Microsoft Defender for Cloud 警报
Microsoft Defender for Cloud 是一种统一的基础结构安全管理系统,可增强数据中心的安全状况,并在云中的混合工作负荷(无论是在 Azure 中还是不在 Azure 中)以及本地提供高级威胁防护
此连接器在以下产品和区域中可用:
| 服务 | Class | 区域 |
|---|---|---|
| 逻辑应用程序 | 标准 | 除以下各项外的所有 逻辑应用区域 : - 美国国防部(DoD) |
| 联系人 | |
|---|---|
| Name | Microsoft |
| URL |
Microsoft LogicApps 支持 |
| 连接器元数据 | |
|---|---|
| 发布者 | Microsoft |
| 了解更多信息> | https://docs.microsoft.com/connectors/ascalert |
| 网站 | https://azure.microsoft.com/services/security-center/ |
限制
| 名称 | 调用 | 续订期 |
|---|---|---|
| 每个连接的 API 调用数 | 100 | 60 秒 |
触发器
| 创建或触发 Microsoft Defender for Cloud 警报时 |
在 Microsoft Defender for Cloud 中创建警报并匹配自动化中配置的评估条件或手动在特定警报上运行时触发。 注意:自动运行此触发器需要在 Microsoft Defender for Cloud 中启用自动化,并将工作负荷保护计划作为初步步骤启用。 为此,请访问 Microsoft Defender for Cloud。 |
创建或触发 Microsoft Defender for Cloud 警报时
在 Microsoft Defender for Cloud 中创建警报并匹配自动化中配置的评估条件或手动在特定警报上运行时触发。 注意:自动运行此触发器需要在 Microsoft Defender for Cloud 中启用自动化,并将工作负荷保护计划作为初步步骤启用。 为此,请访问 Microsoft Defender for Cloud。
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
警报 URI
|
AlertUri | string |
一个直接链接,用于在 Azure 门户中Microsoft Defender for Cloud 中查看警报及其所有详细信息。 |
|
警报显示名称
|
AlertDisplayName | string |
警报的显示名称,此值向用户显示 as-is 或使用其他参数显示。 (有关位置持有者格式的示例,请参阅“备注”部分)。 建议不要将放置持有者放在 AlertDisplayName 字段中,并且对于共享相同 AlertType 值的所有警报具有相同的值,因为可以根据 AlertType 字段聚合警报,并显示给最终用户,因此。 |
|
警报类型
|
AlertType | string |
警报的类型名称。 同一类型的警报应具有相同的名称。 此字段是一个键式字符串,表示警报的类别或类型,而不是警报实例。 来自同一检测逻辑/分析的所有警报实例应共享相同的警报类型值。 |
|
已泄露实体
|
CompromisedEntity | string |
要报告的主要实体的显示名称。 此字段将呈现给用户 AS-IS,不需要符合任何格式。 它可以保存警报提供程序决定显示的计算机、IP 地址、VM 或任何内容。 |
|
Description
|
Description | string |
警报说明,可能具有参数占位符(有关位置持有者格式的示例,请参阅“备注”部分) |
|
结束时间(UTC)
|
EndTimeUtc | date-time |
警报的影响结束时间(导致警报的最后一个事件的时间)。 |
|
意图
|
Intent | string |
可选字段,用于指定警报背后的终止链相关意向。 有关支持值的列表,请参阅 Kill Chain 意向枚举部分。 可以在此字段中选择多个值。 此字段的 JSON 格式应将枚举值序列化为字符串。 应用逗号分隔多个值,例如探测、利用。 |
|
产品名称
|
ProductName | string |
发布此警报的产品的名称,即 ASC、WDATP、MCAS。 |
|
Severity
|
Severity | string |
提供程序报告警报的严重性。 可能的值:信息性(a.k.a无提示)、低、中、高 |
|
开始时间(UTC)
|
StartTimeUtc | date-time |
警报的影响开始时间(导致警报的第一个事件的时间)。 |
|
系统警报 ID
|
SystemAlertId | string |
保存产品的警报的产品标识符。 这是警报标识符,通常也可在外部供客户或外部系统查询警报。 产品内部的警报发布者应使用 ProviderAlertId 字段来报告要在单个产品范围内使用的任何标识符。 |
|
生成时间(UTC)
|
TimeGenerated | date-time |
生成警报的时间。 这一次应包含警报提供程序生成的时间(如果缺少系统将在收到处理时间时分配给系统)。 |
|
供应商名称
|
VendorName | string |
引发警报的供应商的名称,此值按原样向用户显示,即Microsoft或深度安全代理或Microsoft反恶意软件等。 |
|
Entities
|
Entities | array of object |
与警报相关的实体的列表。 此列表可以包含不同类型的实体的混合体。 实体类型可以是 Entitiessection 中定义的任意类型。 以下列表中没有的实体也可以发送,但我们不能保证它们将被处理(但警报不会失败验证)。 不能设置为 null(将改为设置为空枚举)。 |
|
扩展链接
|
ExtendedLinks | array of object |
与警报相关的所有链接的包。 此包可以容纳各种类型的链接的混合体。 以下列表中没有的链接也可以发送,但我们不能保证将处理它们(但警报不会失败验证)。 不能设置为 null(将改为设置为空枚举) |
|
修正步骤
|
RemediationSteps | array of string |
手动执行作项来修正警报。 可能有参数占位符。 (有关位置持有者格式的示例,请参阅“备注”部分)。 |
|
资源标识符
|
ResourceIdentifiers | array of object |
此警报的资源标识符,可用于将警报定向到正确的产品公开组(工作区、订阅等)。 每个警报可以有多个不同类型的标识符。 有关更多详细信息,请参阅资源标识符。 |