Alerta do Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem é um sistema unificado de gerenciamento de segurança de infraestrutura que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas na nuvem - estejam elas no Azure ou não - bem como no local
Esse conector está disponível nos seguintes produtos e regiões:
| Service | Class | Regions |
|---|---|---|
| Aplicativos Lógicos | Standard | Todas as regiões dos Aplicativos Lógicos , exceto as seguintes: - Departamento de Defesa dos EUA (DoD) |
| Contato | |
|---|---|
| Nome | Microsoft |
| URL |
Suporte do Microsoft LogicApps |
| Metadados do conector | |
|---|---|
| Publicador | Microsoft |
| Saiba Mais> | https://docs.microsoft.com/connectors/ascalert |
| Site | https://azure.microsoft.com/services/security-center/ |
Limitações
| Nome | Chamadas | Período de renovação |
|---|---|---|
| Chamadas à API por conexão | 100 | 60 segundos |
Gatilhos
| Quando um alerta do Microsoft Defender para Nuvem é criado ou disparado |
Dispara quando um alerta é criado no Microsoft Defender para Nuvem e corresponde aos critérios de avaliação configurados em uma automação ou quando executado manualmente em um alerta específico. Observação: a execução automatizada desse gatilho requer habilitar a automação no Microsoft Defender para Nuvem e habilitar um plano de proteção de carga de trabalho como uma etapa preliminar. Para fazer isso, visite o Microsoft Defender para Nuvem. |
Quando um alerta do Microsoft Defender para Nuvem é criado ou disparado
Dispara quando um alerta é criado no Microsoft Defender para Nuvem e corresponde aos critérios de avaliação configurados em uma automação ou quando executado manualmente em um alerta específico. Observação: a execução automatizada desse gatilho requer habilitar a automação no Microsoft Defender para Nuvem e habilitar um plano de proteção de carga de trabalho como uma etapa preliminar. Para fazer isso, visite o Microsoft Defender para Nuvem.
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Uri de alerta
|
AlertUri | string |
Um link direto para exibir o alerta com todos os seus detalhes no Microsoft Defender para Nuvem no portal do Azure. |
|
Nome de exibição do alerta
|
AlertDisplayName | string |
O nome de exibição do alerta, esse valor é exibido aos usuários as-is ou com parâmetros adicionais. (para obter exemplos de formatação de titulares de lugar, consulte a Seção Anotações). É recomendável não colocar os titulares de lugar no campo AlertDisplayName e ter o mesmo valor para todos os alertas que compartilham o mesmo valor alertType, já que os alertas podem ser agregados de acordo com o campo AlertType e mostrados aos usuários finais como tal. |
|
Tipo de alerta
|
AlertType | string |
O nome do tipo do alerta. Os alertas do mesmo tipo devem ter o mesmo nome. Esse campo é uma cadeia de caracteres chave que representa a categoria ou o tipo do alerta e não de uma instância de alerta. Todas as instâncias de alerta da mesma lógica/análise de detecção devem compartilhar o mesmo valor para o tipo de alerta. |
|
Entidade comprometida
|
CompromisedEntity | string |
Nome de exibição da entidade principal que está sendo reportada. Esse campo é apresentado ao usuário AS-IS e não é necessário para estar em conformidade com nenhum formato. Ele pode conter computadores, endereços IP, VMs ou qualquer coisa que o provedor de alertas decida apresentar. |
|
Description
|
Description | string |
Descrição do alerta, pode ter espaços reservados de parâmetros (para exemplos de formatação de titulares de local, consulte na Seção Anotações) |
|
Hora de Término (UTC)
|
EndTimeUtc | date-time |
A hora de término do impacto do alerta (a hora do último evento contribuindo para o alerta). |
|
Intenção
|
Intent | string |
Campo opcional que especifica a intenção relacionada à cadeia de eliminação por trás do alerta. A lista de valores com suporte está na seção Enumeração Kill Chain Intent. Vários valores podem ser selecionados neste campo. O formato JSON desse campo deve serializar os valores de enumeração como cadeias de caracteres. Vários valores devem ser separados por vírgula, por exemplo, Investigação, Exploração. |
|
Nome do Produto
|
ProductName | string |
O nome do produto que publicou esse alerta, ou seja, ASC, WDATP, MCAS. |
|
Severity
|
Severity | string |
A gravidade do alerta conforme ele é relatado pelo provedor. Valores possíveis: Informativo (também conhecido como Silencioso), Baixo, Médio, Alto |
|
Hora de Início (UTC)
|
StartTimeUtc | date-time |
A hora de início do impacto do alerta (a hora do primeiro evento contribuindo para o alerta). |
|
ID de Alerta do Sistema
|
SystemAlertId | string |
Contém o identificador do produto do alerta para o produto. Esse é o identificador de alerta que geralmente também está disponível externamente para consultar alertas por clientes ou sistemas externos. O editor de alertas interno a um produto deve usar o campo ProviderAlertId para relatar qualquer identificador a ser usado em um escopo de um único produto. |
|
Tempo Gerado (UTC)
|
TimeGenerated | date-time |
A hora em que o alerta foi gerado. Esse tempo deve conter a hora em que foi gerado pelo provedor de alertas, se o sistema não o atribuir no momento em que foi recebido para processamento. |
|
Nome do Fornecedor
|
VendorName | string |
O nome do fornecedor que gera o alerta, esse valor é exibido para os usuários como está, ou seja, Microsoft ou Deep Security Agent ou Microsoft Antimalware etc. |
|
Entities
|
Entities | array of object |
Uma lista de entidades relacionadas ao alerta. Essa lista pode conter uma mistura de entidades de tipos diversos. O tipo de entidade pode ser qualquer um dos tipos definidos na Entitiessection. Entidades que não estão na lista abaixo também podem ser enviadas, no entanto, não garantimos que elas serão processadas (no entanto, o alerta não falhará na validação). Não é possível definir como nulo (será definido como enumerável vazio em vez disso). |
|
Links Estendidos
|
ExtendedLinks | array of object |
Uma bolsa para todos os links relacionados ao alerta. Esse recipiente pode conter uma mistura de links para tipos diversos. Links que não estão na lista abaixo também podem ser enviados, no entanto, não garantimos que eles serão processados (no entanto, o alerta não falhará na validação). Não é possível definir como nulo (será definido como enumerável vazio em vez disso) |
|
Etapas de correção
|
RemediationSteps | array of string |
Itens de ação manuais a serem tomadas para corrigir o alerta. Pode ter espaços reservados para parâmetros. (para obter exemplos de formatação de titulares de lugar, consulte a Seção Anotações). |
|
Identificadores de recursos
|
ResourceIdentifiers | array of object |
Os identificadores de recurso para esse alerta que podem ser usados para direcionar o alerta para o grupo de exposição de produtos correto (workspace, assinatura etc.). Pode haver vários identificadores de tipo diferente por alerta. Consulte identificadores de recursos para obter mais detalhes. |