Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma normalizace událostí Microsoft Sentinel Audit představuje události spojené se záznamem auditu informačních systémů. Protokol auditu protokoluje aktivity konfigurace systému a změny zásad. Tyto změny často provádějí správci systému, ale můžou je také provádět uživatelé při konfiguraci nastavení svých vlastních aplikací.
Každý systém protokoluje události auditu spolu se svými základními protokoly aktivit. Brána firewall bude například protokolovat události týkající se síťových relací jsou procesy a auditovat události týkající se změn konfigurace použitých na samotnou bránu firewall.
Další informace o normalizaci v Microsoft Sentinel najdete v tématech Normalizace a Rozšířený model informací o zabezpečení (ASIM).
Přehled schématu
Hlavní pole události auditu jsou:
- Objekt, který může být například spravovaným prostředkem nebo pravidlem zásad, na které se událost zaměřuje, reprezentovaný polem Objekt. Pole ObjectType určuje typ objektu.
- Kontext aplikace objektu, reprezentovaný polem TargetAppName, který je aliasován aplikací.
- Operace provedená s objektem reprezentovaná poli EventType a Operation. Zatímco Operation je hodnota, kterou zdroj ohlásil, EventType je normalizovaná verze, která je konzistentnější napříč zdroji.
- Staré a nové hodnoty objektu, pokud jsou k dispozici, reprezentované OldValue a NewValue v uvedeném pořadí.
Události auditu také odkazují na následující entity, které jsou součástí operace konfigurace:
- Actor – uživatel provádějící operaci konfigurace.
- TargetApp – aplikace nebo systém, pro které se vztahuje operace konfigurace.
- Target – systém, ve kterém je spuštěná aplikace TargetApp*.
- ActingApp – aplikace používaná objektem Actor k provedení operace konfigurace.
- Src – systém používaný objektem Actor k zahájení operace konfigurace, pokud se liší od cíle.
Popisovač Dvc se používá pro zařízení pro vytváření sestav, což je místní systém pro relace hlášené koncovým bodem, a zprostředkující nebo zabezpečovací zařízení v jiných případech.
Analyzátory
Nasazení a používání analyzátorů událostí auditu
Nasaďte analyzátory událostí auditu ASIM z úložiště Microsoft Sentinel GitHub. Pokud chcete dotazovat na všechny zdroje událostí auditu, použijte v dotazu jako název tabulky sjednocující analyzátor imAuditEvent .
Další informace o používání analyzátorů ASIM najdete v přehledu analyzátorů ASIM. Seznam analyzátorů událostí auditu, Microsoft Sentinel jsou k mání, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro informační model událostí souboru pojmenujte funkce KQL pomocí následující syntaxe: imAuditEvent<vendor><Product>. Informace o tom, jak přidat vlastní analyzátory do sjednocujícího analyzátoru auditu, najdete v článku Správa analyzátorů ASIM .
Filtrování parametrů analyzátoru
Analyzátory událostí auditu podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zvýšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name (Název) | Typ | Popis |
|---|---|---|
| Starttime | Datetime | Filtrovat pouze události, které se spustily v tuto dobu nebo později. Tento parametr používá TimeGenerated pole jako označení času události. |
| Endtime | Datetime | Filtrovat pouze dotazy na události, které byly spuštěny v nebo před tímto časem. Tento parametr používá TimeGenerated pole jako označení času události. |
| srcipaddr_has_any_prefix | Dynamické | Filtrovat pouze události z této zdrojové IP adresy, jak je znázorněno v poli SrcIpAddr . |
| eventtype_in | řetězec | Filtrovat pouze události, u kterých je typ události, jak je znázorněno v poli Typ události , je libovolný z zadaných podmínek. |
| eventresult | řetězec | Filtrovat pouze události, u kterých se výsledek události vyjádřený v poli EventResult rovná hodnotě parametru. |
| actorusername_has_any | dynamic/string | Filtrovat pouze události, ve kterých objekt ActorUsername obsahuje libovolný z uvedených podmínek. |
| operation_has_any | dynamic/string | Filtrovat pouze události, ve kterých pole Operace obsahuje všechny zadané termíny. |
| object_has_any | dynamic/string | Filtrovat pouze události, ve kterých pole Objekt obsahuje některý z zadaných termínů. |
| newvalue_has_any | dynamic/string | Filtrovat pouze události, ve kterých pole NewValue obsahuje libovolný z uvedených termínů. |
Některé parametry můžou přijímat jak seznam hodnot typu, dynamic tak jednu řetězcovou hodnotu. Chcete-li předat seznam literálů parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Například: dynamic(['192.168.','10.'])
Pokud například chcete filtrovat pouze události auditu s termíny install nebo update v poli Operace od posledního dne, použijte:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Podrobnosti schématu
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsána v článku o společných polích ASIM .
Společná pole se specifickými pokyny
V následujícím seznamu jsou uvedena pole, která obsahují konkrétní pokyny pro události auditu:
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Eventtype | Povinné | Výčtové | Popisuje operaci auditovanou událostí pomocí normalizované hodnoty. Použijte EventSubType k zadání dalších podrobností, které normalizovaná hodnota nesděluje, a Operace. a uložte operaci tak, jak ji ohlásilo zařízení pro vytváření sestav. Pro záznamy událostí auditu jsou povolené hodnoty: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Události auditu představují širokou škálu operací a tato Other hodnota umožňuje operace mapování, které nemají odpovídající EventType. Použití Other však omezuje použitelnost události, a pokud je to možné, měli byste se mu vyhnout. |
| EventSubType | Nepovinný | String | Poskytuje další podrobnosti, které normalizovaná hodnota v EventType nesděluje. |
| EventSchema | Povinné | Výčtové | Název zde popsaného schématu je AuditEvent. |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Verze zde popsaného schématu je 0.1.2. |
Všechna společná pole
Pole, která se zobrazují v tabulce, jsou společná pro všechna schémata ASIM. Všechny pokyny uvedené v tomto dokumentu přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další informace o jednotlivých polích najdete v článku o společných polích ASIM .
| Třída | Pole |
|---|---|
| Povinné |
-
Počet událostí - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené |
-
EventResultDetails - EventSeverity - Id události - DvcIpAddr - Název hostitele Dvc - Doména dvc - DvcDomainType - DvcFQDN - DvcId - DvcIdType - Akce DvcAction |
| Nepovinný |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník událostí - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole auditu
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Operace | Povinné | String | Operace auditovaná tak, jak ohlásilo zařízení pro vytváření sestav. |
| Objekt | Povinné | String | Název objektu, na kterém se provádí operace identifikovaná pomocí třídy EventType . |
| Objectid | Nepovinný | String | ID objektu, na kterém se provádí operace identifikovaná pomocí třídy EventType . |
| Objecttype | Podmíněné | Výčtové | Typ objektu. Povolené hodnoty jsou: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Nepovinný | String | Typ objektu hlášený systémem generování sestav |
| Oldvalue | Nepovinný | String | Stará hodnota objektu před operací, pokud je k dispozici. |
| Newvalue | Doporučené | String | Nová hodnota Object po provedení operace, pokud je k dispozici. |
| Hodnotu | Alias | Alias na NewValue | |
| Valuetype | Podmíněné | Výčtové | Typ starých a nových hodnot. Povolené hodnoty jsou -Další |
Pole objektu Actor
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| ActorUserId | Nepovinný | String | Strojově čitelná alfanumerická a jedinečná reprezentace objektu Actor. Další informace a alternativní pole pro jiná ID najdete v tématu Entita Uživatel. Například: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Nepovinný | String | Obor, například Microsoft Entra Název domény, ve kterém jsou definovány ActorUserId a ActorUsername. další informace a seznam povolených hodnot najdete v tématu UserScope v článku Přehled schématu. |
| ActorScopeId | Nepovinný | String | ID oboru, například Microsoft Entra ID adresáře, ve kterém jsou definovány ActorUserId a ActorUsername. Další informace a seznam povolených hodnot najdete v tématu UserScopeId v článku Přehled schématu. |
| ActorUserIdType | Podmíněné | Výčtové | Typ ID uloženého v poli ActorUserId . Další informace a seznam povolených hodnot najdete v tématu UserIdType v článku Přehled schématu. |
| ActorUsername | Doporučené | Uživatelské jméno (řetězec) | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Další informace najdete v tématu Entita Uživatel. Například: AlbertE |
| Uživatel | Alias | Alias pro ActorUsername | |
| ActorUsernameType | Podmíněné | Typ uživatelského jména | Určuje typ uživatelského jména uloženého v poli ActorUsername . Další informace a seznam povolených hodnot najdete v tématu UsernameType v článku Přehled schématu. Například: Windows |
| ActorUserType | Nepovinný | Typ uživatele | Typ objektu Actor. Další informace a seznam povolených hodnot najdete v tématu UserType v článku Přehled schématu. Například: Guest |
| ActorOriginalUserType | Nepovinný | String | Typ uživatele hlášený zařízením pro vytváření sestav. |
| ActorSessionId | Nepovinný | String | Jedinečné ID přihlašovací relace objektu Actor. Například: 102pTUgC3p8RIqHvzxLCHnFlg |
Cílová pole aplikace
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| TargetAppId | Nepovinný | String | ID aplikace, na kterou se událost vztahuje, včetně procesu, prohlížeče nebo služby. Například: 89162 |
| TargetAppName | Nepovinný | String | Název aplikace, na kterou se událost vztahuje, včetně služby, adresy URL nebo aplikace SaaS. Například: Exchange 365 |
| Aplikace | Alias | Alias na TargetAppName | |
| TargetAppType | Podmíněné | Typ aplikace | Typ aplikace autorizující jménem objektu Actor. Další informace a seznam povolených hodnot najdete v tématu AppType v článku Přehled schématu. |
| TargetOriginalAppType | Nepovinný | String | Typ aplikace, na kterou se vztahuje událost hlášená zařízením pro generování sestav. |
| Cílová adresa | Nepovinný | URL | Adresa URL přidružená k cílové aplikaci. Například: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Pole cílového systému
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Dst | Alias | String | Jedinečný identifikátor cíle ověřování. Toto pole může aliasovat pole TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId nebo TargetAppName . Například: 192.168.12.1 |
| TargetHostname | Doporučené | Název hostitele | Název hostitele cílového zařízení s výjimkou informací o doméně. Například: DESKTOP-1282V4D |
| Cílová doména | Nepovinný | Domain(String) | Doména cílového zařízení. Například: Contoso |
| TargetDomainType | Podmíněné | Výčtové | Typ TargetDomain. Seznam povolených hodnot a další informace najdete v tématu DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá targetDomain . |
| CílovýFQDN | Nepovinný | Plně kvalifikovaný název domény (řetězec) | Název hostitele cílového zařízení, včetně informací o doméně, pokud jsou k dispozici. Například: Contoso\DESKTOP-1282V4D Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. TargetDomainType odráží použitý formát. |
| TargetDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
| TargetDvcId | Nepovinný | String | ID cílového zařízení. Pokud je k dispozici více ID, použijte nejdůležitější id a ostatní uložte do polí TargetDvc<DvcIdType>. Například: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. TargetDvcScopeId se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| TargetDvcScope | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. TargetDvcScope se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| TargetDvcIdType | Podmíněné | Výčtové | Typ TargetDvcId. Seznam povolených hodnot a další informace najdete v tématu DvcIdType v článku Přehled schématu. Vyžaduje se, pokud se používá TargetDeviceId . |
| TargetDeviceType | Nepovinný | Výčtové | Typ cílového zařízení. Seznam povolených hodnot a další informace najdete v tématu DeviceType v článku Přehled schématu. |
| TargetIpAddr | Doporučené | IP adresa | IP adresa cílového zařízení. Například: 2.2.2.2 |
| Objekty targetDvcOs | Nepovinný | String | Operační systém cílového zařízení. Například: Windows 10 |
| TargetPortNumber | Nepovinný | Celé číslo | Port cílového zařízení. |
| TargetGeoCountry | Nepovinný | Země | Země nebo oblast přidružená k cílové IP adrese. Například: USA |
| TargetGeoRegion | Nepovinný | Oblasti | Oblast v rámci země nebo oblasti přidružené k cílové IP adrese. Například: Vermont |
| TargetGeoCity | Nepovinný | Město | Město přidružené k cílové IP adrese. Například: Burlington |
| TargetGeoLatitude | Nepovinný | Šířky | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. Například: 44.475833 |
| TargetGeoLongitude | Nepovinný | Délky | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. Například: 73.211944 |
| TargetRiskLevel | Nepovinný | Celé číslo | Úroveň rizika přidružená k cíli. Hodnota by měla být upravena do rozsahu 0 do 100, s 0 neškodným a 100 vysokým rizikem.Například: 90 |
| TargetOriginalRiskLevel | Nepovinný | String | Úroveň rizika přidružená k cíli hlášená zařízením pro generování sestav. Například: Suspicious |
Pole fungující aplikace
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| ActingAppId | Nepovinný | String | ID aplikace, která iniciovala nahlášenou aktivitu, včetně procesu, prohlížeče nebo služby. Například: 0x12ae8 |
| ActingAppName | Nepovinný | String | Název aplikace, která iniciovala nahlášenou aktivitu, včetně služby, adresy URL nebo aplikace SaaS. Například: C:\Windows\System32\svchost.exe |
| ActingAppType | Nepovinný | Typ aplikace | Typ fungující aplikace. Další informace a seznam povolených hodnot najdete v tématu AppType v článku Přehled schématu. |
| ActingOriginalAppType | Nepovinný | String | Typ aplikace, která iniciovala aktivitu hlášenou zařízením pro vytváření sestav. |
| HttpUserAgent | Nepovinný | String | Pokud se ověřování provádí přes PROTOKOL HTTP nebo HTTPS, hodnota tohoto pole je user_agent hlavička HTTP, kterou při provádění ověřování poskytuje fungující aplikace. Například: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Pole zdrojového systému
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Src | Alias | String | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Například: 192.168.12.1 |
| SrcIpAddr | Doporučené | IP adresa | IP adresa, ze které pochází připojení nebo relace. Například: 77.138.103.108 |
| IpAddr | Alias | Alias pro SrcIpAddr nebo TargetIpAddr , pokud není SrcIpAddr zadaný. | |
| SrcPortNumber | Nepovinný | Celé číslo | Port IP, ze kterého pochází připojení. Nemusí být relevantní pro relaci obsahující více připojení. Například: 2335 |
| SrcHostname | Nepovinný | Název hostitele | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte příslušnou IP adresu do tohoto pole. Například: DESKTOP-1282V4D |
| SrcDomain | Nepovinný | Doména (řetězec) | Doména zdrojového zařízení. Například: Contoso |
| SrcDomainType | Podmíněné | Typ domény | Typ SrcDomain. Seznam povolených hodnot a další informace najdete v tématu DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Nepovinný | Plně kvalifikovaný název domény (řetězec) | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud jsou k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. Pole SrcDomainType odráží použitý formát. Například: Contoso\DESKTOP-1282V4D |
| Popis SrcDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
| SrcDvcId | Nepovinný | String | ID zdrojového zařízení. Pokud je k dispozici více ID, použijte nejdůležitější id a ostatní uložte do polí SrcDvc<DvcIdType>.Například: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| SrcDvcScope | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | DvcIdType | Typ SrcDvcId. Seznam povolených hodnot a další informace najdete v tématu DvcIdType v článku Přehled schématu. Poznámka: Toto pole je povinné, pokud se používá SrcDvcId . |
| SrcDeviceType | Nepovinný | DeviceType | Typ zdrojového zařízení. Seznam povolených hodnot a další informace najdete v tématu DeviceType v článku Přehled schématu. |
| SrcGeoCountry | Nepovinný | Země | Země nebo oblast přidružená ke zdrojové IP adrese. Například: USA |
| Oblast SrcGeo | Nepovinný | Oblasti | Oblast v rámci země nebo oblasti přidružené ke zdrojové IP adrese. Například: Vermont |
| SrcGeoCity | Nepovinný | Město | Město přidružené ke zdrojové IP adrese. Například: Burlington |
| SrcGeoLatitude | Nepovinný | Šířky | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Například: 44.475833 |
| SrcGeoLongitude | Nepovinný | Délky | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Například: 73.211944 |
| SrcRiskLevel | Nepovinný | Celé číslo | Úroveň rizika přidružená ke zdroji. Hodnota by měla být upravena do rozsahu 0 do 100, s 0 neškodným a 100 vysokým rizikem.Například: 90 |
| SrcOriginalRiskLevel | Nepovinný | String | Úroveň rizika přidružená ke zdroji hlášená zařízením pro generování sestav. Například: Suspicious |
Pole kontroly
Následující pole se používají k reprezentaci kontroly provedené systémem zabezpečení.
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Název pravidla | Nepovinný | String | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
| Číslo pravidla | Nepovinný | Celé číslo | Číslo pravidla přidruženého k výsledkům kontroly. |
| Pravidlo | Alias | String | Buď hodnotu RuleName , nebo hodnotu RuleNumber. Pokud je použita hodnota RuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Nepovinný | String | ID hrozby nebo malwaru zjištěného v aktivitě auditu. |
| ThreatName | Nepovinný | String | Název hrozby nebo malwaru zjištěného v aktivitě auditu. |
| ThreatCategory | Nepovinný | String | Kategorie hrozby nebo malwaru identifikované v aktivitě souboru auditu |
| ThreatRiskLevel | Nepovinný | RiskLevel (integer) | Úroveň rizika související s identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by mělo být normalizováno na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Nepovinný | String | Úroveň rizika hlášená zařízením pro hlášení. |
| ThreatConfidence | Nepovinný | ConfidenceLevel (integer) | Úroveň spolehlivosti identifikované hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Nepovinný | String | Původní úroveň spolehlivosti zjištěné hrozby hlášená zařízením pro hlášení. |
| ThreatIsActive | Nepovinný | Boolean | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Nepovinný | Datetime | První identifikace IP adresy nebo domény jako hrozby. |
| ThreatLastReportedTime | Nepovinný | Datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
| ThreatIpAddr | Nepovinný | IP adresa | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. |
| ThreatField | Podmíněné | Výčtové | Pole, pro které byla zjištěna hrozba. Hodnota je buď SrcIpAddr nebo TargetIpAddr. |
Aktualizace schématu
Změny ve verzi 0.1.1 schématu jsou:
- Přidání pole
ObjectIdaOriginalObjectType.
Změny ve verzi 0.1.2 schématu jsou:
- Přidání pole
ActingOriginalAppType, , ,SrcOriginalRiskLevelSrcRiskLevel, ,TargetGeoCity,TargetGeoCountry,TargetGeoLatitude,TargetGeoLongitude,,TargetGeoRegion,,TargetOriginalAppTypeTargetOriginalRiskLevelaOriginalObjectTypeTargetRiskLevel
Další kroky
Další informace najdete tady: