Microsoft Sentinel
编辑Microsoft Sentinel
编辑概述
编辑Microsoft Sentinel 是一个可扩展的云原生安全信息和事件管理 (SIEM) 系统,为 SIEM 以及安全编排、自动化和响应 (SOAR) 提供智能且全面的解决方案。Microsoft Sentinel 提供网络威胁检测、调查、响应和主动搜索,并可鸟瞰您的整个企业。
使用 Microsoft Sentinel 集成从 Microsoft Sentinel REST API 收集和解析警报和事件,以及从 Microsoft Azure 事件中心收集事件,然后在 Kibana 中可视化数据。
数据流
编辑Microsoft Sentinel 集成收集三种类型的事件日志:警报、事件和事故。
警报: 警报允许通过 API 收集事件的所有警报。
事件: 事件允许通过 API 收集所有事件。
事件: 事件允许收集流式传输到 Azure 事件中心的事件的所有警报。
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑有几种安装和管理 Elastic Agent 的选项
安装由 Fleet 管理的 Elastic Agent(推荐)
编辑通过此方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得相当容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过此方法,您可以安装 Elastic Agent 并在安装该代理的系统上本地手动配置该代理。您负责管理和升级代理。此方法仅保留供高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立运行。Elastic Docker 注册表中提供了所有版本的 Elastic Agent 的 Docker 镜像,并且我们为在 Kubernetes 上运行提供了部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅Elastic Agent 最低要求。
兼容性
编辑对于 Rest API,此模块已针对 2024-03-01 版本进行测试。
设置
编辑要从 Microsoft Azure 事件中心收集数据,请按照以下步骤操作
编辑- 导航到 Log Analytics 工作区:从 Azure 门户的导航菜单中,找到并选择Log Analytics 工作区。
- 选择您的工作区:选择与您的 Azure Sentinel 部署关联的 Log Analytics 工作区。
-
导航到数据导出:在 Log Analytics 工作区中,找到并选择
数据导出选项。此选项通常位于设置菜单中。 -
新建导出规则:在“数据导出”中,单击
新建导出规则以创建新规则。 - 在“基本”部分下:为数据导出规则提供规则名称。
- 在“源”部分下:选择要将数据导出到存储帐户的表。
-
在“目标”部分下:提供目标详细信息,如要将数据导出到的
订阅名称和存储帐户名称。 -
查看 + 创建:在
查看 + 创建部分中,选择创建。
要从 Microsoft Sentinel REST API 收集数据,请按照以下步骤操作
编辑- 打开Azure 门户并注册新的 Azure 应用程序。
- 创建应用程序后,它将生成客户端 ID、客户端密钥和租户 ID 值,这些值是数据收集所必需的。
- 要获取工作区名称、订阅 ID 和资源组,请导航到Microsoft Sentinel,然后从列表中选择所需的工作区。
-
转到门户中的管理 > API 权限,然后为Microsoft Graph添加以下权限
- SecurityAlert.Read.All,同时具有应用程序和委派权限类型。
- User.Read,具有委派权限类型。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航到“管理”>“集成”。
- 在顶部的“搜索集成”栏中,搜索
Microsoft Sentinel。 - 从搜索结果中选择“Microsoft Sentinel”集成。
- 选择“添加 Microsoft Sentinel”以添加集成。
- 添加所有必需的集成配置参数,包括 URL、登录 URL、客户端 ID、客户端密钥、租户 ID、资源组名称、订阅 ID、工作区名称、间隔和初始间隔,以启用 REST API 输入类型的数据收集;以及 Azure 事件中心、使用者组、连接字符串、存储帐户和存储帐户密钥(用于 Azure 事件中心输入类型)。
- 选择“保存并继续”以保存集成。
日志参考
编辑警报
编辑这是警报数据集。
示例
警报的示例事件如下所示
{
"@timestamp": "2020-07-20T18:21:53.615Z",
"agent": {
"ephemeral_id": "fef91ec8-bbe7-494a-b3b4-a8d9d79b11c3",
"id": "2ca2bad8-2946-4164-8d1c-4b0dd7281ae6",
"name": "elastic-agent-77518",
"type": "filebeat",
"version": "8.14.0"
},
"data_stream": {
"dataset": "microsoft_sentinel.alert",
"namespace": "19076",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "2ca2bad8-2946-4164-8d1c-4b0dd7281ae6",
"snapshot": false,
"version": "8.14.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "microsoft_sentinel.alert",
"duration": 86400000000000,
"end": "2020-07-21T18:21:53.615Z",
"id": "/subscriptions/abcdef1-111111-4647-9105-6339bfdb4e6a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/abcdef-6fde-4ab7-a093-d09f7b75c58c",
"ingested": "2024-11-12T06:18:55Z",
"original": "{\"id\":\"/subscriptions/abcdef1-111111-4647-9105-6339bfdb4e6a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/abcdef-6fde-4ab7-a093-d09f7b75c58c\",\"kind\":\"SecurityAlert\",\"name\":\"abcdef-6fde-4ab7-a093-d09f7b75c58c\",\"properties\":{\"additionalData\":{\"AlertMessageEnqueueTime\":\"2020-07-20T18:21:57.304Z\"},\"alertDisplayName\":\"myAlert\",\"alertType\":\"myAlert\",\"confidenceLevel\":\"Unknown\",\"endTimeUtc\":\"2020-07-21T18:21:53.6158361Z\",\"friendlyName\":\"myAlert\",\"processingEndTime\":\"2020-07-20T18:21:53.6158361Z\",\"productName\":\"AzureSecurityCenter\",\"resourceIdentifiers\":[{\"resourceGroup\":\"myRG\",\"subscriptionId\":\"a123456-4d29-4647-9105-6339bfdb4e6a\",\"type\":\"LogAnalytics\",\"workspaceId\":\"abcdefg-985d-4e4e-8e91-fb3466cd0e5b\"}],\"severity\":\"Low\",\"startTimeUtc\":\"2020-07-20T18:21:53.6158361Z\",\"status\":\"New\",\"systemAlertId\":\"abcdef-6fde-4ab7-a093-d09f7b75c58c\",\"tactics\":[\"abc\"],\"timeGenerated\":\"2020-07-20T18:21:53.6158361Z\",\"vendorName\":\"Microsoft\"},\"systemData\":{\"createdAt\":\"2020-07-20T18:21:57.304Z\",\"createdBy\":\"admin\",\"createdByType\":\"new\",\"lastModifiedAt\":\"2020-07-20T18:21:57.304Z\"},\"type\":\"Microsoft.SecurityInsights/Entities\"}",
"severity": 1,
"start": "2020-07-20T18:21:53.615Z"
},
"input": {
"type": "cel"
},
"microsoft_sentinel": {
"alert": {
"id": "/subscriptions/abcdef1-111111-4647-9105-6339bfdb4e6a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/abcdef-6fde-4ab7-a093-d09f7b75c58c",
"kind": "SecurityAlert",
"name": "abcdef-6fde-4ab7-a093-d09f7b75c58c",
"properties": {
"additional_data": {
"AlertMessageEnqueueTime": "2020-07-20T18:21:57.304Z"
},
"alert": {
"display_name": "myAlert",
"type": "myAlert"
},
"confidence_level": "Unknown",
"end_time_utc": "2020-07-21T18:21:53.615Z",
"friendly_name": "myAlert",
"processing_end_time": "2020-07-20T18:21:53.615Z",
"product": {
"name": "AzureSecurityCenter"
},
"resource_identifiers": [
{
"resourceGroup": "myRG",
"subscriptionId": "a123456-4d29-4647-9105-6339bfdb4e6a",
"type": "LogAnalytics",
"workspaceId": "abcdefg-985d-4e4e-8e91-fb3466cd0e5b"
}
],
"severity": "Low",
"start_time_utc": "2020-07-20T18:21:53.615Z",
"status": "New",
"system_alert_id": "abcdef-6fde-4ab7-a093-d09f7b75c58c",
"tactics": [
"abc"
],
"time_generated": "2020-07-20T18:21:53.615Z",
"vendor_name": "Microsoft"
},
"system_data": {
"created_at": "2020-07-20T18:21:57.304Z",
"created_by": "admin",
"created_by_type": "new",
"last_modified_at": "2020-07-20T18:21:57.304Z"
},
"type": "Microsoft.SecurityInsights/Entities"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"microsoft_sentinel-alert"
],
"threat": {
"indicator": {
"confidence": "Not Specified"
},
"tactic": {
"name": [
"abc"
]
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.kind |
constant_keyword |
|
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
microsoft_sentinel.alert.id |
资源的完全限定资源 ID。 |
keyword |
microsoft_sentinel.alert.kind |
实体的种类。 |
keyword |
microsoft_sentinel.alert.name |
资源的名称。 |
keyword |
microsoft_sentinel.alert.properties.additional_data |
应作为实体一部分且将呈现给用户的自定义字段的包。 |
flattened |
microsoft_sentinel.alert.properties.alert.display_name |
警报的显示名称。 |
keyword |
microsoft_sentinel.alert.properties.alert.link |
警报的 URI 链接。 |
keyword |
microsoft_sentinel.alert.properties.alert.type |
警报的类型名称。 |
keyword |
microsoft_sentinel.alert.properties.compromised_entity |
所报告的主要实体的显示名称。 |
keyword |
microsoft_sentinel.alert.properties.confidence_level |
此警报的置信度级别。 |
keyword |
microsoft_sentinel.alert.properties.confidence_reasons.reason |
原因的描述。 |
keyword |
microsoft_sentinel.alert.properties.confidence_reasons.reason_type |
原因的类型(类别)。 |
keyword |
microsoft_sentinel.alert.properties.confidence_score |
警报的置信度评分。 |
long |
microsoft_sentinel.alert.properties.confidence_score_status |
置信度评分计算状态。 |
keyword |
microsoft_sentinel.alert.properties.description |
警报描述。 |
keyword |
microsoft_sentinel.alert.properties.end_time_utc |
警报的影响结束时间。 |
date |
microsoft_sentinel.alert.properties.friendly_name |
图形项目显示名称,该名称是图形项目实例的简短且人类可读的描述。 |
keyword |
microsoft_sentinel.alert.properties.intent |
保存此警报的警报意图阶段映射。 |
keyword |
microsoft_sentinel.alert.properties.processing_end_time |
使警报可供使用的时间。 |
date |
microsoft_sentinel.alert.properties.product.component_name |
生成警报的产品内部组件的名称。 |
keyword |
microsoft_sentinel.alert.properties.product.name |
发布此警报的产品的名称。 |
keyword |
microsoft_sentinel.alert.properties.product.version |
生成警报的产品版本。 |
keyword |
microsoft_sentinel.alert.properties.provider_alert_id |
生成警报的产品内部的警报标识符。 |
keyword |
microsoft_sentinel.alert.properties.remediation_steps |
为修复警报而采取的手动操作项。 |
keyword |
microsoft_sentinel.alert.properties.resource_identifiers |
警报的资源标识符列表。 |
object |
microsoft_sentinel.alert.properties.severity |
警报的严重程度。 |
keyword |
microsoft_sentinel.alert.properties.start_time_utc |
警报的影响开始时间。 |
date |
microsoft_sentinel.alert.properties.status |
警报的生命周期状态。 |
keyword |
microsoft_sentinel.alert.properties.system_alert_id |
保存该产品警报的产品标识符。 |
keyword |
microsoft_sentinel.alert.properties.tactics |
警报的策略。 |
keyword |
microsoft_sentinel.alert.properties.time_generated |
生成警报的时间。 |
date |
microsoft_sentinel.alert.properties.vendor_name |
引发警报的供应商名称。 |
keyword |
microsoft_sentinel.alert.system_data.created_at |
资源创建的时间戳(UTC)。 |
date |
microsoft_sentinel.alert.system_data.created_by |
创建资源的身份。 |
keyword |
microsoft_sentinel.alert.system_data.created_by_type |
创建资源的身份类型。 |
keyword |
microsoft_sentinel.alert.system_data.last_modified_at |
资源上次修改的时间戳(UTC)。 |
date |
microsoft_sentinel.alert.system_data.last_modified_by |
上次修改资源的身份。 |
keyword |
microsoft_sentinel.alert.system_data.last_modified_by_type |
上次修改资源的身份类型。 |
keyword |
microsoft_sentinel.alert.type |
资源的类型。 |
keyword |
observer.product |
constant_keyword |
|
observer.vendor |
constant_keyword |
|
tags |
用户定义的标签。 |
keyword |
事件
编辑这是 Event 数据集。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.kind |
constant_keyword |
|
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
microsoft_sentinel.event.alert.link |
指向原始产品门户中警报的链接。 |
keyword |
microsoft_sentinel.event.alert.name |
警报的显示名称。 |
keyword |
microsoft_sentinel.event.alert.severity |
警报的严重程度。 |
keyword |
microsoft_sentinel.event.alert.type |
警报的类型。 |
keyword |
microsoft_sentinel.event.compromised_entity |
被警报的主要实体的显示名称。 |
keyword |
microsoft_sentinel.event.confidence.level |
此警报的置信度级别。 |
keyword |
microsoft_sentinel.event.confidence.score |
警报的置信度评分。 |
double |
microsoft_sentinel.event.description |
警报的描述。 |
keyword |
microsoft_sentinel.event.display_name |
警报的显示名称。 |
keyword |
microsoft_sentinel.event.end_time |
警报影响的结束时间。 |
date |
microsoft_sentinel.event.entities |
警报中标识的实体列表。 |
object |
microsoft_sentinel.event.extended.links |
一个包含与警报相关的所有链接的包(集合)。 |
keyword |
microsoft_sentinel.event.extended.properties |
其他警报属性的集合,包括用户定义的属性。警报中定义的任何自定义详细信息以及警报详细信息中的任何动态内容都存储在此处。 |
object |
microsoft_sentinel.event.internal_workspace_resource_id |
keyword |
|
microsoft_sentinel.event.is_incident |
始终设置为 false。 |
boolean |
microsoft_sentinel.event.item_id |
keyword |
|
microsoft_sentinel.event.processing_end_time |
警报的发布时间。 |
date |
microsoft_sentinel.event.product.component_name |
生成警报的产品的组件名称。 |
keyword |
microsoft_sentinel.event.product.name |
生成警报的产品名称。 |
keyword |
microsoft_sentinel.event.provider_name |
生成警报的警报提供程序(产品内的服务)的名称。 |
keyword |
microsoft_sentinel.event.remediation_steps |
为修复警报而采取的操作项列表。 |
keyword |
microsoft_sentinel.event.resource_id |
作为警报主题的资源的唯一标识符。 |
keyword |
microsoft_sentinel.event.source.computer_id |
在创建警报的服务器上的代理 ID。 |
keyword |
microsoft_sentinel.event.source.system |
始终填充字符串“Detection”。 |
keyword |
microsoft_sentinel.event.start_time |
警报影响的开始时间。 |
date |
microsoft_sentinel.event.status |
警报在生命周期中的状态。 |
keyword |
microsoft_sentinel.event.system_alert_id |
Microsoft Sentinel 中警报的内部唯一 ID。 |
keyword |
microsoft_sentinel.event.tactics |
与警报关联的 MITRE ATT&CK 策略的逗号分隔列表。 |
keyword |
microsoft_sentinel.event.techniques |
与警报关联的 MITRE ATT&CK 技术的逗号分隔列表。 |
keyword |
microsoft_sentinel.event.tenant_id |
租户的唯一 ID。 |
keyword |
microsoft_sentinel.event.time_generated |
生成警报的时间(UTC)。 |
date |
microsoft_sentinel.event.type |
常量(SecurityAlert)。 |
keyword |
microsoft_sentinel.event.vendor.name |
生成警报的产品的供应商。 |
keyword |
microsoft_sentinel.event.vendor.original_id |
由原始产品设置的特定警报实例的唯一 ID。 |
keyword |
microsoft_sentinel.event.workspace.resource_group |
keyword |
|
microsoft_sentinel.event.workspace.subscription_id |
keyword |
|
tags |
用户定义的标签。 |
keyword |
事件
编辑这是 Incident 数据集。
示例
incident 的示例事件如下所示
{
"@timestamp": "2024-10-23T13:15:30.000Z",
"agent": {
"ephemeral_id": "f2937dba-f98d-44e6-a1e2-161b5d5a8ea7",
"id": "648b0051-77fb-49c2-a0ab-952d43da9d7f",
"name": "elastic-agent-18094",
"type": "filebeat",
"version": "8.14.0"
},
"data_stream": {
"dataset": "microsoft_sentinel.incident",
"namespace": "18260",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "648b0051-77fb-49c2-a0ab-952d43da9d7f",
"snapshot": false,
"version": "8.14.0"
},
"event": {
"agent_id_status": "verified",
"created": "2019-01-01T13:15:30.000Z",
"dataset": "microsoft_sentinel.incident",
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/aaaaaa-5cd7-4139-a149-9f2736ff2ab5",
"ingested": "2024-11-12T06:19:52Z",
"original": "{\"etag\":\"\\\"bbbbbbbb-0000-0000-0000-5c37296e0000\\\"\",\"id\":\"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/aaaaaa-5cd7-4139-a149-9f2736ff2ab5\",\"name\":\"aaaaaaa-5cd7-4139-a149-9f2736ff2ab5\",\"properties\":{\"additionalData\":{\"alertProductNames\":[],\"alertsCount\":0,\"bookmarksCount\":0,\"commentsCount\":3,\"tactics\":[\"InitialAccess\",\"Persistence\"]},\"classification\":\"FalsePositive\",\"classificationComment\":\"Notamaliciousactivity\",\"classificationReason\":\"InaccurateData\",\"createdTimeUtc\":\"2019-01-01T13:15:30Z\",\"description\":\"Thisisademoincident\",\"firstActivityTimeUtc\":\"2019-01-01T13:00:30Z\",\"incidentNumber\":3177,\"incidentUrl\":\"https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5\",\"labels\":[],\"lastActivityTimeUtc\":\"2019-01-01T13:05:30Z\",\"lastModifiedTimeUtc\":\"2024-10-23T13:15:30Z\",\"owner\":{\"assignedTo\":\"johndoe\",\"email\":\"[email protected]\",\"objectId\":\"abcdefghij-040d-4a46-9e2b-91c2941bfa70\",\"userPrincipalName\":\"[email protected]\"},\"providerIncidentId\":\"3177\",\"providerName\":\"AzureSentinel\",\"relatedAnalyticRuleIds\":[\"/subscriptions/abc12345678-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7\"],\"severity\":\"High\",\"status\":\"Closed\",\"title\":\"Myincident\"},\"type\":\"Microsoft.SecurityInsights/incidents\"}",
"severity": 3,
"url": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5"
},
"input": {
"type": "cel"
},
"message": "Thisisademoincident",
"microsoft_sentinel": {
"incident": {
"etag": "\"bbbbbbbb-0000-0000-0000-5c37296e0000\"",
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/aaaaaa-5cd7-4139-a149-9f2736ff2ab5",
"name": "aaaaaaa-5cd7-4139-a149-9f2736ff2ab5",
"properties": {
"additional_data": {
"alerts": {
"count": 0
},
"bookmarks_count": 0,
"comments_count": 3,
"tactics": [
"InitialAccess",
"Persistence"
]
},
"classification": "FalsePositive",
"classification_comment": "Notamaliciousactivity",
"classification_reason": "InaccurateData",
"created_time_utc": "2019-01-01T13:15:30.000Z",
"description": "Thisisademoincident",
"first_activity_time_utc": "2019-01-01T13:00:30.000Z",
"incident": {
"number": 3177,
"url": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5"
},
"last_activity_time_utc": "2019-01-01T13:05:30.000Z",
"last_modified_time_utc": "2024-10-23T13:15:30.000Z",
"owner": {
"assigned_to": "johndoe",
"email": "[email protected]",
"object_id": "abcdefghij-040d-4a46-9e2b-91c2941bfa70",
"user_principal_name": "[email protected]"
},
"provider": {
"incident_id": "3177",
"name": "AzureSentinel"
},
"related_analytic_rule_ids": [
"/subscriptions/abc12345678-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
],
"severity": "High",
"status": "Closed",
"title": "Myincident"
},
"type": "Microsoft.SecurityInsights/incidents"
}
},
"related": {
"user": [
"johndoe",
"[email protected]",
"[email protected]"
]
},
"rule": {
"id": [
"/subscriptions/abc12345678-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"microsoft_sentinel-incident"
],
"threat": {
"tactic": {
"name": [
"InitialAccess",
"Persistence"
]
}
},
"user": {
"domain": "example.com",
"email": "[email protected]",
"name": "johndoe"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.kind |
constant_keyword |
|
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
labels.is_transform_source |
区分作为转换源的文档和作为转换输出的文档,以便更容易地进行筛选。 |
constant_keyword |
log.offset |
日志偏移量。 |
long |
microsoft_sentinel.incident.etag |
azure 资源的 Etag。 |
keyword |
microsoft_sentinel.incident.id |
资源的完全限定资源 ID。 |
keyword |
microsoft_sentinel.incident.name |
资源的名称。 |
keyword |
microsoft_sentinel.incident.properties.additional_data.alert.product_names |
事件中警报的产品名称列表。 |
keyword |
microsoft_sentinel.incident.properties.additional_data.alerts.count |
事件中的警报数量。 |
long |
microsoft_sentinel.incident.properties.additional_data.bookmarks_count |
事件中的书签数量。 |
long |
microsoft_sentinel.incident.properties.additional_data.comments_count |
事件中的评论数量。 |
long |
microsoft_sentinel.incident.properties.additional_data.provider_incident_url |
Microsoft 365 Defender 门户中指向事件的提供程序事件 URL。 |
keyword |
microsoft_sentinel.incident.properties.additional_data.tactics |
与事件关联的策略。 |
keyword |
microsoft_sentinel.incident.properties.classification |
事件关闭的原因。 |
keyword |
microsoft_sentinel.incident.properties.classification_comment |
描述事件关闭的原因。 |
keyword |
microsoft_sentinel.incident.properties.classification_reason |
关闭事件的分类原因。 |
keyword |
microsoft_sentinel.incident.properties.created_time_utc |
事件创建的时间。 |
date |
microsoft_sentinel.incident.properties.description |
事件的描述。 |
keyword |
microsoft_sentinel.incident.properties.first_activity_time_utc |
事件中首次活动的时间。 |
date |
microsoft_sentinel.incident.properties.incident.number |
一个序列号。 |
long |
microsoft_sentinel.incident.properties.incident.url |
指向 Azure 门户中事件的深层链接 URL。 |
keyword |
microsoft_sentinel.incident.properties.labels.name |
标签的名称。 |
keyword |
microsoft_sentinel.incident.properties.labels.type |
标签的类型。 |
keyword |
microsoft_sentinel.incident.properties.last_activity_time_utc |
事件中上次活动的时间。 |
date |
microsoft_sentinel.incident.properties.last_modified_time_utc |
上次更新事件的时间。 |
date |
microsoft_sentinel.incident.properties.owner.assigned_to |
分配事件的用户的名称。 |
keyword |
microsoft_sentinel.incident.properties.owner.email |
分配事件的用户的电子邮件。 |
keyword |
microsoft_sentinel.incident.properties.owner.object_id |
分配事件的用户的对象 ID。 |
keyword |
microsoft_sentinel.incident.properties.owner.type |
分配事件的所有者的类型。 |
keyword |
microsoft_sentinel.incident.properties.owner.user_principal_name |
分配事件的用户的用户主体名称。 |
keyword |
microsoft_sentinel.incident.properties.provider.incident_id |
事件提供程序分配的事件 ID。 |
keyword |
microsoft_sentinel.incident.properties.provider.name |
生成事件的源提供程序的名称。 |
keyword |
microsoft_sentinel.incident.properties.related_analytic_rule_ids |
与事件相关的分析规则的资源 ID 列表。 |
keyword |
microsoft_sentinel.incident.properties.severity |
事件的严重程度。 |
keyword |
microsoft_sentinel.incident.properties.status |
事件的状态。 |
keyword |
microsoft_sentinel.incident.properties.title |
事件的标题。 |
keyword |
microsoft_sentinel.incident.system_data.created_at |
资源创建的时间戳(UTC)。 |
date |
microsoft_sentinel.incident.system_data.created_by |
创建资源的身份。 |
keyword |
microsoft_sentinel.incident.system_data.created_by_type |
创建资源的身份类型。 |
keyword |
microsoft_sentinel.incident.system_data.last_modified_at |
资源上次修改的时间戳(UTC)。 |
date |
microsoft_sentinel.incident.system_data.last_modified_by |
上次修改资源的身份。 |
keyword |
microsoft_sentinel.incident.system_data.last_modified_by_type |
上次修改资源的身份类型。 |
keyword |
microsoft_sentinel.incident.type |
资源的类型。 |
keyword |
observer.product |
constant_keyword |
|
observer.vendor |
constant_keyword |
|
tags |
用户定义的标签。 |
keyword |