Microsoft Sentinel 에이전트 이벤트 정규화 스키마는 엔터프라이즈 환경에서 작동하는 AI 에이전트의 활동 및 원격 분석과 관련된 이벤트를 나타냅니다. 이러한 이벤트는 모델 호출, 도구 사용량, 토큰 사용량, 사고 프로세스 및 원본 에이전트와 대상 에이전트 간의 통신을 포함하여 에이전트 상호 작용의 전체 스펙트럼을 캡처합니다. 이러한 활동은 다양한 AI 에이전트 플랫폼 및 프레임워크에 의해 생성되며, 각 작업은 자체 형식으로 원격 분석을 생성합니다.
모든 AI 에이전트 플랫폼은 작동 원격 분석의 일부로 에이전트 이벤트를 기록합니다. ASIM 스키마를 사용하여 이러한 이벤트를 정규화하면 보안 분석가가 각 원본의 독점 형식을 학습하지 않고도 플랫폼 간에 에이전트 동작을 상호 연결하고, 비정상적인 패턴을 검색하고, 인시던트를 조사할 수 있습니다.
Microsoft Sentinel 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
파서
에이전트 이벤트 파서 배포 및 사용
Microsoft Sentinel GitHub 리포지토리에서 ASIM 에이전트 이벤트 파서를 배포합니다. 모든 에이전트 이벤트 원본을 쿼리하려면 통합 파서 _Im_AgentEvent 를 쿼리의 테이블 이름으로 사용합니다.
ASIM 파서 사용에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요.
정규화된 자체 파서 추가
에이전트 이벤트 정보 모델에 대한 사용자 지정 파서를 구현하는 경우 다음 구문을 사용하여 KQL 함수의 이름을 지정합니다.
-
ASimAgentEvent<vendor><Product>일반 파서용 -
vimAgentEvent<vendor><Product>매개 변수가 있는 파서의 경우
에이전트 이벤트 통합 파서에 사용자 지정 파서를 추가하려면 ASIM 파서 관리를 참조하세요.
파서 매개 변수 필터링
에이전트 이벤트 파서는 필터링 매개 변수를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| Starttime | datetime | 이 시간 이후에 실행된 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated 필드를 이벤트의 시간 지정자로 사용합니다. |
| Endtime | datetime | 이 시간 또는 그 이전에 실행이 완료된 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated 필드를 이벤트의 시간 지정자로 사용합니다. |
| agentid_has_any | 동적 | SrcAgentId, TargetAgentId 또는 PlatformTargetAgentId 필드에 표시된 대로 에이전트 ID가 있는 이벤트만 필터링합니다. |
| agentname_has_any | 동적 | SrcAgentName, TargetAgentName 또는 PlatformTargetAgentName 필드에 표시된 대로 에이전트 이름이 있는 이벤트만 필터링합니다. |
| username_has_any | 동적 | ActorUsername 필드에 표시된 대로 나열된 사용자 이름이 있는 이벤트만 필터링합니다. |
일부 매개 변수는 형식 dynamic 의 값 목록 또는 단일 문자열 값을 모두 허용할 수 있습니다. 동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])
예를 들어 마지막 날의 에이전트 이름으로 M365Planner 에이전트 이벤트만 필터링하려면 다음을 사용합니다.
_Im_AgentEvent (agentname_has_any=dynamic(['M365Planner']), starttime = ago(1d), endtime=now())
스키마 세부 정보
일반 ASIM 필드
중요
모든 스키마에 공통된 필드는 ASIM 공통 필드 문서에서 자세히 설명합니다.
특정 지침이 있는 공통 필드
다음 목록에서는 에이전트 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.
모든 공통 필드
이 테이블의 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 이 문서에 지정된 지침은 각 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드는 일반적으로 선택 사항이지만 특정 스키마에는 필수일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
| 클래스 | 필드 |
|---|---|
| 필수 |
-
EventCount - EventStartTime - EventEndTime - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| 권장 |
-
EventUid |
| 옵션 |
-
EventOriginalUid - EventOriginalType - EventOriginalResultDetails - AdditionalFields |
원본 에이전트 정보
대상 에이전트 필드
플랫폼 대상 에이전트 필드
행위자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActorUserId | 옵션 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 행위자의 고유한 표현입니다. 자세한 내용 및 다른 ID에 대한 대체 필드는 사용자 엔터티를 참조하세요. 예: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorUserIdType | 옵션 | String | ActorUserId 필드에 저장된 ID의 형식입니다. 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의UserIdType을 참조하세요. |
| ActorUserScope | 옵션 | String | actorUserId 및 ActorUsername이 정의된 Microsoft Entra 도메인 이름과 같은 scope. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| ActorUserScopeId | 옵션 | String | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| ActorUsername | 옵션 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함하여 행위자의 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: AlbertE |
| ActorUsernameType | 옵션 | String |
ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서의UsernameType을 참조하세요. 예: Windows |
| ActingAppId | 옵션 | String | 프로세스, 브라우저 또는 서비스를 포함하여 보고된 활동을 시작한 애플리케이션의 ID입니다. 예: 0x12ae8 |
| ActingAppName | 옵션 | String | 서비스, URL 또는 SaaS 애플리케이션을 포함하여 보고된 활동을 시작한 애플리케이션의 이름입니다. 예: C:\Windows\System32\svchost.exe |
| ActingAppType | 옵션 | AppType | 작업 애플리케이션의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의AppType을 참조하세요. |
| ActingOriginalAppType | 옵션 | String | 보고 디바이스에서 보고한 대로 활동을 시작한 애플리케이션의 형식입니다. |
모델 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ModelProviderName | 옵션 | String | 모델 공급자의 이름입니다. |
| ModelName | 옵션 | String | 모델의 이름입니다. |
토큰 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| InputTokensUsed | 옵션 | long | 사용된 입력 토큰 수입니다. |
| OutputTokensUsed | 옵션 | long | 사용된 출력 토큰 수입니다. |
도구 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ToolId | 옵션 | String | 도구의 고유 ID입니다. |
| ToolName | 옵션 | String | 도구의 이름입니다. |
| ToolDescription | 옵션 | String | 도구에 대한 설명입니다. |
| ToolOriginalType | 옵션 | String | 도구의 원래 형식입니다. |