Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il Microsoft Sentinel Asset Entity Schema è progettato per normalizzare gli asset di vari prodotti in un formato standardizzato all'interno di Microsoft Advanced Security Information Model (ASIM). Questo schema è incentrato esclusivamente sugli asset in origini dati non Microsoft, garantendo analisi coerenti ed efficienti.
Un asset è una risorsa di dati archiviata, elaborata o gestita da un'organizzazione, ad esempio un file o un sito. Ogni asset include metadati rilevanti per la sicurezza, tra cui proprietà, autorizzazioni, classificazioni di riservatezza e indicatori di rischio. Gli asset possono provenire da un'ampia gamma di piattaforme, database, servizi di archiviazione cloud, applicazioni SaaS e sistemi locali e vengono raccolti come snapshot di inventario completi o feed di modifiche incrementali.
Normalizzando i dati degli asset in uno schema comune, Microsoft Sentinel consente ai team di sicurezza di analizzare e correlare le informazioni sugli asset in diverse origini dati in modo coerente. I campi chiave nello schema includono EntityId e EntityName per identificare in modo univoco gli asset, AssetType per distinguere tra tipi di asset, ad esempio File o Sito, AssetOwnerId per tenere traccia della proprietà AssetSensitivityLabel e AssetOriginalDataClassificationType per il contesto di classificazione dei dati e EntityFeedType per indicare se un record è uno snapshot di inventario completo o una modifica incrementale. Questa rappresentazione unificata alimenta scenari downstream, ad esempio l'identificazione di file sensibili sovradivisi, il rilevamento delle modifiche alle autorizzazioni, il rilevamento di asset non protetti e la visualizzazione del rischio nell'intero patrimonio di dati tramite integrazioni come Microsoft Purview Gestione del comportamento di sicurezza dei dati (DSPM).
L'utilizzo dello schema consente Microsoft Purview DSPM di gestire il comportamento di sicurezza dei dati tra le piattaforme Microsoft e partner. Per altre informazioni, vedere l'annuncio di Ignite 2025 che introduce l'ecosistema di partner DSPM.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization e Advanced Security Information Model (ASIM).
Parser
Per altre informazioni sui parser ASIM, vedere panoramica dei parser ASIM.
Unificazione dei parser
Per usare parser che unificano tutti i parser predefiniti di ASIM e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare il _Im_AssetEntity parser.
Aggiungere parser normalizzati personalizzati
Quando si sviluppano parser personalizzati per lo schema di entità asset, denominare le funzioni KQL usando la sintassi seguente:
-
vimAssetEntity<vendor><Product>per parser con parametri -
ASimAssetEntity<vendor><Product>per parser regolari
Fare riferimento all'articolo Gestione dei parser ASIM per informazioni su come aggiungere parser personalizzati ai parser unificanti.
Filtro dei parametri del parser
I parser di entità asset supportano vari parametri di filtro per migliorare le prestazioni delle query. Questi parametri sono facoltativi, ma possono migliorare le prestazioni delle query. Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| starttime | datetime | Filtra solo gli asset inseriti in o dopo questa volta. Questo parametro filtra nel EntityIngestionTime campo, ovvero l'operatore standard per l'ora dell'asset. |
| endtime | datetime | Filtra solo gli asset inseriti in questo momento o in precedenza. Questo parametro filtra nel EntityIngestionTime campo, ovvero l'operatore standard per l'ora dell'asset. |
| entityid_has_any | dynamic | Filtra solo gli asset per i quali il campo 'EntityId' è in uno dei valori elencati. |
| entityname_has_any | dynamic | Filtra solo gli asset per i quali il campo "EntityName" si trova in uno dei valori elencati. |
| assettype_in | string | Filtrare solo gli asset per i quali il campo 'AssetType' è uguale al valore del parametro. |
| path_has_any | dynamic | Filtra solo gli asset per i quali il campo "FilePath" o "SitePath" si trova in uno dei valori elencati. |
| assetowner_has_any | dynamic | Filtra solo gli asset per i quali il campo "AssetOwner" o "AdditionalAssetOwners" si trova in uno dei valori elencati. |
| entitysource_has_any | dynamic | Filtra solo gli asset per i quali il campo 'EntitySource' si trova in uno dei valori elencati. |
Dettagli dello schema
Campi di entità ASIM comuni
L'elenco seguente elenca i campi per uno schema di entità insieme alle linee guida specifiche per le entità asset:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EntityUpdatedTime | Obbligatorio | datetime | Timestamp (UTC) di quando l'entità è stata aggiornata o raccolta nell'origine. |
| EntityIngestionTime | Opzionale | datetime | Timestamp (UTC) di quando la pipeline di inserimento riceve il log degli asset. |
| EntityId | Obbligatorio | string | Identificatore univoco dell'asset. |
| EntityOriginalId | Opzionale | string | Identificatore univoco dell'asset nell'origine, se diverso da "EntityId". |
| EntityName | Obbligatorio | string | Nome dell'entità. |
| EntityNameType | Raccomandato | string | Tipo del nome dell'entità. |
| EntityVendor | Obbligatorio | string | Fornitore o provider che ha segnalato l'entità. |
| EntitySource | Obbligatorio | string | Origine dati o connettore che ha fornito il record di entità. |
| EntityProduct | Obbligatorio | string | Nome del prodotto associato all'origine che ha segnalato l'entità. |
| EntitySubProduct | Obbligatorio | string | Nome del prodotto secondario o del componente associato all'origine che ha segnalato l'entità. |
| EntityCreatedTime | Obbligatorio | datetime | Timestamp (UTC) di quando l'entità è stata originariamente creata nel sistema di origine. |
| EntityLastAccessedTime | Opzionale | datetime | Timestamp (UTC) di quando è stato eseguito l'ultimo accesso all'entità. |
| EntityLastModifiedTime | Obbligatorio | datetime | Timestamp (UTC) di quando l'entità è stata modificata per l'ultima volta nel sistema di origine. |
| EntityIsDeleted | Opzionale | bool | Indica se l'entità è stata eliminata nel sistema di origine. |
| EntityFeedType | Obbligatorio | Enumerato | Tipo o categoria del feed di dati che ha fornito il record di entità. I valori consentiti sono: Snapshot o Changefeed. |
| EntitySchema | Obbligatorio | Enumerato | Schema usato per l'entità. Lo schema documentato qui è Asset. |
| EntitySchemaVersion | Obbligatorio | SchemaVersion (stringa) | La versione dello schema. La versione dello schema documentata qui è 0.1.0. |
Campi del proprietario dell'asset
Questa sezione definisce le informazioni sul proprietario dell'asset. Se l'asset ha più proprietari, popolare entrambi i campi AssetOwnerId e AdditionalAssetOwners.
AdditionalAssetOwners deve essere una matrice di stringhe e le stringhe devono essere nello stesso formato di AssetOwnerId.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetOwnerId | Obbligatorio | string | Rappresentazione univoca, alfanumerica e leggibile del computer dell'attore. Per altre informazioni e per campi alternativi per altri ID, vedere L'entità User. |
| AssetOwnerIdType | Raccomandato | string | Tipo o formato dell'identificatore del proprietario dell'asset. Questo è analogo a UserIdType negli schemi di eventi. Per altre informazioni ed elenco dei valori consentiti, vedere UserIdType nell'articolo Panoramica dello schema. |
| AssetOwnerType | Opzionale | string | Tipo del proprietario dell'asset. Per altre informazioni e l'elenco dei valori consentiti, vedere UserType nell'articolo Panoramica dello schema. |
| AssetOwnerScope | Opzionale | string | Ambito organizzativo o amministrativo a cui appartiene il proprietario dell'asset. |
| AssetOwnerScopeId | Opzionale | string | Identificatore dell'ambito a cui appartiene il proprietario dell'asset. |
| AdditionalAssetOwners | Opzionale | dynamic | Raccolta dinamica di proprietari aggiuntivi o comproprietari associati all'asset. Deve essere una matrice di stringhe. |
Campi dei metadati degli asset
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AADTenantId | Obbligatorio | string | Identificatore del tenant Azure Active Directory associato all'asset o all'entità. |
| IdentityDirectoryName | Opzionale | string | Nome della directory di identità, ad esempio Azure AD, GCP, AWS, associato all'entità. |
| IdentityDirectoryId | Obbligatorio | string | Identificatore della directory identity associata all'entità. |
| Campi aggiuntivi | Opzionale | dynamic | Informazioni aggiuntive sull'entità non acquisita da altri campi nello schema. |
Campi tipo di asset
Questa sezione definisce le informazioni sul tipo di asset. I tipi correnti supportati sono File e Site. Le proprietà aggiuntive del tipo di asset devono essere popolate.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetType | Obbligatorio | string | Tipo generale dell'asset. I valori consentiti e supportati sono: File, Site. |
| AssetOriginalType | Raccomandato | string | Nome originale del tipo generale dell'asset nell'origine. |
Campi di sicurezza degli asset
Questa sezione illustra il comportamento di sicurezza e il contesto di esposizione dell'asset, inclusi le autorizzazioni di origine, la riservatezza e la classificazione dei dati, lo stato di protezione DLP, gli indicatori di minaccia correlati e l'ora dell'ultima analisi della classificazione. Include anche i conteggi di accesso degli utenti interni ed esterni per valutare la potenziale esposizione.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetOriginalPermissions | Opzionale | dynamic | Set di autorizzazioni originale assegnato all'asset come segnalato dal sistema di origine. |
| AssetSensitivityLabel | Obbligatorio | string | Etichetta di riservatezza applicata all'asset. I valori consentiti sono: Personal, Public, General, Confidential, Highly Confidential. |
| AssetOriginalSensitivityLevel | Opzionale | string | Livello di riservatezza segnalato dal sistema di origine, prima della normalizzazione. |
| AssetIsProtectedByDlp | Opzionale | bool | Indica se l'asset è protetto da un criterio di prevenzione della perdita dei dati (DLP). |
| AssetRelatedIndicators | Opzionale | dynamic | Raccolta dinamica di indicatori di minaccia o segnali correlati all'asset. |
| AssetOriginalDataClassificationType | Obbligatorio | dynamic | I tipi di classificazione dei dati originali assegnati all'asset come segnalato dal sistema di origine. Deve essere una matrice di stringhe*. |
| AssetClassificationLastScanDateTime | Obbligatorio | datetime | Timestamp (UTC) dell'ultima analisi dell'asset per la classificazione dei dati. |
| InternalUsersCount | Opzionale | int | Numero di utenti interni associati o che hanno accesso all'asset. |
| ExternalUsersCount | Opzionale | int | Numero di utenti esterni associati o che hanno accesso all'asset. |
Campi di rischio asset
Questa sezione acquisisce il contesto di rischio per l'asset, inclusi i nomi e i livelli di rischio normalizzati e segnalati dall'origine, i timestamp del primo e l'ultimo report e i dettagli sui rischi specifici del provider.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetRiskName | Opzionale | string | Nome normalizzato del rischio o della minaccia associata all'asset. |
| AssetRiskLevel | Opzionale | Enumerato | Livello di rischio normalizzato assegnato all'asset. I valori consentiti sono: Info, Low, Medium, High, Critical, . Other |
| AssetOriginalRiskLevel | Opzionale | string | Livello di rischio assegnato all'asset come segnalato dal sistema di origine, prima della normalizzazione. |
| AssetRiskFirstReportedTime | Opzionale | datetime | Timestamp (UTC) di quando il rischio associato all'asset è stato segnalato per la prima volta. |
| AssetRiskLastReportedTime | Opzionale | datetime | Timestamp (UTC) di quando il rischio associato all'asset è stato segnalato più di recente. |
| AssetOriginalRiskDetails | Opzionale | dynamic | Dettagli completi del rischio per l'asset, come fornito dal sistema di origine. |
Campi file (tipo di asset)
In questa sezione vengono acquisite le proprietà degli asset specifiche del file. Le proprietà devono essere popolate se è AssetTypeFile.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| FilePath | Opzionale | string | Percorso completo del file associato all'asset. |
| FileSize | Opzionale | lungo | Le dimensioni del file in byte. |
| FileMD5 | Opzionale | string | Hash MD5 del file associato all'asset. |
| FileSHA1 | Opzionale | string | Hash SHA-1 del file associato all'asset. |
| FileSHA256 | Opzionale | string | Hash SHA-256 del file associato all'asset. |
| FileSHA512 | Opzionale | string | Hash SHA-512 del file associato all'asset. |
| FileExtension | Opzionale | string | Estensione del file associato all'asset, ad esempio .exe o .pdf. |
| FileIsSignatureValid | Opzionale | bool | Indica se la firma digitale del file è valida. |
| FileSignatureDetails | Opzionale | string | Informazioni dettagliate sulla firma digitale del file, ad esempio le informazioni sul firmatario o sul certificato. |
Campi sito (tipo di asset)
Questa sezione acquisisce le proprietà della posizione specifiche del sito per gli asset del sito di SharePoint. Le proprietà devono essere popolate se è AssetTypeSite.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| SitePath | Opzionale | string | Percorso del sito o della posizione di archiviazione associata all'asset. |
| SitePrimaryUri | Opzionale | string | URI primario del sito o della posizione di archiviazione associata all'asset. |
Aliases
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetPath | Alias | string | Alias per FilePath o SitePath |
| User | Alias | string | Alias per AssetOwnerId. |
Aggiornamenti dello schema
Di seguito sono riportate le modifiche in varie versioni dello schema:
- Versione 0.1.0: versione iniziale.
Passaggi successivi
Per altre informazioni, vedere: