Microsoft Sentinel の分析ルールでは、セキュリティ アラートの結果としてインシデントが作成されます。 セキュリティ アラートのソースは 1 つではない場合があるため、インシデントの作成には異なる種類の分析ルールが使用されます。
スケジュールされた分析ルールでは、外部ソースから取り込まれたログに含まれるデータの通常のクエリの結果としてアラートが生成され、同じルールによってそれらのアラートからインシデントが作成されます。 (このドキュメントの目的では、"スケジュールされた" ルールのアラートには NRT ルールのアラートが含まれます。)
Microsoft セキュリティ分析ルールは、他の Microsoft セキュリティ 製品 (Microsoft Defender XDR や Microsoft Defender for Cloud など) からそのまま取り込まれたアラートからインシデントを作成します。
ソースに関係なく、これらのアラートはすべてまとめて Log Analytics ワークスペースの SecurityAlert テーブルに格納されます。 この記事では、このテーブルのスキーマについて説明します。
アラートには多くのソースがあるため、すべてのフィールドがすべてのプロバイダーによって使われるわけではありません。 一部のフィールドは空白のままになる場合があります。
スキーマ定義
| 列名 | 種類 | 説明 |
|---|---|---|
| AlertLink | string | 元の製品のポータルでのアラートへのリンク。 |
| AlertName | string | アラートの表示名。
|
| AlertSeverity | string | アラートの重大度。 [Informational / Low / Medium / High] |
| AlertType | string | アラートの種類。
|
| CompromisedEntity | string | アラート対象のメイン エンティティの表示名。 |
| ConfidenceLevel | string | このアラートの信頼度レベル: これが擬陽性ではないことを、プロバイダーがどの程度確信しているか。 |
| ConfidenceScore | real | 該当する場合、アラートの信頼度スコア (0.0 から 1.0 のスケール)。 このプロパティを使用すると、ConfidenceLevel フィールドよりさらに細かくアラートの信頼度レベルを表現できます。 |
| 説明 | string | アラートの説明。 |
| DisplayName | string | アラートの表示名。 AlertName と同意ですが、互換性のために残されています。 |
| EndTime | DATETIME | アラートの影響の終了日時。
|
| エンティティ | string | アラートで識別されたエンティティのリスト。 このリストには、異なる種類のエンティティの組み合わせが含まれる場合があります。 エンティティの種類は、スキーマで定義されているいずれかのものです (エンティティのドキュメントを参照)。 |
| ExtendedLinks | string | アラートに関連するすべてのリンクのバッグ (コレクション)。 このバッグには、異なる種類のリンクの組み合わせが含まれる場合があります。 |
| ExtendedProperties | string | ユーザー定義プロパティなど、アラートのその他のプロパティのコレクション。 アラートで定義されているカスタムの詳細と、アラートの詳細に含まれる動的な内容は、ここに格納されます。 |
| IsIncident | boolean | 非推奨。 常に false に設定します。 |
| ProcessingEndTime | DATETIME | アラートの発行の日時。
|
| ProductComponentName | string | アラートを生成した製品のコンポーネントの名前。 |
| ProductName | string | アラートを生成した製品の名前。 |
| ProviderName | string | アラートを生成したアラート プロバイダー (製品内のサービス) の名前。 |
| RemediationSteps | string | アラートを修復するために実行するアクション項目の一覧。 |
| ResourceId | string | アラートの対象となるリソースの一意識別子。 |
| SourceComputerId | string | 非推奨。 アラートを作成したサーバーでのエージェント ID でした。 |
| SourceSystem | string | 非推奨。 常に文字列 "Detection" が設定されます。 |
| StartTime | DATETIME | アラートの影響の開始日時。
|
| 状態 | string | ライフ サイクル内のアラートの状態。 [New / InProgress / Resolved / Dismissed / Unknown] |
| SystemAlertId | string | Microsoft Sentinel 内部でのアラートの一意の ID。 |
| 方針 | string | アラートに関連付けられている MITRE ATT&CK 戦術のコンマ区切りのリスト。 |
| Techniques | string | アラートに関連付けられている MITRE ATT&CK 手法のコンマ区切りのリスト。 |
| TenantId | string | テナントの一意の ID。 |
| TimeGenerated | DATETIME | アラートが生成された日時 (UTC)。 |
| Type | string | 定数 ("SecurityAlert") |
| VendorName | string | アラートを生成した製品のベンダー。 |
| VendorOriginalId | string | 生成元の製品によって設定される、特定のアラート インスタンスに対する一意の ID。 |
| WorkspaceResourceGroup | string | 非推奨 |
| WorkspaceSubscriptionId | string | 非推奨 |
次のステップ
セキュリティ アラートと分析ルールの詳細を確認します。