Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Et ASIM-skema (Advanced Security Information Model) er et sæt felter, der repræsenterer en aktivitet eller enhed. Hvis du bruger felterne fra et normaliseret skema i en forespørgsel, sikrer du, at forespørgslen fungerer sammen med alle normaliserede kilder.
Du kan få mere at vide om, hvordan skemaer passer inden for ASIM-arkitekturen, i ASIM-arkitekturdiagrammet.
Aktivitets-/hændelsesskemaer
Skemareferencer skitserer de felter, der indeholder hvert skema. ASIM definerer i øjeblikket følgende skemaer for hændelser:
| Skema | Skemanavn til test | Version | Status |
|---|---|---|---|
| Beskedhændelse | AlertEvent |
0.1 | GA |
| Overvågningshændelse | AuditEvent |
0.1.2 | GA |
| Godkendelseshændelse | Authentication |
0.1.4 | GA |
| DHCP-aktivitet | DhcpEvent |
0.1.1 | GA |
| DNS-aktivitet | Dns |
0.1.7 | GA |
| Filaktivitet | FileEvent |
0.2.2 | GA |
| Netværkssession | NetworkSession |
0.2.7 | GA |
| Proceshændelse | ProcessEvent |
0.1.4 | GA |
| Registreringsdatabasehændelse | RegistryEvent |
0.1.3 | GA |
| Brugeradministration | UserManagement |
0.1.2 | GA |
| Websession | WebSession |
0.2.7 | GA |
Enhedsskemaer
ASIM definerer i øjeblikket følgende skemaer for enheder:
| Skema | Skemanavn til test | Version | Status |
|---|---|---|---|
| Aktivenhed | AssetEntity |
0.1.0 | GA |
Du kan finde objekter, der er en del af andre ASIM-skemaer, i Hændelsesobjekter.
Felt navngivning
Kernen i hvert skema er feltnavnene i skemaet. Feltnavne tilhører følgende grupper:
- Felter, der er fælles for alle skemaer.
- Felter, der er specifikke for et skema.
- Felter, der repræsenterer objekter, f.eks. brugere, som deltager i skemaet. Felter, der repræsenterer objekter, er ens på tværs af skemaer.
Når kilder har felter, der ikke vises i det dokumenterede skema, normaliseres de for at sikre ensartethed. Hvis de ekstra felter repræsenterer en enhed, normaliseres de på baggrund af retningslinjerne for enhedsfelter. Ellers bestræber skemaerne sig på at sikre ensartethed på tværs af alle skemaer.
Selvom DNS-serveraktivitetslogge f.eks. ikke indeholder brugeroplysninger, kan DNS-aktivitetslogge fra et slutpunkt indeholde brugeroplysninger, som kan normaliseres i henhold til retningslinjerne for brugerens enheder.
Fælles felter
Nogle felter er fælles for alle ASIM-skemaer. Hvert skema kan tilføje retningslinjer for brug af nogle af de almindelige felter i konteksten af det specifikke skema. De tilladte værdier for feltet EventType kan f.eks. variere fra skema til skema, og det samme kan værdien af feltet EventSchemaVersion .
Feltklasser
Felter kan have flere klasser, som definerer, hvornår felterne skal implementeres af en parser:
- Obligatoriske felter skal vises i hver parser. Hvis kilden ikke indeholder oplysninger om denne værdi, eller dataene ikke på anden måde kan tilføjes, understøtter den ikke de fleste indholdselementer, der refererer til det normaliserede skema.
- Anbefalede felter skal normaliseres, hvis de er tilgængelige. De er dog muligvis ikke tilgængelige i alle kilder. Alle indholdselementer, der refererer til det normaliserede skema, bør tage højde for tilgængeligheden.
- Valgfrie felter kan normaliseres eller efterlades i deres oprindelige form, hvis de er tilgængelige. En minimal parser ville typisk ikke normalisere dem af hensyn til ydeevnen.
- Betingede felter er obligatoriske, hvis det efterfølgende felt udfyldes. Betingede felter bruges typisk til at beskrive værdien i et andet felt. Det fælles felt DvcIdType beskriver f.eks. værdien i det fælles felt DvcId og er derfor obligatorisk, hvis sidstnævnte udfyldes.
- Alias er en særlig type af et betinget felt og er obligatorisk, hvis aliasfeltet udfyldes.
Hændelsesobjekter
Hændelser udvikler sig omkring objekter, f.eks. brugere, værter, processer eller filer. Hver enhed kan kræve flere felter for at beskrive den. En vært kan f.eks. have et navn og en IP-adresse.
En enkelt post kan indeholde flere objekter af samme type, f.eks. både en kilde- og destinationsvært.
ASIM definerer, hvordan objekter beskrives konsekvent, og objekter gør det muligt at udvide skemaerne.
Selvom skemaet for netværkssessionen f.eks. ikke indeholder procesoplysninger, leverer nogle hændelseskilder procesoplysninger, der kan tilføjes. Du kan få flere oplysninger under Enheder.
Hvis du vil aktivere enhedsfunktionalitet, skal du bruge følgende retningslinjer for objektrepræsentation:
| Retningslinje | Beskrivelse |
|---|---|
| Præfikser og alias | Da en enkelt hændelse ofte indeholder mere end ét objekt af samme type, f.eks. kilde- og destinationsværter, bruges præfikser til at identificere det objekt, et felt er knyttet til. For at opretholde normaliseringen bruger ASIM et lille sæt standardpræfikser og vælger de mest relevante for enhedernes specifikke rolle. Hvis en enkelt enhed af en type er relevant for en hændelse, er det ikke nødvendigt at bruge et præfiks. Desuden er et sæt felter uden præfiksaliaser det mest anvendte objekt for hver type. |
| Identifikatorer og typer | Et normaliseret skema giver mulighed for flere identifikatorer for hver enhed, som vi forventer at eksistere sammen i hændelser. Hvis kildehændelsen har andre enheds-id'er, der ikke kan knyttes til det normaliserede skema, skal du beholde dem i kildeformularen eller bruge det dynamiske felt AdditionalFields . Hvis du vil bevare typeoplysningerne for id'erne, skal du gemme typen, når det er relevant, i et felt med samme navn og et suffiks af typen . F.eks. UserIdType. |
| Attributter | Objekter har ofte andre attributter, der ikke fungerer som et id, og som også kan kvalificeres med en beskrivelse. Hvis kildebrugeren f.eks. har domæneoplysninger, er det normaliserede felt SrcUserDomain. |
Du kan finde flere oplysninger om bestemte objekttyper i:
Du kan finde flere oplysninger om komplette enhedsskemaer i:
Aliaser
Aliasser tillader flere navne for en angivet værdi. I nogle tilfælde forventer forskellige brugere, at et felt har forskellige navne. I DNS-terminologien kan du f.eks. forvente et felt med navnet DnsQuery, mens det mere generelt har et domænenavn. Aliasdomænet hjælper brugeren ved at tillade brugen af begge navne.
Bemærk!
Aliasser er beregnet til at hjælpe en analytiker med interaktive forespørgsler. Når du bruger forespørgsler i indhold, der kan genbruges, f.eks. brugerdefinerede registreringer, analyseregler eller projektmapper, skal du bruge aliasfeltet i stedet for aliasset. Brug af aliasfeltet sikrer bedre ydeevne, færre fejl og bedre læsbarhed af forespørgsler.
I nogle tilfælde kan et alias have værdien af et af flere felter, afhængigt af hvilke værdier der er tilgængelige i hændelsen. F.eks. aliasset Dvc , aliasserne enten felterne DvcFQDN, DvcId, DvcHostname eller DvcIpAddr eller Event Product . Når et alias kan have flere værdier, skal dets type være en streng, der passer til alle mulige aliasværdier. Når du tildeler en værdi til et sådant alias, skal du derfor sørge for at konvertere typen til streng ved hjælp af funktionen KQL tilstring.
Oprindelige normaliserede tabeller indeholder ikke aliasser, da de ville medføre dublet af datalageret. I stedet tilføjer stub-fortolkerne aliasserne. Hvis du vil implementere aliasser i fortolkere, skal du oprette en kopi af den oprindelige værdi ved hjælp af operatoren extend .
Logiske typer
Hvert skemafelt har en type. Arbejdsområdet Log Analytics har et begrænset sæt datatyper. Derfor bruger Microsoft Sentinel en logisk type til mange skemafelter, som Log Analytics ikke gennemtvinger, men er påkrævet af hensyn til skemakompatibilitet. Logiske felttyper sikrer, at både værdier og feltnavne er ensartede på tværs af kilder.
| Datatype | Fysisk type | Format og værdi |
|---|---|---|
| Boolesk | Bool | Brug den indbyggede KQL-datatype bool i stedet for en numerisk repræsentation eller strengrepræsentation af booleske værdier. |
| Optalt | String | En liste over værdier, som eksplicit er defineret for feltet. Skemadefinitionen viser de accepterede værdier. |
| Dato/klokkeslæt | Afhængigt af funktionaliteten for indtagelsesmetoden skal du bruge en af følgende fysiske repræsentationer i faldende prioritet: – Indbygget datetime-type i Log Analytics – Et heltalsfelt, der bruger loganalysen til dato/klokkeslæt-numerisk repræsentation. – Et strengfelt, der bruger loganalysen til numerisk repræsentation af datetime – Et strengfelt, der lagrer et understøttet dato-/klokkeslætsformat i Log Analytics. |
Dato- og klokkeslætsrepræsentation i Log Analytics er ens, men forskellig fra Unix-klokkeslætsrepræsentation. Du kan få flere oplysninger i retningslinjerne for konvertering. Bemærk! Når det er relevant, skal klokkeslættet justeres. |
| MAC-adresse | String | Colon-Hexadecimal notation. |
| IP-adresse | String | Microsoft Sentinel skemaer har ikke separate IPv4- og IPv6-adresser. Alle IP-adressefelter kan indeholde enten en IPv4-adresse eller en IPv6-adresse på følgende måde: - IPv4 i en punkt-decimal-notation. - IPv6 i 8-hextets-notation, der tillader den korte form. Det kan f.eks. være: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Kort IPv6-format: 1080::8:800:200C:417A |
| FQDN | String | Et fuldt kvalificeret domænenavn ved hjælp af en punktnotation, learn.microsoft.comf.eks. . Du kan få flere oplysninger under Enhedens enhed. |
| Værtsnavn | String | Et værtsnavn, der ikke er et FQDN, indeholder op til 63 tegn, herunder bogstaver, tal og bindestreger. Du kan få flere oplysninger under Enhedens enhed. |
| Domæne | String | domænedelen af et FQDN uden værtsnavnet, learn.microsoft.comf.eks. . Du kan få flere oplysninger under Enhedens enhed. |
| Domænetype | Optalt | Den type domæne, der er gemt i felterne domæne og FQDN. Du kan se en liste over værdier og flere oplysninger under Enhedens enhed. |
| DvcIdType | Optalt | Typen af enheds-id, der er gemt i DvcId-felter. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DvcIdType. |
| DeviceType | Optalt | Typen af enhed, der er gemt i DeviceType-felter. Mulige værdier omfatter: - Computer- Mobile Device- IOT Device- Other. Du kan få flere oplysninger under Enhedens enhed. |
| Brugernavn | String | Et gyldigt brugernavn i en af de understøttede typer. Du kan få flere oplysninger under Brugerens objekt. |
| UsernameType | Optalt | Den type brugernavn, der er gemt i brugernavnsfelter. Du kan få flere oplysninger og en liste over understøttede værdier i Objektet Bruger. |
| UserIdType | Optalt | Typen af det id, der er gemt i bruger-id-felter. De understøttede værdier er SID, UIS, OktaIdAADID, , AWSIdog PUID. Du kan få flere oplysninger under Brugerens objekt. |
| UserType | Optalt | Brugerens type. Du kan få flere oplysninger og en liste over tilladte værdier i Objektet Bruger. |
| AppType | Optalt | Programtypen. Du kan se en liste over understøttede værdier under Programenhed. |
| Land | String | En streng, der bruger ISO 3166-1 i henhold til følgende prioritet: – Alfa-2-koder, f.eks US. for USA. - Alfa-3-koder, f.eks USA. for USA. - Kort navn. Du kan finde en liste over koder på webstedet ISO (International Standards Organization). |
| Region | String | Underinddelingsnavnet for land/område ved hjælp af ISO 3166-2. Du kan finde en liste over koder på webstedet ISO (International Standards Organization). |
| Byen | String | |
| Længdegrad | Dobbelt | ISO 6709-koordinatrepræsentation (signeret decimal). |
| Breddegrad | Dobbelt | ISO 6709-koordinatrepræsentation (signeret decimal). |
| MD5 | String | 32-heksadecimale tegn. |
| SHA1 | String | 40-heksadecimale tegn. |
| SHA256 | String | 64-hexadecimale tegn. |
| SHA512 | String | 128 hexadecimale tegn. |
| Konfidensniveau | Heltal | Et konfidensniveau normaliseres til intervallet 0 til 100. |
| Risikoniveau | Heltal | Et risikoniveau normaliseres til intervallet 0 til 100. |
| SchemaVersion | String | En ASIM-skemaversion i formatet <major>.<minor>.<sub-minor> |
| DnsQueryClassName | String | DNS-klassenavnet. |
| Brugernavn | String | Et simpelt brugernavn eller et domænekvalificeret brugernavn |
Eksempel på objekttilknytning
I dette afsnit bruges Windows-hændelse 4624 som et eksempel til at beskrive, hvordan hændelsesdataene normaliseres for Microsoft Sentinel.
Denne hændelse har følgende enheder:
| Microsoft-terminologi | Præfiks for oprindeligt hændelsesfelt | ASIM-feltpræfiks | Beskrivelse |
|---|---|---|---|
| Emne | Subject |
Actor |
Den bruger, der rapporterede oplysninger om et vellykket logon. |
| Nyt logon | Target |
TargetUser |
Den bruger, som logon blev udført for. |
| Proces | - | ActingProcess |
Den proces, der forsøgte at logge på. |
| Netværksoplysninger | - | Src |
Den computer, hvorfra der blev gjort forsøg på at logge på. |
På baggrund af disse enheder normaliseres Windows-hændelse 4624 på følgende måde (nogle felter er valgfrie):
| Normaliseret felt | Oprindeligt felt | Værdi i eksempel | Bemærkninger |
|---|---|---|---|
| AgentUserId | SubjectUserSid | S-1-5-18 | |
| AgentUserIdType | - | SID | |
| AgentUserName | SubjectDomainName\ SubjectUserName | ARBEJDSGRUPPE\WIN-GG82ULGC9GO$ | Bygget ved at sammenkæde de to felter |
| AgentUserNameType | - | Windows | |
| AgentSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| Userid | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Bygget ved at sammenkæde de to felter |
| Brugernavn | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | Procesnavn | C:\Windows\System32\svchost.exe | |
| ActingProcessId | Proces-id | 0x44c | |
| SrcHostname | Navn på arbejdsstation | Windows | |
| SrcIpAddr | Ipadresse | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Værtsnavn | Computer | Alias |
Næste trin
Denne artikel indeholder en oversigt over normalisering i Microsoft Sentinel og ASIM.
Du kan finde flere oplysninger under: