Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Sentinel-Agent-Ereignisnormalisierungsschema stellt Ereignisse dar, die den Aktivitäten und Telemetriedaten von KI-Agents zugeordnet sind, die in unternehmensweiten Umgebungen ausgeführt werden. Diese Ereignisse erfassen das gesamte Spektrum der Agent-Interaktionen, einschließlich Modellaufrufe, Toolnutzung, Tokennutzung, Gedankenprozesse und Kommunikation zwischen Quell- und Ziel-Agents. Diese Aktivitäten werden von einer Vielzahl von KI-Agent-Plattformen und -Frameworks generiert, die jeweils Telemetriedaten in ihrem eigenen Format erzeugen.
Jede KI-Agent-Plattform protokolliert Agent-Ereignisse als Teil ihrer betriebsbezogenen Telemetriedaten. Durch die Normalisierung dieser Ereignisse mithilfe des ASIM-Schemas können Sicherheitsanalysten agent-Verhalten zwischen Plattformen korrelieren, anomale Muster erkennen und Vorfälle untersuchen, ohne das proprietäre Format jeder Quelle erlernen zu müssen.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Parser
Bereitstellen und Verwenden von Agent-Ereignisparsern
Stellen Sie die ASIM-Agent-Ereignisparser aus dem Microsoft Sentinel GitHub-Repository bereit. Um alle Agent-Ereignisquellen abzufragen, verwenden Sie den vereinheitlichenden Parser _Im_AgentEvent als Tabellennamen in Ihrer Abfrage.
Weitere Informationen zur Verwendung von ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Agent-Ereignisinformationsmodell implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax:
-
ASimAgentEvent<vendor><Product>für reguläre Parser -
vimAgentEvent<vendor><Product>für parametrisierte Parser
Informationen zum Hinzufügen von benutzerdefinierten Parsern zum Vereinheitlichen des Agent-Ereignisses finden Sie unter Verwalten von ASIM-Parsern.
Filtern von Parserparametern
Die Agent-Ereignisparser unterstützen das Filtern von Parametern. Diese Parameter sind zwar optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Ereignisse, die zu oder nach diesem Zeitpunkt ausgeführt wurden. Dieser Parameter verwendet das TimeGenerated -Feld als Zeit-Bezeichner des Ereignisses. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Ereignisse, die zu oder vor diesem Zeitpunkt ausgeführt wurden. Dieser Parameter verwendet das TimeGenerated -Feld als Zeit-Bezeichner des Ereignisses. |
| agentid_has_any | Dynamische | Filtern Sie nur Ereignisse, die über eine der Agent-IDs verfügen, wie im Feld SrcAgentId, TargetAgentId oder PlatformTargetAgentId dargestellt. |
| agentname_has_any | Dynamische | Filtern Sie nur Ereignisse, die über einen der Agentnamen verfügen, wie im Feld SrcAgentName, TargetAgentName oder PlatformTargetAgentName dargestellt. |
| username_has_any | Dynamische | Filtern Sie nur Ereignisse, die über einen der aufgelisteten Benutzernamen verfügen, wie im Feld ActorUsername dargestellt. |
Einige Parameter können sowohl eine Liste von Werten vom Typ dynamic als auch einen einzelnen Zeichenfolgenwert akzeptieren. Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.'])
Um beispielsweise nur Agent-Ereignisse mit den Agentnamen M365Planner des letzten Tages zu filtern, verwenden Sie Folgendes:
_Im_AgentEvent (agentname_has_any=dynamic(['M365Planner']), starttime = ago(1d), endtime=now())
Schemadetails
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine Felder für ASIM ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder mit spezifischen Richtlinien für Agentereignisse aufgeführt:
Alle gemeinsamen Felder
Felder in dieser Tabelle sind für alle ASIM-Schemas gemeinsam. Alle in diesem Dokument angegebenen Richtlinien setzen die allgemeinen Richtlinien für jedes Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel ALLGEMEINE ASIM-Felder .
| Class | Fields |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Empfohlen |
-
EventUid |
| Optional |
-
EventOriginalUid - EventOriginalType - EventOriginalResultDetails - AdditionalFields |
Informationen zum Quell-Agent
Ziel-Agent-Felder
Felder des Plattformziel-Agents
Akteurfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActorUserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Weitere Informationen und alternative Felder für andere IDs finden Sie unter Die Entität User. Beispiel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorUserIdType | Optional | Zeichenfolge | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel Schemaübersicht. |
| ActorUserScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Domänenname, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorUserScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| ActorUsername | Optional | Benutzername (Zeichenfolge) | Der Benutzername des Akteurs, einschließlich Domäneninformationen, falls verfügbar. Weitere Informationen finden Sie unter Die Entität User. Beispiel: AlbertE |
| ActorUsernameType | Optional | Zeichenfolge | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel Schemaübersicht. Beispiel: Windows |
| ActingAppId | Optional | Zeichenfolge | Die ID der Anwendung, die die gemeldete Aktivität initiiert hat, einschließlich eines Prozesses, Browsers oder Diensts. Beispiel: 0x12ae8 |
| ActingAppName | Optional | Zeichenfolge | Der Name der Anwendung, die die gemeldete Aktivität initiiert hat, einschließlich eines Diensts, einer URL oder einer SaaS-Anwendung. Beispiel: C:\Windows\System32\svchost.exe |
| ActingAppType | Optional | AppType | Der Typ der handelnden Anwendung. Weitere Informationen und eine Liste zulässiger Werte finden Sie unter AppType im Artikel Schemaübersicht. |
| ActingOriginalAppType | Optional | Zeichenfolge | Der Typ der Anwendung, die die Aktivität initiiert hat, wie vom Melden des Geräts gemeldet. |
Modellfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ModelProviderName | Optional | Zeichenfolge | Der Name des Modellanbieters. |
| ModelName | Optional | Zeichenfolge | Der Name des Modells. |
Tokenfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| InputTokensUsed | Optional | long | Die Anzahl der verwendeten Eingabetoken. |
| OutputTokensUsed | Optional | long | Die Anzahl der verwendeten Ausgabetoken. |
Toolfelder
Ereignisspezifische Felder
Verwandte Inhalte
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)
- ASIM-Webinar – Einführung in ASIM und das Normalisierungsschema