetime | 警报影响的开始时间。
|
| 状态 | string | 生命周期内警报的状态。 [New / InProgress / Resolved / Dismissed / Unknown] |
| SystemAlertId | string | Microsoft Sentinel中警报的内部唯一 ID。 |
| 策略 | string | MITRE ATT 的逗号分隔列表&与警报关联的 CK 策略。 |
| 技术 | string | MITRE ATT 的逗号分隔列表,&与警报关联的 CK 技术。 |
| TenantId | string | 租户的唯一 ID。 |
| TimeGenerated | datetime | 以 UTC) (生成警报的时间。 |
| Type | string | 常量 ('SecurityAlert') |
| VendorName | string | 生成警报的产品的供应商。 |
| VendorOriginalId | string | 由原始产品设置的特定警报实例的唯一 ID。 |
| WorkspaceResourceGroup | string | 废弃 |
| WorkspaceSubscriptionId | string | 废弃 |
后续步骤
详细了解安全警报和分析规则: