Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema di avviso Microsoft Sentinel è progettato per normalizzare gli avvisi correlati alla sicurezza da vari prodotti in un formato standardizzato all'interno di Microsoft Advanced Security Information Model (ASIM). Questo schema è incentrato esclusivamente sugli eventi di sicurezza, garantendo un'analisi coerente ed efficiente tra origini dati diverse.
Lo schema degli avvisi rappresenta vari tipi di avvisi di sicurezza, ad esempio minacce, attività sospette, anomalie del comportamento degli utenti e violazioni della conformità. Questi avvisi vengono segnalati da diversi prodotti e sistemi di sicurezza, tra cui, a titolo esemplificativa, EDR, software antivirus, sistemi di rilevamento delle intrusioni, strumenti di prevenzione della perdita dei dati e così via.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).
Parser
Per altre informazioni sui parser ASIM, vedere panoramica dei parser ASIM.
Unificazione dei parser
Per usare parser che unificano tutti i parser predefiniti di ASIM e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare il _Im_AlertEvent parser.
Parser predefiniti specifici dell'origine
Per l'elenco dei parser di avviso Microsoft Sentinel fornisce elementi predefiniti, vedere l'elenco dei parser ASIM.
Aggiungere i propri parser normalizzati
Quando si sviluppano parser personalizzati per il modello di informazioni sugli avvisi, denominare le funzioni KQL usando la sintassi seguente:
-
vimAlertEvent<vendor><Product>per i parser con parametri -
ASimAlertEvent<vendor><Product>per i parser regolari
Per informazioni su come aggiungere i parser personalizzati ai parser di avviso unificanti, vedere l'articolo Gestione dei parser ASIM .
Filtro dei parametri del parser
I parser di avviso supportano vari parametri di filtro per migliorare le prestazioni delle query. Questi parametri sono facoltativi, ma possono migliorare le prestazioni delle query. Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| Starttime | datetime | Filtrare solo gli avvisi avviati in corrispondenza o dopo questo periodo di tempo. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| Endtime | datetime | Filtrare solo gli avvisi avviati in corrispondenza o prima di questo momento. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| ipaddr_has_any_prefix | Dinamico | Filtrare solo gli avvisi per cui il campo 'DvcIpAddr' si trova in uno dei valori elencati. |
| hostname_has_any | Dinamico | Filtra solo gli avvisi per cui il campo 'DvcHostname' si trova in uno dei valori elencati. |
| username_has_any | Dinamico | Filtrare solo gli avvisi per cui il campo "Username" si trova in uno dei valori elencati. |
| attacktactics_has_any | Dinamico | Filtrare solo gli avvisi per cui il campo 'AttackTactics' si trova in uno dei valori elencati. |
| attacktechniques_has_any | Dinamico | Filtrare solo gli avvisi per cui il campo 'AttackTechniques' si trova in uno dei valori elencati. |
| threatcategory_has_any | Dinamico | Filtrare solo gli avvisi per cui il campo 'ThreatCategory' si trova in uno dei valori elencati. |
| alertverdict_has_any | Dinamico | Filtrare solo gli avvisi per cui il campo 'AlertVerdict' si trova in uno dei valori elencati. |
| eventseverity_has_any | Dinamico | Filtra solo gli avvisi per cui il campo 'EventSeverity' si trova in uno dei valori elencati. |
Panoramica dello schema
Lo schema di avviso gestisce diversi tipi di eventi di sicurezza, che condividono gli stessi campi. Questi eventi sono identificati dal campo EventType:
- Informazioni sulle minacce: avvisi correlati a vari tipi di attività dannose, ad esempio malware, phishing, ransomware e altre minacce informatiche.
- Attività sospette: avvisi per le attività che non sono necessariamente minacce confermate, ma sono sospette e richiedono ulteriori indagini, ad esempio più tentativi di accesso non riusciti o accesso a file con restrizioni.
- Anomalie del comportamento utente: avvisi che indicano un comportamento utente insolito o imprevisto che potrebbe suggerire un problema di sicurezza, ad esempio orari di accesso anomali o modelli di accesso ai dati insoliti.
- Violazioni di conformità: avvisi relativi alla non conformità ai criteri normativi o interni. Ad esempio, una macchina virtuale esposta con porte pubbliche aperte vulnerabili agli attacchi (avviso di sicurezza cloud).
Importante
Per mantenere la pertinenza e l'efficacia dello schema di avviso, è necessario eseguire il mapping solo degli avvisi correlati alla sicurezza.
Lo schema di avviso fa riferimento alle entità seguenti per acquisire i dettagli sull'avviso:
-
I campi Dvc vengono usati per acquisire i dettagli sull'host o l'ip associato all'avviso
-
I campi utente vengono usati per acquisire i dettagli sull'utente associato all'avviso.
- Analogamente, i campi Process, File, Url, Registry e Email vengono usati per acquisire solo i dettagli chiave relativi rispettivamente al processo, al file, all'URL, al Registro di sistema e alla posta elettronica associati all'avviso.
Importante
- Quando si compila un parser specifico del prodotto, usare lo schema di avviso ASIM quando l'avviso contiene informazioni su un evento imprevisto o una potenziale minaccia per la sicurezza e i dettagli primari possono essere mappati direttamente ai campi dello schema di avviso disponibili. Lo schema di avviso è ideale per acquisire informazioni di riepilogo senza campi completi specifici dell'entità.
- Tuttavia, se ci si trova a inserire campi essenziali in "AdditionalFields" a causa della mancanza di corrispondenze di campo diretto, considerare uno schema più specializzato. Ad esempio, se un avviso include dettagli correlati alla rete, ad esempio più indirizzi IP, ad esempio SrcIpAdr, DstIpAddr, PortNumber e così via, è possibile scegliere lo schema NetworkSession sullo schema alert. Gli schemi specializzati forniscono anche campi dedicati per l'acquisizione di informazioni correlate alle minacce, il miglioramento della qualità dei dati e l'ottimizzazione dell'analisi efficiente.
Dettagli schema
Campi ASIM comuni
Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi di avviso:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerato | Tipo dell'evento. I valori supportati sono: - Alert |
| EventSubType | Consigliata | Enumerato | Specifica il sottotipo o la categoria dell'evento di avviso, fornendo dettagli più granulari all'interno della classificazione più ampia degli eventi. Questo campo consente di distinguere la natura del problema rilevato, migliorando le strategie di definizione delle priorità e di risposta degli eventi imprevisti. I valori supportati includono: - Threat (Rappresenta un'attività dannosa confermata o altamente probabile che potrebbe compromettere il sistema o la rete)- Suspicious Activity (Contrassegna il comportamento o gli eventi che sembrano insoliti o sospetti, anche se non ancora confermati come dannosi)- Anomaly (Identifica le deviazioni dai modelli normali che potrebbero indicare un potenziale rischio per la sicurezza o un problema operativo)- Compliance Violation (evidenzia le attività che violano gli standard normativi, di criteri o di conformità) |
| EventUid | Obbligatorio | stringa | Stringa alfanumerica leggibile dal computer che identifica in modo univoco un avviso all'interno di un sistema. Ad esempio. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Facoltativo | stringa | Informazioni dettagliate sull'avviso, inclusi il contesto, la causa e il potenziale impatto. Ad esempio. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias o nome descrittivo per il DvcIpAddr campo. |
|
| Hostname | Alias | Alias o nome descrittivo per il DvcHostname campo. |
|
| EventSchema | Obbligatorio | Enumerato | Schema utilizzato per l'evento. Lo schema documentato qui è AlertEvent. |
| EventSchemaVersion | Obbligatorio | SchemaVersion (String) | Versione dello schema. La versione dello schema documentata qui è 0.1. |
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Qualsiasi linea guida specificata in precedenza sostituisce le linee guida generali per il campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .
| Classe | Fields |
|---|---|
| Obbligatorio |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Consigliata |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Facoltativo |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campi di ispezione
La tabella seguente illustra i campi che forniscono informazioni critiche sulle regole e le minacce associate agli avvisi. Insieme, contribuiscono ad arricchire il contesto dell'avviso, rendendo più semplice per gli analisti della sicurezza comprenderne l'origine e il significato.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AlertId | Alias | stringa | Alias o nome descrittivo per il EventUid campo. |
| AlertName | Consigliata | stringa | Titolo o nome dell'avviso. Ad esempio. Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | stringa | Alias o nome descrittivo per il EventMessage campo. |
| AlertVerdict | Facoltativo | Enumerato | La determinazione finale o il risultato dell'avviso, che indica se l'avviso è stato confermato come una minaccia, considerato sospetto o risolto come falso positivo. I valori supportati sono: - True Positive (Confermato come una minaccia legittima)- False Positive (Erroneamente identificato come una minaccia)- Benign Positive (quando l'evento è determinato come innocuo)- Unknown (Stato incerto o non determinato) |
| AlertStatus | Facoltativo | Enumerato | Indica lo stato corrente o lo stato di avanzamento dell'avviso. I valori supportati sono: - Active- Closed |
| AlertOriginalStatus | Facoltativo | stringa | Stato dell'avviso come segnalato dal sistema di origine. |
| DetectionMethod | Facoltativo | Enumerato | Fornisce informazioni dettagliate sul metodo di rilevamento, la tecnologia o l'origine dati specifici che hanno contribuito alla generazione dell'avviso. Questo campo offre maggiori informazioni sul modo in cui l'avviso è stato rilevato o attivato, semplificando la comprensione del contesto di rilevamento e dell'affidabilità. I valori supportati includono: - EDR: sistemi di rilevamento e risposta degli endpoint che monitorano e analizzano le attività degli endpoint per identificare le minacce.- Behavioral Analytics: tecniche che rilevano modelli anomali nel comportamento dell'utente, del dispositivo o del sistema.- Reputation: rilevamento delle minacce in base alla reputazione di indirizzi IP, domini o file.- Threat Intelligence: feed di intelligence esterni o interni che forniscono dati su minacce note o tattiche antagoniste.- Intrusion Detection: sistemi che monitorano il traffico di rete o le attività per individuare i segni di intrusioni o attacchi.- Automated Investigation: sistemi automatizzati che analizzano e analizzano gli avvisi, riducendo il carico di lavoro manuale.- Antivirus: motori antivirus tradizionali che rilevano malware in base a firme ed euristica.- Data Loss Prevention: soluzioni incentrate sulla prevenzione di trasferimenti o perdite di dati non autorizzati.- User Defined Blocked List: elenchi personalizzati definiti dagli utenti per bloccare indirizzi IP, domini o file specifici.- Cloud Security Posture Management: strumenti che valutano e gestiscono i rischi per la sicurezza negli ambienti cloud.- Cloud Application Security: soluzioni che consentono di proteggere i dati e le applicazioni cloud.- Scheduled Alerts: avvisi generati in base a pianificazioni o soglie predefinite.- Other: qualsiasi altro metodo di rilevamento non coperto dalle categorie precedenti. |
| Regola | Alias | stringa | Valore di RuleName o valore di RuleNumber. Se viene utilizzato il valore di RuleNumber, il tipo deve essere convertito in stringa. |
| RuleNumber | Facoltativo | int | Numero della regola associata all'avviso. Ad esempio. 123456 |
| Rulename | Facoltativo | stringa | Nome o ID della regola associata all'avviso. Ad esempio. Server PSEXEC Execution via Remote Access |
| Ruledescription | Facoltativo | stringa | Descrizione della regola associata all'avviso. Ad esempio. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Facoltativo | stringa | ID della minaccia o del malware identificato nell'avviso. Ad esempio. 1234567891011121314 |
| ThreatName | Facoltativo | stringa | Nome della minaccia o del malware identificato nell'avviso. Ad esempio. Init.exe |
| ThreatFirstReportedTime | Facoltativo | datetime | Data e ora in cui la minaccia è stata segnalata per la prima volta. Ad esempio. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Facoltativo | datetime | Data e ora dell'ultima segnalazione della minaccia. Ad esempio. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Consigliata | Enumerato | Categoria della minaccia o del malware identificato nell'avviso. I valori supportati sono: Malware, Ransomware, Trojan, Virus, Worm, Adware, Spyware, RootkitCryptominor, Phishing, Spam, , MaliciousUrl, , Spoofing, Security Policy ViolationUnknown |
| ThreatOriginalCategory | Facoltativo | stringa | Categoria della minaccia segnalata dal sistema di origine. |
| ThreatIsActive | Facoltativo | bool | Indica se la minaccia è attualmente attiva. I valori supportati sono: True, False |
| ThreatRiskLevel | Facoltativo | RiskLevel (Integer) | Livello di rischio associato alla minaccia. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore può essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata in base a questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facoltativo | stringa | Livello di rischio indicato dal sistema di origine. |
| ThreatConfidence | Facoltativo | ConfidenceLevel (Integer) | Livello di attendibilità della minaccia identificata, normalizzata in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | stringa | Livello di attendibilità indicato dal sistema di origine. |
| IndicatorType | Consigliata | Enumerato | Tipo o categoria dell'indicatore I valori supportati sono: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatoreAssociazione | Facoltativo | Enumerato | Specifica se l'indicatore è collegato o direttamente interessato dalla minaccia. I valori supportati sono: - Associated- Targeted |
| AttackTactics | Consigliata | stringa | Tattiche di attacco (nome, ID o entrambi) associate all'avviso. Formato preferito: Ad esempio: Persistence, Privilege Escalation |
| AttackTechniques | Consigliata | stringa | Le tecniche di attacco (nome, ID o entrambe) associate all'avviso. Formato preferito: Ad esempio: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Consigliata | stringa | Azioni o passaggi consigliati per attenuare o correggere l'attacco o la minaccia identificati. Ad esempio. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Campi utente
Questa sezione definisce i campi relativi all'identificazione e alla classificazione degli utenti associati a un avviso, fornendo chiarezza sull'utente interessato e sul formato della relativa identità. Se l'avviso contiene più campi aggiuntivi correlati all'utente che superano quanto mappato qui, è possibile valutare se uno schema specializzato, ad esempio lo schema dell'evento di autenticazione, potrebbe essere più appropriato per rappresentare completamente i dati.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Userid | Facoltativo | stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente associato all'avviso. Ad esempio. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Condizionale | Enumerato | Tipo dell'ID utente, ad GUIDesempio , SIDo Email.I valori supportati sono: - GUID- SID- Email- Username- Phone- Other |
| Username | Consigliata | Nome utente (stringa) | Nome dell'utente associato all'avviso, incluse le informazioni sul dominio quando disponibili. ad esempio Contoso\JSmith o john.smith@contoso.com |
| Utente | Alias | stringa | Alias o nome descrittivo per il Username campo. |
| UsernameType | Condizionale | UsernameType | Specifica il tipo di nome utente archiviato nel Username campo. Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameTypenell'articolo Panoramica dello schema.Ad esempio. Windows |
| Usertype | Facoltativo | Usertype | Tipo dell'oggetto Actor. Per altre informazioni ed elenco dei valori consentiti, vedere UserTypenell'articolo Panoramica dello schema. Ad esempio. Guest |
| OriginalUserType | Facoltativo | stringa | Tipo di utente segnalato dal dispositivo di report. |
| UserSessionId | Facoltativo | stringa | ID univoco della sessione dell'utente associata all'avviso. Ad esempio. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Facoltativo | stringa | ID ambito, ad esempio Microsoft Entra ID directory, in cui vengono definiti UserId e Username. Ad esempio. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Facoltativo | stringa | Ambito, ad esempio Microsoft Entra tenant, in cui vengono definiti UserId e Username. Per altre informazioni ed elenco dei valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. Ad esempio. Contoso Directory |
Campi processo
Questa sezione consente di acquisire i dettagli relativi a un'entità di processo coinvolta in un avviso usando i campi specificati. Se l'avviso contiene campi aggiuntivi e dettagliati correlati al processo che superano quanto mappato qui, è possibile valutare se uno schema specializzato, ad esempio lo schema dell'evento di processo, potrebbe essere più appropriato per rappresentare completamente i dati.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Processid | Facoltativo | stringa | ID processo (PID) associato all'avviso. Ad esempio. 12345678 |
| ProcessCommandLine | Facoltativo | stringa | Riga di comando usata per avviare il processo. Ad esempio. "choco.exe" -v |
| Processname | Facoltativo | stringa | Nome del processo. Ad esempio. C:\Windows\explorer.exe |
| ProcessFileCompany | Facoltativo | stringa | Società che ha creato il file di immagine del processo. Ad esempio. Microsoft |
Campi file
Questa sezione consente di acquisire i dettagli relativi a un'entità file coinvolta in un avviso. Se l'avviso contiene campi aggiuntivi e dettagliati correlati ai file che superano il mapping qui, è possibile valutare se uno schema specializzato, ad esempio lo schema eventi file, potrebbe essere più appropriato per rappresentare completamente i dati.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| FileName | Facoltativo | stringa | Nome del file associato all'avviso, senza percorso o percorso. Ad esempio. Notepad.exe |
| Filepath | Facoltativo | stringa | Percorso completo normalizzato del file di destinazione, inclusi la cartella o il percorso, il nome del file e l'estensione. Ad esempio. C:\Windows\System32\notepad.exe |
| FileSHA1 | Facoltativo | stringa | Hash SHA1 del file. Ad esempio. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Facoltativo | stringa | Hash SHA256 del file. Ad esempio. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Facoltativo | stringa | Hash MD5 del file. Ad esempio. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Dimensione | Facoltativo | long | Dimensioni del file in byte. Ad esempio. 123456 |
Campo URL
Se l'avviso include informazioni sull'entità URL, i campi seguenti possono acquisire dati correlati agli URL.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Url | Facoltativo | stringa | Stringa URL acquisita nell'avviso. Ad esempio. https://contoso.com/fo/?k=v&q=u#f |
Campi del Registro di sistema
Se l'avviso include dettagli sull'entità del Registro di sistema, usare i campi seguenti per acquisire informazioni specifiche correlate al Registro di sistema.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Registrykey | Facoltativo | stringa | Chiave del Registro di sistema associata all'avviso normalizzata in base alle convenzioni di denominazione delle chiavi radice standard. Ad esempio. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Facoltativo | stringa | Valore del Registro di sistema. Ad esempio. ImagePath |
| RegistryValueData | Facoltativo | stringa | Dati del valore del Registro di sistema. Ad esempio. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Facoltativo | Enumerato | Tipo del valore del Registro di sistema. Ad esempio. Reg_Expand_Sz |
Campi Email
Se l'avviso include informazioni sull'entità di posta elettronica, usare i campi seguenti per acquisire dettagli specifici correlati alla posta elettronica.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EmailMessageId | Facoltativo | stringa | Identificatore univoco per il messaggio di posta elettronica, associato all'avviso. Ad esempio. Request for Invoice Access |
| EmailSubject | Facoltativo | stringa | Oggetto del messaggio di posta elettronica. Ad esempio. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Aggiornamenti dello schema
Di seguito sono riportate le modifiche apportate alle varie versioni dello schema:
- Versione 0.1: versione iniziale.