Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma MODELU ASIM (Advanced Security Information Model) je sada polí, která představují aktivitu nebo entitu. Použití polí z normalizovaného schématu v dotazu zajistí, že dotaz bude fungovat s každým normalizovaným zdrojem.
Informace o tom, jak se schémata hodí do architektury ASIM, najdete v diagramu architektury ASIM.
Schémata aktivit a událostí
Odkazy na schéma popisují pole, která tvoří jednotlivá schémata. ASIM aktuálně definuje následující schémata pro události:
| Schématu | Název schématu pro testy | Verze | Stav |
|---|---|---|---|
| Událost upozornění | AlertEvent |
0.1 | GA |
| Událost auditu | AuditEvent |
0.1.2 | GA |
| Událost ověřování | Authentication |
0.1.4 | GA |
| Aktivita DHCP | DhcpEvent |
0.1.1 | GA |
| Aktivita DNS | Dns |
0.1.7 | GA |
| Aktivita souborů | FileEvent |
0.2.2 | GA |
| Síťová relace | NetworkSession |
0.2.7 | GA |
| Událost procesu | ProcessEvent |
0.1.4 | GA |
| Událost registru | RegistryEvent |
0.1.3 | GA |
| Správa uživatelů | UserManagement |
0.1.2 | GA |
| Webová relace | WebSession |
0.2.7 | GA |
Schémata entit
ASIM aktuálně definuje následující schémata pro entity:
| Schématu | Název schématu pro testy | Verze | Stav |
|---|---|---|---|
| Entita assetu | AssetEntity |
0.1.0 | GA |
Entity, které jsou součástí jiných schémat ASIM, najdete v tématu Entity událostí.
Pojmenování polí
Základem každého schématu jsou jeho názvy polí. Názvy polí patří do následujících skupin:
- Pole společná pro všechna schémata
- Pole specifická pro schéma.
- Pole, která představují entity, například uživatele, kteří se účastní schématu Pole, která představují entity , jsou podobná napříč schématy.
Pokud zdroje obsahují pole, která nejsou uvedena v dokumentovaném schématu, normalizují se kvůli zachování konzistence. Pokud pole navíc představují entitu, normalizují se na základě pokynů pro pole entity. V opačném případě se schémata snaží zachovat konzistenci napříč všemi schématy.
Protokoly aktivit serveru DNS například neposkytují informace o uživateli, ale protokoly aktivit DNS z koncového bodu můžou obsahovat informace o uživateli, které je možné normalizovat podle pokynů k entitám uživatele.
Společná pole
Některá pole jsou společná pro všechna schémata ASIM. Každé schéma může přidat pokyny pro použití některých společných polí v kontextu konkrétního schématu. Například povolené hodnoty pole EventType se mohou lišit podle schématu, stejně jako hodnota pole EventSchemaVersion .
Třídy polí
Pole můžou mít několik tříd, které definují, kdy mají být pole implementována analyzátorem:
- Povinná pole se musí zobrazovat v každém analyzátoru. Pokud zdroj neposkytuje informace pro tuto hodnotu nebo data nelze přidat jinak, nepodporuje většinu položek obsahu, které odkazují na normalizované schéma.
- Doporučená pole by měla být normalizována, pokud jsou k dispozici. Nemusí ale být dostupné ve všech zdrojích. Všechny položky obsahu, které odkazují na normalizované schéma, by měly brát v úvahu dostupnost.
- Volitelná pole, pokud jsou k dispozici, je možné normalizovat nebo ponechat v původní podobě. Minimální analyzátor by je obvykle nenormalizoval z důvodů výkonu.
- Podmíněná pole jsou povinná, pokud je pole, za kterým následují, vyplněné. Podmíněná pole se obvykle používají k popisu hodnoty v jiném poli. Například společné pole DvcIdType popisuje hodnotu ve společném poli DvcId , a proto je povinné, pokud je vyplněno druhé pole.
- Alias je speciální typ podmíněného pole a je povinný, pokud je pole s aliasy naplněné.
Entity událostí
Události se vyvíjejí kolem entit, jako jsou uživatelé, hostitelé, procesy nebo soubory. Každá entita může k popisu vyžadovat několik polí. Hostitel může mít například název a IP adresu.
Jeden záznam může obsahovat více entit stejného typu, například zdrojového i cílového hostitele.
ASIM definuje konzistentní popis entit a entity umožňují rozšíření schémat.
Schéma síťové relace například neobsahuje informace o procesu, ale některé zdroje událostí poskytují informace o procesu, které je možné přidat. Další informace najdete v tématu Entity.
Pro povolení funkcí entity platí pro reprezentaci entity následující pokyny:
| Obecné zásady | Popis |
|---|---|
| Předpony a aliasy | Vzhledem k tomu, že jedna událost často zahrnuje více než jednu entitu stejného typu, jako jsou zdrojoví a cíloví hostitelé, používají se předpony k identifikaci entity přidružené k poli. Pro zachování normalizace používá ASIM malou sadu standardních předpon a vybírá ty nejvhodnější pro konkrétní roli entit. Pokud je pro událost relevantní jedna entita typu, není nutné používat předponu. Sada polí bez aliasů předpony také představuje nejpoužívanější entitu pro každý typ. |
| Identifikátory a typy | Normalizované schéma umožňuje pro každou entitu několik identifikátorů, které očekáváme, že v událostech budou existovat společně. Pokud zdrojová událost obsahuje další identifikátory entit, které nelze namapovat na normalizované schéma, ponechte je ve zdrojovém formuláři nebo použijte dynamické pole AdditionalFields . Pokud chcete zachovat informace o typu identifikátorů, uložte typ (pokud je to možné) do pole se stejným názvem a příponou Typu. Například UserIdType. |
| Atributy | Entity často mají další atributy, které neslouží jako identifikátor a dají se také kvalifikovat pomocí popisovače. Pokud má například zdrojový uživatel informace o doméně, normalizované pole je SrcUserDomain. |
Další informace o konkrétních typech entit najdete tady:
Další informace o úplných schématech entit najdete tady:
Aliasy
Aliasy umožňují více názvů pro zadanou hodnotu. V některých případech různí uživatelé očekávají, že pole bude mít jiné názvy. Například v terminologii DNS můžete očekávat pole s názvem DnsQuery, ale obecněji bude obsahovat název domény. Alias Domain pomáhá uživateli tím, že povolí použití obou jmen.
Poznámka
Aliasy mají analytikům pomoct s interaktivními dotazy. Pokud používáte dotazy v opakovaně použitelném obsahu, jako jsou vlastní detekce, analytická pravidla nebo sešity, použijte místo aliasu pole s aliasem. Použití pole s aliasy zajistí lepší výkon, méně chyb a lepší čitelnost dotazů.
V některých případech může mít alias hodnotu jednoho z několika polí v závislosti na tom, které hodnoty jsou v události k dispozici. Například alias Dvc , aliasy buď DvcFQDN, DvcId, DvcHostname, nebo DvcIpAddr nebo Event Product . Pokud může mít alias několik hodnot, musí být jeho typem řetězec, aby se pojaly všechny možné hodnoty s aliasy. Proto při přiřazování hodnoty k takovému aliasu nezapomeňte typ převést na řetězec pomocí funkce KQL na řetězec.
Nativní normalizované tabulky neobsahují aliasy, protože by to znamenalo duplicitní úložiště dat. Místo toho analyzátory zástupných procedur přidají aliasy. Pokud chcete implementovat aliasy v analyzátorech, vytvořte kopii původní hodnoty pomocí operátoru extend .
Logické typy
Každé pole schématu má typ. Pracovní prostor služby Log Analytics má omezenou sadu datových typů. Z tohoto důvodu Microsoft Sentinel používá logický typ pro mnoho polí schématu, který Log Analytics nevynucuje, ale vyžaduje se kvůli kompatibilitě schématu. Logické typy polí zajišťují, aby hodnoty i názvy polí byly konzistentní napříč zdroji.
| Datový typ | Fyzický typ | Formát a hodnota |
|---|---|---|
| Boolean | Bool | Místo číselné nebo řetězcové reprezentace logických hodnot použijte integrovaný datový typ KQL bool . |
| Výčtové | String | Seznam hodnot, které jsou explicitně definovány pro pole. Definice schématu obsahuje seznam přijatých hodnot. |
| Datum a čas | V závislosti na schopnosti metody příjmu dat použijte některou z následujících fyzických reprezentací v sestupné prioritě: – Integrovaný typ datetime v Log Analytics – Celočíselné pole používající číselnou reprezentaci data a času v Log Analytics. – Řetězcové pole využívající číselnou reprezentaci data a času v Log Analytics – Pole řetězce, ve které se ukládá podporovaný formát data a času služby Log Analytics. |
Reprezentace data a času v Log Analytics je podobná, ale liší se od reprezentace času v Unixu. Další informace najdete v pokynech pro převod. Poznámka: Pokud je to možné, čas by měl být upraven časovým pásmem. |
| Adresa MAC | String | Colon-Hexadecimal zápis. |
| IP adresa | String | Microsoft Sentinel schémata nemají samostatné adresy IPv4 a IPv6. Každé pole IP adresy může obsahovat adresu IPv4 nebo IPv6 následujícím způsobem: - IPv4 v desítkovém zápisu. - IPv6 v zápisu 8 hextetů, což umožňuje krátký tvar. Příklady: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Krátká forma protokolu IPv6: 1080::8:800:200C:417A |
| FQDN | String | Plně kvalifikovaný název domény pomocí tečkového zápisu, learn.microsoft.comnapříklad . Další informace najdete v tématu Entita Zařízení. |
| Hostname | String | Název hostitele, který není plně kvalifikovaným názvem domény, obsahuje až 63 znaků včetně písmen, čísel a pomlček. Další informace najdete v tématu Entita Zařízení. |
| Domain (Doména) | String | část domény plně kvalifikovaného názvu domény bez názvu hostitele, learn.microsoft.comnapříklad . Další informace najdete v tématu Entita Zařízení. |
| Typ domény | Výčtové | Typ domény uložené v polích doména a plně kvalifikovaný název domény. Seznam hodnot a další informace najdete v tématu Entita Zařízení. |
| DvcIdType | Výčtové | Typ ID zařízení uloženého v polích DvcId. Seznam povolených hodnot a další informace najdete v tématu DvcIdType. |
| DeviceType | Výčtové | Typ zařízení uloženého v polích DeviceType Mezi možné hodnoty patří: - Computer- Mobile Device- IOT Device- Other. Další informace najdete v tématu Entita Zařízení. |
| Username | String | Platné uživatelské jméno v jednom z podporovaných typů. Další informace najdete v tématu Entita Uživatel. |
| Typ uživatelského jména | Výčtové | Typ uživatelského jména uloženého v polích uživatelského jména. Další informace a seznam podporovaných hodnot najdete v tématu Entita Uživatel. |
| UserIdType | Výčtové | Typ ID uloženého v polích ID uživatele. Podporované hodnoty jsou SID, UIS, AADID, OktaId, AWSIda PUID. Další informace najdete v tématu Entita Uživatel. |
| Typ uživatele | Výčtové | Typ uživatele. Další informace a seznam povolených hodnot najdete v tématu Entita Uživatel. |
| Typ aplikace | Výčtové | Typ aplikace. Seznam podporovaných hodnot najdete v tématu Entita aplikace. |
| Země | String | Řetězec používající ISO 3166-1 podle následující priority: - Alfa-2 kódy, například US pro USA. - Alfa-3 kódy, například USA pro USA. - Krátký název. Seznam kódů najdete na webu Mezinárodní organizace pro standardy (ISO). |
| Oblasti | String | Název dílčího rozdělení země/oblasti pomocí ISO 3166-2 Seznam kódů najdete na webu Mezinárodní organizace pro standardy (ISO). |
| Město | String | |
| Délky | Dvojité | Vyjádření souřadnic ISO 6709 (desetinné číslo se signoummmi číslo) |
| Šířky | Dvojité | Vyjádření souřadnic ISO 6709 (desetinné číslo se signoummmi číslo) |
| MD5 | String | 32 šestnáctkových znaků. |
| SHA1 | String | 40 šestnáctkových znaků. |
| SHA256 | String | 64 šestnáctkových znaků. |
| SHA512 | String | 128 šestnáctkových znaků. |
| Úroveň spolehlivosti | Celé číslo | Úroveň spolehlivosti normalizovaná v rozsahu od 0 do 100. |
| Úroveň rizika | Celé číslo | Úroveň rizika normalizovaná v rozsahu od 0 do 100. |
| SchemaVersion | String | Verze schématu ASIM ve formátu <major>.<minor>.<sub-minor> |
| DnsQueryClassName | String | Název třídy DNS. |
| Uživatelské jméno | String | Jednoduché uživatelské jméno nebo uživatelské jméno kvalifikované k doméně |
Ukázkové mapování entit
Tato část používá událost 4624 systému Windows jako příklad k popisu způsobu normalizace dat událostí pro Microsoft Sentinel.
Tato událost má následující entity:
| Terminologie Microsoftu | Předpona pole původní události | Předpona pole ASIM | Popis |
|---|---|---|---|
| Předmět | Subject |
Actor |
Uživatel, který nahlásil informace o úspěšném přihlášení. |
| Nové přihlášení | Target |
TargetUser |
Uživatel, pro kterého se provedlo přihlášení. |
| Proces | - | ActingProcess |
Proces, který se pokusil o přihlášení. |
| Informace o síti | - | Src |
Počítač, ze kterého byl proveden pokus o přihlášení. |
Na základě těchto entit se událost 4624 systému Windows normalizuje následujícím způsobem (některá pole jsou volitelná):
| Normalizované pole | Původní pole | Hodnota v příkladu | Poznámky |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Vytvořeno zřetězením dvou polí |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| Id cílového uživatele | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| Userid | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Vytvořeno zřetězením dvou polí |
| Uživatelské jméno | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | Id cílovéhologonu | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | Processid | 0x44c | |
| SrcHostname | Název pracovní stanice | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Počítače | win-GG82ULGC9GO | |
| Hostname (Název hostitele) | Počítače | Alias |
Další kroky
Tento článek obsahuje přehled normalizace v Microsoft Sentinel a ASIM.
Další informace najdete tady: