مخططات التنبيهات

مقالة
08/07/2024

يوفر Defender for Cloud تنبيهات تساعدك على تحديد التهديدات الأمنية وفهمها والاستجابة لها. يتم إنشاء التنبيهات عندما يكتشف Defender for Cloud نشاطا مشبوها أو مشكلة متعلقة بالأمان في بيئتك. يمكنك عرض هذه التنبيهات في مدخل Defender for Cloud، أو يمكنك تصديرها إلى أدوات خارجية لمزيد من التحليل والاستجابة.

يمكنك عرض تنبيهات الأمان هذه في صفحات Microsoft Defender for Cloud - لوحة معلومات النظرة العامة أو التنبيهات أو صفحات صحة الموارد أو لوحة معلومات حماية حمل العمل - ومن خلال أدوات خارجية مثل:

Microsoft Sentinel - SIEM السحابي الأصلي من Microsoft. يحصل موصل Sentinel على تنبيهات من Microsoft Defender for Cloud ويرسلها إلى مساحة عمل Log Analytics لـMicrosoft Sentinel.
SIEMs التابعة لجهة خارجية - إرسال البيانات إلى مراكز أحداث Azure. ثم قم بدمج بيانات Event Hubs مع SIEM تابع لجهة خارجية. تعرف على المزيد في تنبيهات Stream إلى حل إدارة خدمة SIM أو SOAR أو تكنولوجيا المعلومات.
واجهة برمجة تطبيقات REST - إذا كنت تستخدم واجهة برمجة تطبيقات REST للوصول إلى التنبيهات، فشاهد وثائق واجهة برمجة تطبيقات التنبيهات عبر الإنترنت.

إذا كنت تستخدم أي أساليب برمجية لاستهلاك التنبيهات، فأنت بحاجة إلى المخطط الصحيح للعثور على الحقول ذات الصلة بك. أيضا، إذا كنت تقوم بالتصدير إلى مراكز الأحداث أو تحاول تشغيل أتمتة سير العمل باستخدام موصلات HTTP عامة، يجب استخدام المخططات لتحليل كائنات JSON بشكل صحيح.

هام

نظرا لأن المخطط مختلف لكل سيناريو من هذه السيناريوهات، تأكد من تحديد علامة التبويب ذات الصلة.

المخططات

يحصل موصل Sentinel على تنبيهات من Microsoft Defender for Cloud ويرسلها إلى مساحة عمل Log Analytics لـMicrosoft Sentinel.

لإنشاء حالة أو حدث Microsoft Sentinel باستخدام تنبيهات Defender for Cloud، تحتاج إلى مخطط لتلك التنبيهات المعروضة.

تعرف على المزيد في وثائق Microsoft Sentinel.

نموذج بيانات المخطط

الحقل	‏‏الوصف
اسم التنبيه	اسم عرض التنبيه
نوع التنبيه	معرف التنبيه الفريد
ConfidenceLevel	(اختياري) مستوى الثقة لهذا التنبيه (مرتفع/منخفض)
ConfidenceScore	(اختياري) مؤشر الثقة الرقمية لتنبيه الأمان
الوصف	نص الوصف للتنبيه
DisplayName	اسم عرض التنبيه
EndTime	وقت انتهاء تأثير التنبيه (وقت الحدث الأخير المساهم في التنبيه)
الكيانات	قائمة بالكيانات المتعلقة بالتنبيه. يمكن أن تحتوي هذه القائمة على مزيج من الكيانات من أنواع متنوعة
ExtendedLinks	(اختياري) حقيبة لجميع الارتباطات المتعلقة بالتنبيه. يمكن أن تحمل هذه الحقيبة مزيجا من الارتباطات للأنواع المتنوعة
ExtendedProperties	حقيبة من الحقول الإضافية، ذات الصلة بالتنبيه
IsIncident	تحديد ما إذا كان التنبيه حادثًا أو تنبيها منتظمًا. الحدث هو تنبيه أمني يجمع تنبيهات متعددة في حادث أمان واحد
ProcessingEndTime	الطابع الزمني UTC الذي تم فيه إنشاء التنبيه
ProductComponentName	(اختياري) اسم مكون داخل المنتج، الذي أنشأ التنبيه.
اسم المنتج	ثابت ('مركز أمان Azure')
اسم الموفر	غير مستخدم
RemediationSteps	عناصر الإجراءات اليدوية التي يجب اتخاذها لمعالجة تهديد الأمان
معرف المورد	المعرف الكامل للمورد المتأثر
الخطورة	شدة التنبيه (عالية/متوسطة/منخفضة/إعلامية)
SourceComputerId	GUID فريد للخادم المتأثر (إذا تم إنشاء التنبيه على الخادم)
نظام المصدر	غير مستخدم
StartTime	وقت بدء تأثير التنبيه (وقت الحدث الأول الذي يساهم في التنبيه)
معرّف تنبيه النظام	المعرف الفريد لمثيل تنبيه الأمان هذا
TenantId	معرف مستأجر معرف Microsoft Entra الأصل للاشتراك الذي يوجد بموجبه المورد الممسوح ضوئيا
TimeGenerated	الطابع الزمني UTC الذي تم التقييم عليه (وقت فحص مركز الأمان) (مطابق لـ DiscoveredTimeUTC)
النوع	ثابت ('SecurityAlert')
اسم المورد	اسم المورد الذي قدم التنبيه (على سبيل المثال، "Microsoft")
VendorOriginalId	غير مستخدم
WorkspaceResourceGroup	في حالة إنشاء التنبيه على جهاز ظاهري (VM) أو خادم أو مجموعة مقياس الجهاز الظاهري أو مثيل App Service الذي يبلغ عن مساحة عمل، يحتوي على اسم مجموعة موارد مساحة العمل هذه
WorkspaceSubscriptionId	في حالة إنشاء التنبيه على جهاز ظاهري أو خادم أو مجموعة مقياس الجهاز الظاهري أو مثيل App Service الذي يقدم تقارير إلى مساحة عمل، يحتوي على معرف اشتراك مساحة العمل هذا

تقوم Microsoft Defender for Cloud بمراجعة تنبيهات الأمان التي تم إنشاؤها كأحداث في سجل نشاط Azure.

يمكنك عرض أحداث تنبيهات الأمان في سجل النشاط عن طريق البحث عن حدث تنشيط التنبيه كما هو موضح:

نموذج JSON للتنبيهات المرسلة إلى سجل نشاط Azure

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

نموذج بيانات المخطط

الحقل	‏‏الوصف
القنوات	ثابت، "عملية"
correlationId	معرف تنبيه Microsoft Defender for Cloud
الوصف	وصف التنبيه
معرف بيانات الحدث	راجع معرف الارتباط
eventName	تحتوي القيمة والحقول الفرعية localizedValue على اسم عرض التنبيه
الفئة	القيمة والحقول الفرعية localizedValue ثابتة - "الأمان"
الطابع الزمني للحدث	الطابع الزمني UTC لوقت إنشاء التنبيه
معرف	معرف التنبيه المؤهل بالكامل
مستوى	ثابت، "إعلامي"
معرف العملية	راجع معرف الارتباط
اسم العملية	حقل القيمة ثابت - `Microsoft.Security/locations/alerts/activate/action`والقيمة المترجمة هي `Activate Alert` (من المحتمل أن تكون مترجمة على قدم المساواة مع إعدادات المستخدم المحلية)
resourceGroupName	يتضمن اسم مجموعة الموارد
resourceProviderName	القيمة والحقول الفرعية localizedValue ثابتة - "Microsoft.Security"
resourceType	القيمة والحقول الفرعية localizedValue ثابتة - "Microsoft.Security/locations/alerts"
resourceId	معرف مورد Azure المؤهل بالكامل
الحالة	القيمة والحقول الفرعية localizedValue ثابتة - "نشطة"
subStatus	القيمة والحقول الفرعية localizedValue فارغة
طابع وقت الإرسال	الطابع الزمني UTC لإرسال الحدث إلى سجل النشاط
subscriptionId	معرف الاشتراك للمورد الذي تم اختراقه
الخصائص	حقيبة JSON من الخصائص الأخرى المتعلقة بالتنبيه. يمكن تغيير الخصائص من تنبيه إلى آخر، ومع ذلك، تظهر الحقول التالية في جميع التنبيهات: - الخطورة: شدة الهجوم - compromisedEntity: اسم المورد المخترق - خطوات المعالجة: صفيف من خطوات المعالجة التي يجب اتخاذها - الهدف: هدف سلسلة القتل للتنبيه. يتم توثيق الأهداف المحتملة في جدول الأهداف
الأحداث ذات الصلة	ثابت - صفيف فارغ

مساحات عمل Log Analytics - يخزن Azure Monitor بيانات السجل في مساحة عمل Log Analytics، وهي حاوية تتضمن معلومات البيانات والتكوين
Microsoft Sentinel - SIEM السحابي الأصلي من Microsoft
مركز أحداث Azure - خدمة استيعاب البيانات المدارة بالكامل في الوقت الحقيقي من Microsoft

الخطوة التالية

التصدير المستمر لبيانات Defender for Cloud

مشاركة عبر

مخططات التنبيهات

المخططات

نموذج بيانات المخطط

نموذج JSON للتنبيهات المرسلة إلى سجل نشاط Azure

نموذج بيانات المخطط

الخطوة التالية

الملاحظات

الموارد الإضافية

مشاركة عبر

مخططات التنبيهات

المخططات

نموذج بيانات المخطط

المقالات ذات الصلة

الخطوة التالية

الملاحظات

الموارد الإضافية