Microsoft Defender for Cloud アラート
Microsoft Defender for Cloud は、データ センターのセキュリティ体制を強化する統合インフラストラクチャ セキュリティ管理システムであり、クラウド内のハイブリッド ワークロード間で高度な脅威保護を提供します (Azure にあるかどうかにかかわらず、オンプレミスでも)
このコネクタは、次の製品とリージョンで使用できます。
| サービス | クラス | リージョン |
|---|---|---|
| ロジック アプリ | Standard | 次を除くすべての Logic Apps リージョン : - 米国国防総省 (DoD) |
| お問い合わせ | |
|---|---|
| 名前 | Microsoft |
| URL |
Microsoft LogicApps のサポート |
| コネクタ メタデータ | |
|---|---|
| Publisher | Microsoft |
| 詳細情報> | https://docs.microsoft.com/connectors/ascalert |
| Website | https://azure.microsoft.com/services/security-center/ |
調整制限
| 名前 | 呼び出し | 更新期間 |
|---|---|---|
| 接続ごとの API 呼び出し | 100 | 60 秒 |
トリガー
| Microsoft Defender for Cloud アラートが作成またはトリガーされたとき |
Microsoft Defender for Cloud でアラートが作成され、自動化で構成された評価基準と一致する場合、または特定のアラートで手動で実行されたときにトリガーされます。 注: このトリガーを自動実行するには、Microsoft Defender for Cloud で自動化を有効にし、事前の手順としてワークロード保護計画を有効にする必要があります。 これを行うには、Microsoft Defender for Cloud にアクセスしてください。 |
Microsoft Defender for Cloud アラートが作成またはトリガーされたとき
Microsoft Defender for Cloud でアラートが作成され、自動化で構成された評価基準と一致する場合、または特定のアラートで手動で実行されたときにトリガーされます。 注: このトリガーを自動実行するには、Microsoft Defender for Cloud で自動化を有効にし、事前の手順としてワークロード保護計画を有効にする必要があります。 これを行うには、Microsoft Defender for Cloud にアクセスしてください。
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラート URI
|
AlertUri | string |
Azure portal の Microsoft Defender for Cloud でアラートとそのすべての詳細を表示するための直接リンク。 |
|
アラートの表示名
|
AlertDisplayName | string |
アラートの表示名。この値は、as-is または追加のパラメーターを使用してユーザーに表示されます。 (たとえば、プレース ホルダーの書式設定の例については、「ノート」セクションを参照してください)。 AlertType フィールドに従ってアラートを集計し、エンド ユーザーに表示できるため、AlertDisplayName フィールドに保持者を配置し、同じ AlertType 値を共有するすべてのアラートに同じ値を設定しないことをお勧めします。 |
|
アラートの種類
|
AlertType | string |
通知の種類名。 同じ種類のアラートの名前は同じである必要があります。 このフィールドは、アラート インスタンスではなく、アラートのカテゴリまたは種類を表すキー付き文字列です。 同じ検出ロジック/分析のすべてのアラート インスタンスは、アラートの種類に対して同じ値を共有する必要があります。 |
|
侵害されたエンティティ
|
CompromisedEntity | string |
報告されているメイン エンティティの表示名。 このフィールドはユーザー AS-IS に表示され、どの形式にも準拠する必要はありません。 コンピューター、IP アドレス、VM、またはアラート プロバイダーが提示を決定した内容を保持できます。 |
|
Description
|
Description | string |
アラートの説明。パラメータープレースホルダーがある場合があります (プレースホルダーの書式設定の例については、「ノート」セクションを参照してください) |
|
終了時刻 (UTC)
|
EndTimeUtc | date-time |
アラートの影響終了時刻 (アラートに影響を与える最後のイベントの時刻)。 |
|
意
|
Intent | string |
アラートの背後にあるキル チェーン関連の意図を指定する省略可能なフィールド。 サポートされている値の一覧については、「Kill Chain Intent 列挙型」セクションにあります。 このフィールドでは複数の値を選択できます。 このフィールドの JSON 形式では、列挙値を文字列としてシリアル化する必要があります。 プローブ、悪用など、複数の値をコンマで区切る必要があります。 |
|
製品名
|
ProductName | string |
このアラートを発行した製品の名前 (ASC、WDATP、MCAS など)。 |
|
Severity
|
Severity | string |
プロバイダーによって報告されるアラートの重大度。 使用可能な値: 情報 (別名サイレント)、低、中、高 |
|
開始時刻 (UTC)
|
StartTimeUtc | date-time |
アラートの影響の開始時刻 (アラートに影響を与える最初のイベントの時刻)。 |
|
システム アラート ID
|
SystemAlertId | string |
製品のアラートの製品識別子を保持します。 これは、通常、顧客または外部システムによるアラートのクエリに外部でも使用できるアラート識別子です。 製品の内部であるアラート発行元は、1 つの製品のスコープで使用される識別子を報告するために ProviderAlertId フィールドを使用する必要があります。 |
|
生成時刻 (UTC)
|
TimeGenerated | date-time |
アラートが生成された時刻。 この時刻には、アラート プロバイダーによって生成された時間が含まれている必要があります。見つからない場合、システムは処理のために受信した時間を割り当てます。 |
|
ベンダー名
|
VendorName | string |
アラートを発生させるベンダーの名前。この値は、Microsoft や Deep Security Agent、Microsoft マルウェア対策など、ユーザーにそのまま表示されます。 |
|
Entities
|
Entities | array of object |
アラートに関連するエンティティの一覧。 このリストには、さまざまな種類のエンティティが混在している場合があります。 エンティティ型には、Entitiessection で定義されている任意の型を指定できます。 以下の一覧にないエンティティも送信できますが、処理される保証はありません (ただし、アラートは検証に失敗しません)。 null に設定することはできません (代わりに空の列挙可能に設定されます)。 |
|
拡張リンク
|
ExtendedLinks | array of object |
アラートに関連するすべてのリンクのバッグ。 この袋は多様なタイプのためのリンクの混合物を握ることができる。 以下の一覧にないリンクも送信できますが、処理される保証はありません (ただし、アラートは検証に失敗しません)。 null に設定できません (代わりに空の列挙可能に設定されます) |
|
修復手順
|
RemediationSteps | array of string |
アラートを修復するために実行する手動アクション項目。 パラメーターのプレースホルダーがある場合があります。 (たとえば、プレース ホルダーの書式設定の例については、「ノート」セクションを参照してください)。 |
|
リソース識別子
|
ResourceIdentifiers | array of object |
適切な製品公開グループ (ワークスペース、サブスクリプションなど) にアラートを送信するために使用できる、このアラートのリソース識別子。 アラートごとに異なる種類の識別子が複数存在する場合があります。 詳細については、「リソース識別子」を参照してください。 |