Riferimento allo schema di normalizzazione degli eventi di normalizzazione degli eventi di sicurezza avanzata (anteprima pubblica)
Lo schema di normalizzazione degli eventi di controllo di Microsoft Sentinel rappresenta gli eventi associati al audit trail dei sistemi informativi. Il audit trail registra le attività di configurazione del sistema e le modifiche dei criteri. Tali modifiche vengono spesso eseguite dagli amministratori di sistema, ma possono anche essere eseguite dagli utenti durante la configurazione delle impostazioni delle proprie applicazioni.
Ogni log di sistema registra gli eventi di controllo insieme ai log attività principali. Ad esempio, un firewall registra gli eventi relativi alle sessioni di rete è un processo e controlla gli eventi relativi alle modifiche di configurazione applicate al firewall stesso.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).
Importante
Lo schema di normalizzazione dell'evento di controllo è attualmente in anteprima. Questa funzionalità viene fornita senza un contratto di servizio. Non è consigliabile usarlo per carichi di lavoro di produzione.
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Panoramica dello schema
I campi principali di un evento di controllo sono:
- Oggetto, che può essere, ad esempio, una risorsa gestita o una regola dei criteri, su cui l'evento è incentrato, rappresentato dal campo Object. Il campo ObjectType specifica il tipo dell'oggetto.
- Contesto dell'applicazione dell'oggetto, rappresentato dal campo TargetAppName, aliased da Application.
- Operazione eseguita sull'oggetto, rappresentata dai campi EventType e Operation. Mentre Operation è il valore segnalato dall'origine, EventType è una versione normalizzata più coerente tra le origini.
- I valori vecchi e nuovi per l'oggetto, se applicabile, rappresentati rispettivamente da OldValue e NewValue.
Gli eventi di controllo fanno riferimento anche alle entità seguenti, coinvolte nell'operazione di configurazione:
- Actor : l'utente che esegue l'operazione di configurazione.
- TargetApp : applicazione o sistema per cui si applica l'operazione di configurazione.
- Target : sistema in cui è in esecuzione TaregtApp*.
- ActingApp: applicazione usata dall'attore per eseguire l'operazione di configurazione.
- Src: sistema usato dall'attore per avviare l'operazione di configurazione, se diverso da Target.
Il descrittore Dvc viene usato per il dispositivo di report, ovvero il sistema locale per le sessioni segnalate da un endpoint e il dispositivo intermedio o di sicurezza in altri casi.
Parser
Distribuzione e uso dei parser di eventi di controllo
Distribuire i parser di eventi di controllo ASIM dal repository GitHub di Microsoft Sentinel. Per eseguire query in tutte le origini evento di controllo, usare il parser imAuditEvent unificante come nome di tabella nella query.
Per altre informazioni sull'uso dei parser ASIM, vedere panoramica dei parser ASIM. Per l'elenco dei parser di eventi di controllo, Microsoft Sentinel fornisce informazioni predefinite, vedere l'elenco dei parser ASIM
Aggiungere parser normalizzati personalizzati
Quando si implementano parser personalizzati per il modello di informazioni sugli eventi file, denominare le funzioni KQL usando la sintassi seguente: imAuditEvent<vendor><Product>. Fare riferimento all'articolo Gestione dei parser ASIM per informazioni su come aggiungere parser personalizzati all'evento di controllo unificando il parser.
Filtro dei parametri del parser
I parser degli eventi di controllo supportano i parametri di filtro. Anche se questi parametri sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| starttime | datetime | Filtra solo gli eventi eseguiti in o dopo questa volta. Questo parametro usa il TimeGenerated campo come designatore dell'ora dell'evento. |
| endtime | datetime | Filtrare solo le query sugli eventi che hanno terminato l'esecuzione in o prima di questa volta. Questo parametro usa il TimeGenerated campo come designatore dell'ora dell'evento. |
| srcipaddr_has_any_prefix | dynamic | Filtrare solo gli eventi da questo indirizzo IP di origine, come rappresentato nel campo SrcIpAddr . |
| eventtype_in | string | Filtrare solo gli eventi in cui il tipo di evento, come rappresentato nel campo EventType , è uno dei termini specificati. |
| eventresult | string | Filtrare solo gli eventi in cui il risultato dell'evento, come rappresentato nel campo EventResult è uguale al valore del parametro. |
| actorusername_has_any | dynamic/string | Filtra solo gli eventi in cui ActorUsername include uno dei termini specificati. |
| operation_has_any | dynamic/string | Filtra solo gli eventi in cui il campo Operation include uno dei termini specificati. |
| object_has_any | dynamic/string | Filtra solo gli eventi in cui il campo Object include uno dei termini specificati. |
| newvalue_has_any | dynamic/string | Filtra solo gli eventi in cui il campo NewValue include uno dei termini specificati. |
Alcuni parametri possono accettare entrambi l'elenco di valori di tipo dynamic o un singolo valore stringa. Per passare un elenco di valori letterali ai parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.'])
Ad esempio, per filtrare solo gli eventi di controllo con i termini install o update nel relativo campo Operation , dall'ultimo giorno , usare:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Dettagli dello schema
Campi comuni di ASIM
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.
Campi comuni con linee guida specifiche
Nell'elenco seguente vengono menzionati campi con linee guida specifiche per gli eventi di controllo:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerated | Descrive l'operazione controllata dall'evento utilizzando un valore normalizzato. Usare EventSubType per fornire ulteriori dettagli, che il valore normalizzato non trasmette e Operation. per archiviare l'operazione come segnalato dal dispositivo di report. Per i record audit event, i valori consentiti sono: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Gli eventi di controllo rappresentano un'ampia gamma di operazioni e il Other valore abilita le operazioni di mapping senza EventTypecorrispondenti. Tuttavia, l'uso di Other limita l'usabilità dell'evento e deve essere evitato, se possibile. |
| EventSubType | Facoltativo | String | Fornisce altri dettagli, che il valore normalizzato in EventType non trasmette. |
| EventSchema | Obbligatorio | String | Il nome dello schema documentato qui è AuditEvent. |
| EventSchemaVersion | Obbligatorio | String | La versione dello schema. La versione dello schema documentata qui è 0.1. |
Tutti i campi comuni
I campi visualizzati nella tabella sono comuni a tutti gli schemi ASIM. Una delle linee guida specificate in questo documento sostituisce le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni ASIM.
| Classe | Campi |
|---|---|
| Obbligatorio | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliato | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campi aggiuntivi - DvcDescription - DvcScopeId - DvcScope |
Campi di controllo
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Operazione | Obbligatorio | String | Operazione controllata come segnalato dal dispositivo di report. |
| Oggetto | Obbligatorio | String | Nome dell'oggetto in cui viene eseguita l'operazione identificata da EventType . |
| ObjectType | Obbligatorio | Enumerated | Tipo di Oggetto. I valori consentiti sono i seguenti: - Cloud Resource- Configuration Atom- Policy Rule-Altro |
| OldValue | Facoltativo | String | Valore precedente di Object prima dell'operazione, se applicabile. |
| NewValue | Facoltativo | String | Nuovo valore di Object dopo l'esecuzione dell'operazione, se applicabile. |
| valore | Alias | Alias a NewValue | |
| ValueType | Condizionale | Enumerated | Tipo dei valori vecchi e nuovi. I valori consentiti sono -Altro |
Campi attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Facoltativo | String | Rappresentazione univoca, alfanumerica e leggibile del computer dell'attore. Per altre informazioni e per campi alternativi per altri ID, vedere L'entità User. Esempio: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Facoltativo | String | Ambito, ad esempio Nome di dominio Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema. |
| ActorScopeId | Facoltativo | String | ID ambito, ad esempio l'ID directory di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . per altre informazioni ed elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema. |
| ActorUserIdType | Condizionale | UserIdType | Tipo dell'ID archiviato nel campo ActorUserId . Per altre informazioni ed elenco dei valori consentiti, vedere UserIdType nell'articolo Panoramica dello schema. |
| ActorUsername | Consigliato | Username | Nome utente dell'attore, incluse le informazioni sul dominio, se disponibili. Per altre informazioni, vedere L'entità User. Esempio: AlbertE |
| Utente | Alias | Alias in ActorUsername | |
| ActorUsernameType | Condizionale | UsernameType | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameType nell'articolo Panoramica dello schema. Esempio: Windows |
| ActorUserType | Facoltativo | UserType | Tipo dell'attore. Per altre informazioni e l'elenco dei valori consentiti, vedere UserType nell'articolo Panoramica dello schema. Ad esempio: Guest |
| ActorOriginalUserType | Facoltativo | UserType | Tipo di utente segnalato dal dispositivo di report. |
| ActorSessionId | Facoltativo | String | ID univoco della sessione di accesso dell'attore. Esempio: 102pTUgC3p8RIqHvzxLCHnFlg |
Campi dell'applicazione di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetAppId | Facoltativo | String | ID dell'applicazione a cui si applica l'evento, incluso un processo, un browser o un servizio. Esempio: 89162 |
| TargetAppName | Facoltativo | String | Nome dell'applicazione a cui si applica l'evento, incluso un servizio, un URL o un'applicazione SaaS. Esempio: Exchange 365 |
| Applicazione | Alias | Alias in TargetAppName | |
| TargetAppType | Facoltativo | AppType | Tipo dell'applicazione che autorizza per conto dell'attore. Per altre informazioni e l'elenco di valori consentiti, vedere AppType nell'articolo Panoramica dello schema. |
| TargetUrl | Facoltativo | URL | URL associato all'applicazione di destinazione. Esempio: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Campi di sistema di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Dst | Alias | String | Identificatore univoco della destinazione di autenticazione. Questo campo può aliasre i campi TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId o TargetAppName . Esempio: 192.168.12.1 |
| TargetHostname | Consigliato | Hostname (Nome host) | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. Esempio: DESKTOP-1282V4D |
| TargetDomain | Consigliato | String | Dominio del dispositivo di destinazione. Esempio: Contoso |
| TargetDomainType | Condizionale | Enumerated | Tipo di TargetDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema. Obbligatorio se viene usato TargetDomain . |
| TargetFQDN | Facoltativo | String | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. Esempio: Contoso\DESKTOP-1282V4D Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. TargetDomainType riflette il formato usato. |
| TargetDescription | Facoltativo | String | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| TargetDvcId | Facoltativo | String | ID del dispositivo di destinazione. Se sono disponibili più ID, usare quello più importante e archiviare gli altri nei campi TargetDvc<DvcIdType>. Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Facoltativo | String | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargetDvcScope | Facoltativo | String | L'ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargetDvcIdType | Condizionale | Enumerated | Tipo di TargetDvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema. Obbligatorio se viene usato TargetDeviceId . |
| TargetDeviceType | Facoltativo | Enumerated | Tipo del dispositivo di destinazione. Per un elenco di valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema. |
| TargetIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP del dispositivo di destinazione. Esempio: 2.2.2.2 |
| TargetDvcOs | Facoltativo | String | Sistema operativo del dispositivo di destinazione. Esempio: Windows 10 |
| TargetPortNumber | Facoltativo | Intero | Porta del dispositivo di destinazione. |
Campi applicazione agendo
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingAppId | Facoltativo | String | ID dell'applicazione che ha avviato l'attività segnalata, incluso un processo, un browser o un servizio. Ad esempio: 0x12ae8 |
| ActiveAppName | Facoltativo | String | Nome dell'applicazione che ha avviato l'attività segnalata, inclusi un servizio, un URL o un'applicazione SaaS. Ad esempio: C:\Windows\System32\svchost.exe |
| ActingAppType | Facoltativo | AppType | Tipo di applicazione che agisce. Per altre informazioni e l'elenco di valori consentiti, vedere AppType nell'articolo Panoramica dello schema. |
| HttpUserAgent | Facoltativo | String | Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che agisce durante l'esecuzione dell'autenticazione. Ad esempio: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campi del sistema di origine
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Src | Alias | String | Identificatore univoco del dispositivo di origine. Questo campo potrebbe eseguire l'alias dei campi SrcDvcId, SrcHostname o SrcIpAddr . Esempio: 192.168.12.1 |
| SrcIpAddr | Consigliato | Indirizzo IP | Indirizzo IP da cui ha avuto origine la connessione o la sessione. Esempio: 77.138.103.108 |
| IpAddr | Alias | Alias a SrcIpAddr o a TargetIpAddr se SrcIpAddr non è specificato. | |
| SrcPortNumber | Facoltativo | Intero | Porta IP da cui ha avuto origine la connessione. Potrebbe non essere rilevante per una sessione che comprende più connessioni. Esempio: 2335 |
| SrcHostname | Consigliato | Hostname (Nome host) | Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome di dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: DESKTOP-1282V4D |
| SrcDomain | Consigliato | String | Dominio del dispositivo di origine. Esempio: Contoso |
| SrcDomainType | Condizionale | DomainType | Tipo di SrcDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema. Obbligatorio se viene usato SrcDomain . |
| SrcFQDN | Facoltativo | String | Nome host del dispositivo di origine, incluse le informazioni sul dominio, se disponibili. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: Contoso\DESKTOP-1282V4D |
| SrcDescription | Facoltativo | String | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| SrcDvcId | Facoltativo | String | ID del dispositivo di origine. Se sono disponibili più ID, usare quello più importante e archiviare gli altri nei campi SrcDvc<DvcIdType>.Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facoltativo | String | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScope | Facoltativo | String | L'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcIdType | Condizionale | DvcIdType | Tipo di SrcDvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema. Nota: questo campo è obbligatorio se viene usato SrcDvcId . |
| SrcDeviceType | Facoltativo | DeviceType | Tipo del dispositivo di origine. Per un elenco di valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema. |
| SrcSubscriptionId | Facoltativo | String | ID sottoscrizione della piattaforma cloud a cui appartiene il dispositivo di origine. SrcSubscriptionId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcGeoCountry | Facoltativo | Country | Paese associato all'indirizzo IP di origine. Esempio: USA |
| SrcGeoRegion | Facoltativo | Paese | Area all'interno di un paese associato all'indirizzo IP di origine. Esempio: Vermont |
| SrcGeoCity | Facoltativo | Città | Città associata all'indirizzo IP di origine. Esempio: Burlington |
| SrcGeoLatitude | Facoltativo | Latitudine | Latitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 44.475833 |
| SrcGeoLongitude | Facoltativo | Longitude | Longitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 73.211944 |
Campi di ispezione
I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un sistema di sicurezza.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| RuleName | Facoltativo | String | Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber | Facoltativo | Intero | Numero della regola associata ai risultati dell'ispezione. |
| Regola | Alias | String | Valore di RuleName o valore di RuleNumber. Se viene usato il valore di RuleNumber , il tipo deve essere convertito in stringa. |
| ThreatId | Facoltativo | String | ID della minaccia o del malware identificato nell'attività di controllo. |
| ThreatName | Facoltativo | String | Nome della minaccia o del malware identificato nell'attività di controllo. |
| ThreatCategory | Facoltativo | String | Categoria della minaccia o del malware identificato nell'attività del file di controllo. |
| ThreatRiskLevel | Facoltativo | Intero | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore potrebbe essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata per questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facoltativo | String | Livello di rischio segnalato dal dispositivo di report. |
| ThreatConfidence | Facoltativo | Intero | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | String | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatIsActive | Facoltativo | Booleano | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatFirstReportedTime | Facoltativo | datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatLastReportedTime | Facoltativo | datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo ThreatIpAddr rappresenta. |
| ThreatField | Facoltativo | Enumerated | Campo per il quale è stata identificata una minaccia. Il valore può essere SrcIpAddr o TargetIpAddr. |
Passaggi successivi
Per altre informazioni, vedi: