Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Een ASIM-schema (Advanced Security Information Model) is een set velden die een activiteit of entiteit vertegenwoordigen. Als u de velden uit een genormaliseerd schema in een query gebruikt, zorgt u ervoor dat de query werkt met elke genormaliseerde bron.
Raadpleeg het ASIM-architectuurdiagram om te begrijpen hoe schema's in de ASIM-architectuur passen.
Activiteits-/gebeurtenisschema's
Schemaverwijzingen geven een overzicht van de velden waaruit elk schema bestaat. ASIM definieert momenteel de volgende schema's voor gebeurtenissen:
| Schema | Schemanaam voor tests | Versie | Status |
|---|---|---|---|
| Waarschuwingsevenement | AlertEvent |
0.1 | GA |
| Controlegebeurtenis | AuditEvent |
0.1.2 | GA |
| Verificatie-gebeurtenis | Authentication |
0.1.4 | GA |
| DHCP-activiteit | DhcpEvent |
0.1.1 | GA |
| DNS-activiteit | Dns |
0.1.7 | GA |
| Bestandsactiviteit | FileEvent |
0.2.2 | GA |
| Netwerksessie | NetworkSession |
0.2.7 | GA |
| Proces-gebeurtenis | ProcessEvent |
0.1.4 | GA |
| Register-gebeurtenis | RegistryEvent |
0.1.3 | GA |
| Gebruikersbeheer | UserManagement |
0.1.2 | GA |
| Websessie | WebSession |
0.2.7 | GA |
Entiteitsschema's
ASIM definieert momenteel de volgende schema's voor entiteiten:
| Schema | Schemanaam voor tests | Versie | Status |
|---|---|---|---|
| Assetentiteit | AssetEntity |
0.1.0 | GA |
Raadpleeg Gebeurtenisentiteiten voor entiteiten die deel uitmaken van andere ASIM-schema's.
Veldnaamgeving
De kern van elk schema zijn de veldnamen. Veldnamen behoren tot de volgende groepen:
- Velden die gemeenschappelijk zijn voor alle schema's.
- Velden die specifiek zijn voor een schema.
- Velden die entiteiten vertegenwoordigen, zoals gebruikers, die deelnemen aan het schema. Velden die entiteiten vertegenwoordigen, zijn in alle schema's vergelijkbaar.
Wanneer bronnen velden hebben die niet worden weergegeven in het gedocumenteerde schema, worden ze genormaliseerd om consistentie te behouden. Als de extra velden een entiteit vertegenwoordigen, worden ze genormaliseerd op basis van de richtlijnen voor entiteitsvelden. Anders streven de schema's ernaar om consistentie in alle schema's te behouden.
Hoewel de activiteitenlogboeken van de DNS-server bijvoorbeeld geen gebruikersgegevens bevatten, kunnen DNS-activiteitenlogboeken van een eindpunt gebruikersgegevens bevatten, die kunnen worden genormaliseerd volgens de richtlijnen van de gebruikersentiteit.
Algemene velden
Sommige velden zijn gemeenschappelijk voor alle ASIM-schema's. Elk schema kan richtlijnen toevoegen voor het gebruik van enkele algemene velden in de context van het specifieke schema. Toegestane waarden voor het veld EventType kunnen bijvoorbeeld per schema verschillen, net als de waarde van het veld EventSchemaVersion .
Veldklassen
Velden kunnen verschillende klassen hebben, die bepalen wanneer de velden moeten worden geïmplementeerd door een parser:
- Verplichte velden moeten in elke parser worden weergegeven. Als uw bron geen informatie bevat voor deze waarde of als de gegevens niet op een andere manier kunnen worden toegevoegd, worden de meeste inhoudsitems die verwijzen naar het genormaliseerde schema niet ondersteund.
- Aanbevolen velden moeten worden genormaliseerd, indien beschikbaar. Ze zijn echter mogelijk niet in elke bron beschikbaar. Elk inhoudsitem dat verwijst naar het genormaliseerde schema, moet rekening houden met de beschikbaarheid.
- Optionele velden, indien beschikbaar, kunnen worden genormaliseerd of in de oorspronkelijke vorm worden achtergelaten. Normaal gesproken zou een minimale parser ze om prestatieredenen niet normaliseren.
- Voorwaardelijke velden zijn verplicht als het veld dat ze volgen, is ingevuld. Voorwaardelijke velden worden doorgaans gebruikt om de waarde in een ander veld te beschrijven. Het algemene veld DvcIdType beschrijft bijvoorbeeld de waarde in het algemene veld DvcId en is daarom verplicht als deze laatste is ingevuld.
- Alias is een speciaal type van een voorwaardelijk veld en is verplicht als het veld met alias is ingevuld.
Gebeurtenisentiteiten
Gebeurtenissen ontwikkelen zich rond entiteiten, zoals gebruikers, hosts, processen of bestanden. Voor elke entiteit zijn mogelijk verschillende velden vereist om deze te beschrijven. Een host kan bijvoorbeeld een naam en een IP-adres hebben.
Een enkele record kan meerdere entiteiten van hetzelfde type bevatten, zoals zowel een bron- als een doelhost.
ASIM definieert hoe entiteiten consistent moeten worden beschreven en entiteiten maken het mogelijk om de schema's uit te breiden.
Hoewel het schema van de netwerksessie bijvoorbeeld geen procesgegevens bevat, bieden sommige gebeurtenisbronnen procesinformatie die kan worden toegevoegd. Zie Entiteiten voor meer informatie.
Als u entiteitsfunctionaliteit wilt inschakelen, heeft de entiteitsweergave de volgende richtlijnen:
| Richtsnoer | Beschrijving |
|---|---|
| Voorvoegsels en aliassen | Omdat één gebeurtenis vaak meer dan één entiteit van hetzelfde type bevat, zoals bron- en doelhosts, worden voorvoegsels gebruikt om de entiteit te identificeren waaraan een veld is gekoppeld. Om de normalisatie te handhaven, gebruikt ASIM een kleine set standaardvoorvoegsels, die het meest geschikt zijn voor de specifieke rol van de entiteiten. Als één entiteit van een type relevant is voor een gebeurtenis, hoeft u geen voorvoegsel te gebruiken. Een set velden zonder voorvoegsel is ook de meest gebruikte entiteit voor elk type. |
| Id's en typen | Een genormaliseerd schema biedt verschillende id's voor elke entiteit, die naar verwachting naast elkaar bestaan in gebeurtenissen. Als de brongebeurtenis andere entiteits-id's heeft die niet kunnen worden toegewezen aan het genormaliseerde schema, bewaart u deze in het bronformulier of gebruikt u het dynamische veld AdditionalFields . Als u de typegegevens voor de id's wilt behouden, slaat u het type, indien van toepassing, op in een veld met dezelfde naam en een achtervoegsel van Type. Bijvoorbeeld UserIdType. |
| Kenmerken | Entiteiten hebben vaak andere kenmerken die niet als id dienen en ook kunnen worden gekwalificeerd met een descriptor. Als de brongebruiker bijvoorbeeld domeingegevens heeft, is het genormaliseerde veld SrcUserDomain. |
Raadpleeg voor meer informatie over specifieke entiteitstypen:
Raadpleeg voor meer informatie over volledige entiteitsschema's:
Aliassen
Aliassen staan meerdere namen toe voor een opgegeven waarde. In sommige gevallen verwachten verschillende gebruikers dat een veld verschillende namen heeft. In DNS-terminologie verwacht u bijvoorbeeld een veld met de naam DnsQuery, terwijl het in het algemeen een domeinnaam bevat. Het aliasdomein helpt de gebruiker door het gebruik van beide namen toe te staan.
Opmerking
Aliassen zijn bedoeld om een analist te helpen met interactieve query's. Wanneer u query's gebruikt in herbruikbare inhoud, zoals aangepaste detecties, analytische regels of werkmappen, gebruikt u het aliasveld in plaats van de alias. Het gebruik van het aliasveld zorgt voor betere prestaties, minder fouten en betere leesbaarheid van query's.
In sommige gevallen kan een alias de waarde van een van meerdere velden hebben, afhankelijk van welke waarden beschikbaar zijn in de gebeurtenis. De Dvc-alias , aliast bijvoorbeeld de velden DvcFQDN, DvcId, DvcHostname of DvcIpAddr of Gebeurtenisproduct . Wanneer een alias meerdere waarden kan hebben, moet het type een tekenreeks zijn die geschikt is voor alle mogelijke aliaswaarden. Als gevolg hiervan moet u bij het toewijzen van een waarde aan een dergelijke alias het type converteren naar tekenreeks met behulp van de KQL-functie tostring.
Systeemeigen genormaliseerde tabellen bevatten geen aliassen, omdat deze dubbele gegevensopslag impliceren. In plaats hiervan voegen de stub-parsers de aliassen toe. Als u aliassen in parsers wilt implementeren, maakt u een kopie van de oorspronkelijke waarde met behulp van de extend operator.
Logische typen
Elk schemaveld heeft een type. De Log Analytics-werkruimte heeft een beperkte set gegevenstypen. Daarom gebruikt Microsoft Sentinel een logisch type voor veel schemavelden, dat niet door Log Analytics wordt afgedwongen, maar is vereist voor schemacompatibiliteit. Logische veldtypen zorgen ervoor dat zowel waarden als veldnamen consistent zijn tussen bronnen.
| Gegevenstype: | Fysiek type | Opmaak en waarde |
|---|---|---|
| Booleaanse waarde | Bool | Gebruik het ingebouwde KQL-gegevenstype bool in plaats van een numerieke of tekenreeksweergave van Booleaanse waarden. |
| Opgesomde | Tekenreeks | Een lijst met waarden zoals expliciet gedefinieerd voor het veld. De schemadefinitie bevat de geaccepteerde waarden. |
| Datum/tijd | Afhankelijk van de mogelijkheid van de opnamemethode gebruikt u een van de volgende fysieke weergaven in aflopende prioriteit: - Log Analytics ingebouwd datum/tijd-type - Een geheel getalveld met de numerieke datum/tijd-weergave van Log Analytics. - Een tekenreeksveld met datum/tijd numerieke weergave van Log Analytics - Een tekenreeksveld met een ondersteunde datum-/tijdnotatie van Log Analytics. |
De datum- en tijdweergave van Log Analytics is vergelijkbaar, maar verschilt van unix-tijdweergave. Zie de richtlijnen voor conversie voor meer informatie. Opmerking: indien van toepassing moet de tijd tijdzone zijn aangepast. |
| MAC-adres | Tekenreeks | Colon-Hexadecimal notatie. |
| IP-adres | Tekenreeks | Microsoft Sentinel schema's hebben geen afzonderlijke IPv4- en IPv6-adressen. Elk IP-adresveld kan als volgt een IPv4-adres of een IPv6-adres bevatten: - IPv4 in een punt-decimaalnotatie. - IPv6 in 8-hextetsnotatie, waardoor de korte vorm mogelijk is. Bijvoorbeeld: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Korte IPv6-vorm: 1080::8:800:200C:417A |
| FQDN | Tekenreeks | Een volledig gekwalificeerde domeinnaam met een puntnotatie, learn.microsoft.combijvoorbeeld . Zie De entiteit Apparaat voor meer informatie. |
| Hostname | Tekenreeks | Een hostnaam die geen FQDN is, bevat maximaal 63 tekens, inclusief letters, cijfers en afbreekstreepjes. Zie De entiteit Apparaat voor meer informatie. |
| Domein | Tekenreeks | het domeingedeelte van een FQDN, zonder de hostnaam, learn.microsoft.combijvoorbeeld . Zie De entiteit Apparaat voor meer informatie. |
| DomainType | Opgesomde | Het type domein dat is opgeslagen in domein- en FQDN-velden. Zie De entiteit Apparaat voor een lijst met waarden en meer informatie. |
| DvcIdType | Opgesomde | Het type apparaat-id dat is opgeslagen in DvcId-velden. Raadpleeg DvcIdType voor een lijst met toegestane waarden en meer informatie. |
| DeviceType | Opgesomde | Het type apparaat dat is opgeslagen in de velden DeviceType. Mogelijke waarden zijn: - Computer- Mobile Device- IOT Device- Other. Zie De entiteit Apparaat voor meer informatie. |
| Gebruikersnaam | Tekenreeks | Een geldige gebruikersnaam in een van de ondersteunde typen. Zie De entiteit Gebruiker voor meer informatie. |
| UsernameType | Opgesomde | Het type gebruikersnaam dat is opgeslagen in gebruikersnaamvelden. Zie De entiteit Gebruiker voor meer informatie en een lijst met ondersteunde waarden. |
| UserIdType | Opgesomde | Het type id dat is opgeslagen in gebruikers-id-velden. Ondersteunde waarden zijn SID, UIS, AADID, OktaId, AWSIden PUID. Zie De entiteit Gebruiker voor meer informatie. |
| UserType | Opgesomde | Het type gebruiker. Zie De entiteit Gebruiker voor meer informatie en een lijst met toegestane waarden. |
| AppType | Opgesomde | Het type toepassing. Zie De toepassingsentiteit voor een lijst met ondersteunde waarden. |
| Land | Tekenreeks | Een tekenreeks met ISO 3166-1 volgens de volgende prioriteit: - Alfa-2-codes, zoals US voor de Verenigde Staten. - Alfa-3-codes, zoals USA voor de Verenigde Staten. - Korte naam. De lijst met codes is te vinden op de website van de International Standards Organization (ISO). |
| Regio | Tekenreeks | De naam van de onderverdeling van het land/de regio, met behulp van ISO 3166-2. De lijst met codes is te vinden op de website van de International Standards Organization (ISO). |
| Plaats | Tekenreeks | |
| Lengtegraad | Dubbel | ISO 6709-coördinaatweergave (ondertekende decimaal). |
| Latitude | Dubbel | ISO 6709-coördinaatweergave (ondertekende decimaal). |
| MD5 | Tekenreeks | Tekens van 32 hex. |
| SHA1 | Tekenreeks | 40-hex tekens. |
| SHA256 | Tekenreeks | Tekens van 64 hex. |
| SHA512 | Tekenreeks | 128 hex tekens. |
| ConfidenceLevel | Geheel getal | Een betrouwbaarheidsniveau genormaliseerd naar het bereik van 0 tot een 100. |
| RiskLevel | Geheel getal | Een risiconiveau genormaliseerd tot het bereik van 0 tot een 100. |
| SchemaVersion | Tekenreeks | Een ASIM-schemaversie in de indeling <major>.<minor>.<sub-minor> |
| DnsQueryClassName | Tekenreeks | De naam van de DNS-klasse. |
| Gebruikersnaam | Tekenreeks | Een eenvoudige of domein gekwalificeerde gebruikersnaam |
Voorbeeld van entiteitstoewijzing
In deze sectie wordt Windows-gebeurtenis 4624 als voorbeeld gebruikt om te beschrijven hoe de gebeurtenisgegevens worden genormaliseerd voor Microsoft Sentinel.
Deze gebeurtenis heeft de volgende entiteiten:
| Microsoft-terminologie | Oorspronkelijk gebeurtenisveldvoorvoegsel | ASIM-veldvoorvoegsel | Beschrijving |
|---|---|---|---|
| Onderwerp | Subject |
Actor |
De gebruiker die informatie heeft gerapporteerd over een geslaagde aanmelding. |
| Nieuwe aanmelding | Target |
TargetUser |
De gebruiker waarvoor de aanmelding is uitgevoerd. |
| Proces | - | ActingProcess |
Het proces waarmee de aanmelding is uitgevoerd. |
| Netwerkgegevens | - | Src |
De computer waarop een aanmeldingspoging is uitgevoerd. |
Op basis van deze entiteiten wordt Windows-gebeurtenis 4624 als volgt genormaliseerd (sommige velden zijn optioneel):
| Genormaliseerd veld | Oorspronkelijk veld | Waarde in voorbeeld | Opmerkingen |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Gebouwd door de twee velden samen te voegen |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserID | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Gebouwd door de twee velden samen te voegen |
| Gebruikersnaam | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Hostnaam | Computer | Alias |
Volgende stappen
Dit artikel bevat een overzicht van normalisatie in Microsoft Sentinel en ASIM.
Zie voor meer informatie: