Skema peringatan

Artikel
08/07/2024

Defender untuk Cloud menyediakan pemberitahuan yang membantu Anda mengidentifikasi, memahami, dan menanggapi ancaman keamanan. Pemberitahuan dihasilkan saat Defender untuk Cloud mendeteksi aktivitas mencurigakan atau masalah terkait keamanan di lingkungan Anda. Anda dapat melihat pemberitahuan ini di portal Defender untuk Cloud, atau Anda dapat mengekspornya ke alat eksternal untuk analisis dan respons lebih lanjut.

Anda dapat melihat peringatan keamanan ini di halaman Microsoft Defender untuk Cloud - dasbor gambaran, pemberitahuan, halaman kesehatan sumber daya, atau dasbor perlindungan beban kerja - dan melalui alat eksternal seperti:

Microsoft Azure Sentinel - SIEM cloud-native Microsoft. Sentinel Connector mendapat peringatan dari Microsoft Defender untuk Cloud dan mengirimkannya ke Ruang Kerja Analitik Log untuk Microsoft Azure Sentinel.
SIEM pihak ketiga - Kirim data ke Azure Event Hubs. Kemudian integrasikan data Azure Event Hubs Anda dengan SIEM pihak ketiga. Pelajari selengkapnya di Pemberitahuan aliran ke solusi SIEM, SOAR, atau Manajemen Layanan TI.
API REST - Jika Anda menggunakan REST API untuk mengakses pemberitahuan, lihat dokumentasi API Pemberitahuan online.

Jika Anda menggunakan metode terprogram apa pun untuk mengonsumsi pemberitahuan, Anda memerlukan skema yang benar untuk menemukan bidang yang relevan bagi Anda. Selain itu, jika Anda mengekspor ke Azure Event Hubs atau mencoba memicu Automasi Alur Kerja dengan konektor HTTP generik, skema harus digunakan untuk mengurai objek JSON dengan benar.

Penting

Karena skema berbeda untuk setiap skenario ini, pastikan Anda memilih tab yang relevan.

Skema

Sentinel Connector mendapat pemberitahuan dari Microsoft Defender untuk Cloud dan mengirimkannya ke Ruang Kerja Analitik Log untuk Microsoft Azure Sentinel.

Untuk membuat kasus atau insiden Microsoft Azure Sentinel menggunakan pemberitahuan Defender untuk Cloud, Anda memerlukan skema untuk pemberitahuan tersebut yang ditampilkan.

Pelajari lebih lanjut di Dokumentasi Microsoft Sentinel.

Model data skema

Bidang	Deskripsi
AlertName	Nama tampilan pemberitahuan
AlertType	pengidentifikasi pemberitahuan unik
ConfidenceLevel	(Opsional) Tingkat keyakinan pemberitahuan ini (Tinggi/Rendah)
ConfidenceScore	(Opsional) Indikator keyakinan numerik dari pemberitahuan keamanan
Deskripsi	Deskripsi teks untuk pemberitahuan
DisplayName	Nama tampilan pemberitahuan
EndTime	Waktu akhir efek pemberitahuan (waktu peristiwa terakhir yang berkontribusi pada pemberitahuan)
Entitas	Daftar entitas yang terkait dengan pemberitahuan tersebut. Daftar ini dapat menyimpan campuran entitas dari berbagai jenis
ExtendedLinks	(Opsional) Tas untuk semua tautan terkait pemberitahuan tersebut. Tas ini dapat menyimpan campuran tautan untuk berbagai jenis
ExtendedProperties	Sekantong bidang tambahan, yang relevan dengan pemberitahuan
IsIncident	Menentukan apakah pemberitahuan tersebut adalah insiden atau pemberitahuan reguler. Insiden adalah pemberitahuan keamanan yang mengagregasi beberapa pemberitahuan menjadi satu insiden keamanan
ProcessingEndTime	Tanda waktu UTC tempat pemberitahuan dibuat
ProductComponentName	(Opsional) Nama komponen di dalam produk, yang menghasilkan pemberitahuan.
ProductName	konstanta ('Azure Security Center')
ProviderName	tidak digunakan
RemediationSteps	Item tindakan manual yang harus diambil untuk meremediasi ancaman keamanan
ResourceId	Pengidentifikasi penuh sumber daya yang terpengaruh
Keparahan	Tingkat keparahan pemberitahuan (Tinggi/Sedang/Rendah/Informatif)
SourceComputerId	GUID unik untuk server yang terpengaruh (jika pemberitahuan dihasilkan di server)
SourceSystem	tidak digunakan
StartTime	Waktu mulai efek pemberitahuan (waktu peristiwa pertama yang berkontribusi pada pemberitahuan)
SystemAlertId	Pengidentifikasi unik instans pemberitahuan keamanan ini
TenantId	pengidentifikasi penyewa MICROSOFT Entra ID induk dari langganan tempat sumber daya yang dipindai berada
TimeGenerated	Tanda waktu UTC tempat penilaian berlangsung (waktu pemindaian Security Center) (identik dengan DiscoveredTimeUTC)
Jenis	konstanta ('SecurityAlert')
VendorName	Nama vendor yang memberikan pemberitahuan (misalnya, 'Microsoft')
VendorOriginalId	tidak digunakan
WorkspaceResourceGroup	jika pemberitahuan dihasilkan pada Komputer Virtual (VM), Server, Set Skala Komputer Virtual, atau instans App Service yang melaporkan ke ruang kerja, berisi nama grup sumber daya ruang kerja tersebut
WorkspaceSubscriptionId	jika pemberitahuan dihasilkan pada VM, Server, Virtual Machine Scale Set, atau instans App Service yang melaporkan ke ruang kerja, berisi subscriptionId ruang kerja tersebut

Audit Microsoft Defender untuk Cloud menghasilkan peringatan Keamanan sebagai peristiwa di Azure Activity Log.

Anda dapat melihat peristiwa pemberitahuan keamanan di Log Aktivitas dengan mencari acara Aktifkan Pemberitahuan seperti yang diperlihatkan:

Contoh JavaScript Object Notation untuk pemberitahuan yang dikirim ke Azure Activity Log

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

Model data skema

Bidang	Deskripsi
Saluran	Konstanta, "Operasi"
correlationId	ID pemberitahuan Microsoft Defender untuk Cloud
description	Deskripsi pemberitahuan
eventDataId	Lihat correlationId
eventName	Nilai dan sub bidang localizedValue berisi nama tampilan pemberitahuan
category	Nilai dan sub bidang localizedValue adalah konstan - "Keamanan"
eventTimestamp	Tanda waktu UTC ketika pemberitahuan dihasilkan
id	ID pemberitahuan yang sepenuhnya memenuhi syarat
tingkat	Konstanta, "Informasi"
operationId	Lihat correlationId
operationName	Bidang nilai adalah konstanta - `Microsoft.Security/locations/alerts/activate/action`, dan nilai yang dilokalkan adalah `Activate Alert` (berpotensi dilokalkan par lokal pengguna)
resourceGroupName	Menyertakan nama grup sumber daya
resourceProviderName	Nilai dan sub bidang localizedValue adalah konstanta - "Microsoft.Security"
resourceType	Nilai dan subbidang localizedValue adalah konstanta - "Microsoft.Security/locations/alerts"
resourceId	ID sumber daya Azure yang sepenuhnya memenuhi syarat
status	Nilai dan sub bidang localizedValue adalah konstanta - "Aktif"
subStatus	Nilai dan sub bidang localizedValue adalah kosong
submissionTimestamp	Tanda waktu UTC dari pengiriman peristiwa ke Log Aktivitas
subscriptionId	ID langganan sumber daya yang disusupi
properties	Tas JSON dari properti lain yang berkaitan dengan pemberitahuan. Properti dapat berubah dari satu pemberitahuan ke pemberitahuan lainnya, namun, bidang berikut muncul di semua pemberitahuan: - tingkat keparahan: Tingkat keparahan serangan - compromisedEntity: Nama sumber daya yang disusupi - remediationSteps: larik langkah remediasi yang akan diambil - Niat: niat rantai-membunuh dari pemberitahuan. Kemungkinan niat didokumentasikan dalam tabel Niat
relatedEvents	Konstanta - array kosong

Ruang kerja Analitik Log - Azure Monitor menyimpan data log di ruang kerja Analitik Log, kontainer yang menyertakan informasi data dan konfigurasi
Microsoft Azure Sentinel - SIEM cloud-native Microsoft
Azure Event Hubs - Layanan penyerapan data waktu nyata Microsoft yang dikelola sepenuhnya

Langkah selanjutnya

Terus mengekspor data Defender untuk Cloud

Bagikan melalui

Skema peringatan

Skema

Model data skema

Contoh JavaScript Object Notation untuk pemberitahuan yang dikirim ke Azure Activity Log

Model data skema

Langkah selanjutnya

Saran dan Komentar

Sumber Daya Tambahan:

Bagikan melalui

Skema peringatan

Skema

Model data skema

Artikel terkait

Langkah selanjutnya

Saran dan Komentar

Sumber Daya Tambahan: