Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een ASIM-schema (Advanced Security Information Model) is een set velden die een activiteit vertegenwoordigen. Het gebruik van de velden uit een genormaliseerd schema in een query zorgt ervoor dat de query werkt met elke genormaliseerde bron.
Als u wilt weten hoe schema's binnen de ASIM-architectuur passen, raadpleegt u het ASIM-architectuurdiagram.
Schemaverwijzingen geven een overzicht van de velden die elk schema vormen. ASIM definieert momenteel de volgende schema's:
| Schema | Versie | Status |
|---|---|---|
| Waarschuwingsevenement | 0,1 | Algemene Vergadering |
| Controlegebeurtenis | 0.1.2 | Algemene Vergadering |
| Verificatie-gebeurtenis | 0.1.4 | Algemene Vergadering |
| DNS-activiteit | 0.1.7 | Algemene Vergadering |
| DHCP-activiteit | 0.1.1 | Algemene Vergadering |
| Bestandsactiviteit | 0.2.2 | Algemene Vergadering |
| Netwerksessie | 0.2.7 | Algemene Vergadering |
| Procesgebeurtenis | 0.1.4 | Algemene Vergadering |
| Registergebeurtenis | 0.1.3 | Algemene Vergadering |
| Gebruikersbeheer | 0.1.2 | Algemene Vergadering |
| Websessie | 0.2.7 | Algemene Vergadering |
Schemaconcepten
De volgende concepten helpen u inzicht te verkrijgen in de documenten over schemareferenties en het schema op een genormaliseerde manier uit te breiden voor het geval uw gegevens informatie bevatten die niet door het schema wordt behandeld.
Veldnaamgeving
De kern van elk schema zijn de veldnamen. Veldnamen behoren tot de volgende groepen:
- Velden die gebruikelijk zijn voor alle schema's.
- Velden die specifiek zijn voor een schema.
- Velden die entiteiten vertegenwoordigen, zoals gebruikers, die deelnemen aan het schema. Velden die entiteiten vertegenwoordigen, zijn vergelijkbaar met schema's.
Wanneer bronnen velden bevatten die niet worden weergegeven in het gedocumenteerde schema, worden ze genormaliseerd om consistentie te behouden. Als de extra velden een entiteit vertegenwoordigen, worden ze genormaliseerd op basis van de richtlijnen voor entiteitsvelden. Anders streven de schema's ernaar om consistentie in alle schema's te behouden.
Zo bevatten activiteitenlogboeken van DNS-servers geen gebruikersgegevens, maar dns-activiteitenlogboeken van een eindpunt kunnen gebruikersgegevens bevatten, die kunnen worden genormaliseerd volgens de richtlijnen van de gebruikersentiteit. |
Logische veldtypen
Elk schemaveld heeft een type. De Log Analytics-werkruimte heeft een beperkte set gegevenstypen. Daarom gebruikt Microsoft Sentinel een logisch type voor veel schemavelden, die Log Analytics niet afdwingt, maar is vereist voor schemacompatibiliteit. Logische veldtypen zorgen ervoor dat zowel waarden als veldnamen consistent zijn in alle bronnen.
Zie Logische typen voor meer informatie.
Veldklassen
Velden kunnen verschillende klassen hebben, die bepalen wanneer de velden moeten worden geïmplementeerd door een parser:
- Verplichte velden moeten in elke parser worden weergegeven. Als uw bron geen informatie biedt voor deze waarde of als de gegevens niet anders kunnen worden toegevoegd, worden de meeste inhoudsitems die verwijzen naar het genormaliseerde schema niet ondersteund.
- Aanbevolen velden moeten worden genormaliseerd, indien beschikbaar. Ze zijn echter mogelijk niet beschikbaar in elke bron. Elk inhoudsitem dat verwijst naar het genormaliseerde schema, moet rekening houden met de beschikbaarheid.
- Optionele velden, indien beschikbaar, kunnen in de oorspronkelijke vorm worden genormaliseerd of achtergelaten. Normaal gesproken zou een minimale parser ze niet normaliseren om prestatieredenen.
- Voorwaardelijke velden zijn verplicht als het gevolgde veld is ingevuld. Voorwaardelijke velden worden doorgaans gebruikt om de waarde in een ander veld te beschrijven. Het algemene veld DvcIdType beschrijft bijvoorbeeld de waarde int het algemene veld DvcId en is daarom verplicht als de laatste is ingevuld.
- Alias is een speciaal type voorwaardelijk veld en is verplicht als het aliasveld is ingevuld.
Gemeenschappelijke velden
Sommige velden zijn gebruikelijk voor alle ASIM-schema's. Elk schema kan richtlijnen toevoegen voor het gebruik van enkele algemene velden in de context van het specifieke schema. Toegestane waarden voor het veld EventType kunnen bijvoorbeeld per schema verschillen, zoals de waarde van het veld EventSchemaVersion .
Entiteiten
Gebeurtenissen ontwikkelen zich rond entiteiten, zoals gebruikers, hosts, processen of bestanden. Voor elke entiteit moeten mogelijk verschillende velden worden beschreven. Een host kan bijvoorbeeld een naam en een IP-adres hebben.
Eén record kan meerdere entiteiten van hetzelfde type bevatten, zoals een bron- en doelhost.
ASIM definieert hoe entiteiten consistent worden beschreven en entiteiten maken het mogelijk om de schema's uit te breiden.
Hoewel het netwerksessieschema bijvoorbeeld geen procesgegevens bevat, bieden sommige gebeurtenisbronnen procesgegevens die kunnen worden toegevoegd. Zie Entiteiten voor meer informatie.
Aliases
Aliassen staan meerdere namen toe voor een opgegeven waarde. In sommige gevallen verwachten verschillende gebruikers dat een veld verschillende namen heeft. In DNS-terminologie kunt u bijvoorbeeld een veld met de naam DnsQuery verwachten, terwijl dit over het algemeen een domeinnaam bevat. Het aliasdomein helpt de gebruiker door het gebruik van beide namen toe te staan.
Opmerking
Aliassen zijn bedoeld om een analist te helpen bij interactieve query's. Wanneer u query's gebruikt in herbruikbare inhoud, zoals aangepaste detecties, analyseregels of werkmappen, gebruikt u het aliasveld in plaats van de alias. Het gebruik van het aliasveld zorgt voor betere prestaties, minder fouten en betere leesbaarheid van query's.
In sommige gevallen kan een alias de waarde van een van de verschillende velden hebben, afhankelijk van welke waarden beschikbaar zijn in de gebeurtenis. Bijvoorbeeld, de Dvc-alias alias de velden DvcFQDN, DvcId, DvcHostname, DvcIpAddr, of Event Product. Wanneer een alias meerdere waarden kan hebben, moet het type een tekenreeks zijn om alle mogelijke aliaswaarden te kunnen gebruiken. Als gevolg hiervan moet u bij het toewijzen van een waarde aan een dergelijke alias het type converteren naar tekenreeks met behulp van de KQL-functie tostring.
Systeemeigen genormaliseerde tabellen bevatten geen aliassen, omdat dit dubbele gegevensopslag impliceert. In plaats daarvan voegen de stubparsers de aliassen toe. Als u aliassen in parsers wilt implementeren, maakt u een kopie van de oorspronkelijke waarde met behulp van de extend operator. |
Logische typen
Elk schemaveld heeft een type. Sommige hebben ingebouwde Log Analytics-typen, zoals string, int, datetimeof dynamic. Andere velden hebben een logisch type, dat aangeeft hoe de veldwaarden moeten worden genormaliseerd.
| Gegevenstype | Fysiek type | Opmaak en waarde |
|---|---|---|
| Boolean | Bool | Gebruik het ingebouwde KQL-gegevenstype bool in plaats van een numerieke of tekenreeksweergave van Booleaanse waarden. |
| Genoemd | String | Een lijst met waarden zoals expliciet gedefinieerd voor het veld. De schemadefinitie bevat de geaccepteerde waarden. |
| Datum/tijd | Gebruik, afhankelijk van de mogelijkheid van de opnamemethode, een van de volgende fysieke representaties in aflopende prioriteit: - Ingebouwd datum/tijd-type log Analytics - Een geheel getalveld met de numerieke weergave van Log Analytics-datum/tijd. - Een tekenreeksveld met de numerieke weergave van Log Analytics-datum/tijd - Een tekenreeksveld dat een ondersteunde Datum-/tijdnotatie van Log Analytics opslaat. |
De datum- en tijdweergave van Log Analytics is vergelijkbaar, maar verschilt van unix-tijdweergave. Zie de richtlijnen voor conversie voor meer informatie. Opmerking: indien van toepassing moet de tijd worden aangepast aan de tijdzone. |
| MAC-adres | String | Dubbelpunt-hexadecimale notatie. |
| IP-adres | String | Microsoft Sentinel-schema's hebben geen afzonderlijke IPv4- en IPv6-adressen. Elk IP-adresveld kan als volgt een IPv4-adres of een IPv6-adres bevatten: - IPv4 in een puntdecimaalteken. - IPv6 in 8-hextets notatie, waardoor de korte vorm mogelijk is. Voorbeeld: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Korte IPv6-vorm: 1080::8:800:200C:417A |
| FQDN | String | Een volledig gekwalificeerde domeinnaam met behulp van een punt notatie, bijvoorbeeld learn.microsoft.com. Voor meer informatie, zie de apparaatentiteit. |
| Hostnaam | String | Een hostnaam die geen FQDN is, bevat maximaal 63 tekens, waaronder letters, cijfers en afbreekstreepjes. Voor meer informatie, zie de apparaatentiteit. |
| Domain | String | het domeingedeelte van een FQDN, zonder de hostnaam, learn.microsoft.combijvoorbeeld. Voor meer informatie, zie de apparaatentiteit. |
| DomainType | Opgelijst | Het type domein dat is opgeslagen in domein- en FQDN-velden. Zie De entiteit Apparaat voor een lijst met waarden en meer informatie. |
| DvcIdType | Opgelijst | Het type apparaat-id dat is opgeslagen in DvcId-velden. Raadpleeg DvcIdType voor een lijst met toegestane waarden en meer informatie. |
| DeviceType | Opgelijst | Het type apparaat dat is opgeslagen in de velden DeviceType. Mogelijke waarden zijn onder andere: - Computer- Mobile Device- IOT Device- Other. Voor meer informatie, zie de apparaatentiteit. |
| Gebruikersnaam | String | Een geldige gebruikersnaam in een van de ondersteunde typen. Voor meer informatie, zie de Gebruiker-entiteit. |
| UsernameType | Opgelijst | Het type gebruikersnaam dat is opgeslagen in gebruikersnaamvelden. Zie De Gebruiker-entiteit voor meer informatie en een lijst met ondersteunde waarden. |
| UserIdType | Opgelijst | Het type id dat is opgeslagen in gebruikers-id-velden. Ondersteunde waarden zijn SID, UIS, AADID, , OktaIden AWSId.PUID Voor meer informatie, zie de Gebruiker-entiteit. |
| UserType | Opgelijst | Het type gebruiker. Zie de entiteit Gebruiker voor meer informatie en een lijst met toegestane waarden. |
| AppType | Opgelijst | Het type toepassing. Ondersteunde waarden zijn onder andere: Process, Service, Resource, URL, SaaS application, CSP, en Other. |
| Land/regio | String | Een tekenreeks die ISO 3166-1 gebruikt, volgens de volgende prioriteit: - Alfa-2 codes, zoals US voor de Verenigde Staten. - Alfa-3 codes, zoals USA voor de Verenigde Staten. - Korte naam. De lijst met codes vindt u op de website van de International Standards Organization (ISO). |
| Regio | String | De naam van de onderverdeling van het land/de regio, met behulp van ISO 3166-2. De lijst met codes vindt u op de website van de International Standards Organization (ISO). |
| Plaats | String | |
| Lengtegraad | Dubbel | ISO 6709 coördinaatweergave (ondertekend decimaal). |
| Breedtegraad | Dubbel | ISO 6709 coördinaatweergave (ondertekend decimaal). |
| MD5 | String | 32 hex tekens. |
| SHA1 | String | 40 hex tekens. |
| SHA256 | String | 64 hex tekens. |
| SHA512 | String | 128-hex tekens. |
| ConfidenceLevel | Integer | Een betrouwbaarheidsniveau genormaliseerd tot het bereik van 0 tot 100. |
| RiskLevel | Integer | Een risiconiveau genormaliseerd tot het bereik van 0 tot 100. |
| SchemaVersion | String | Een ASIM-schemaversie in het formaat <major>.<minor>.<sub-minor> |
| DnsQueryClassName | String | De naam van de DNS-klasse. |
| Gebruikersnaam | String | Een eenvoudige of domein gekwalificeerde gebruikersnaam |
Entiteiten
Gebeurtenissen ontwikkelen zich rond entiteiten, zoals gebruikers, hosts, processen of bestanden. Met entiteitsweergave kunnen verschillende entiteiten van hetzelfde type deel uitmaken van één record en meerdere kenmerken voor dezelfde entiteiten ondersteunen.
Om entiteitsfunctionaliteit in te schakelen, heeft de entiteitsweergave de volgende richtlijnen:
| Richtlijn | Beschrijving |
|---|---|
| Voorvoegsels en aliassen | Omdat één gebeurtenis vaak meerdere entiteiten van hetzelfde type bevat, zoals bron- en doelhosts, worden voorvoegsels gebruikt om de entiteit te identificeren waaraan een veld is gekoppeld. Voor het handhaven van normalisatie gebruikt ASIM een kleine set standaardvoorvoegsels, die het meest geschikt zijn voor de specifieke rol van de entiteiten. Als één entiteit van een type relevant is voor een gebeurtenis, hoeft u geen voorvoegsel te gebruiken. Een set velden zonder voorvoegselaliassen bevat ook de meest gebruikte entiteit voor elk type. |
| Identificatoren en typen | Met een genormaliseerd schema kunnen verschillende id's voor elke entiteit worden gebruikt, die we verwachten samen te bestaan in gebeurtenissen. Als de brongebeurtenis andere entiteits-id's bevat die niet kunnen worden toegewezen aan het genormaliseerde schema, laat u deze in het bronformulier staan of gebruikt u het dynamische veld AdditionalFields . Als u de typegegevens voor de id's wilt behouden, slaat u het type, indien van toepassing, op in een veld met dezelfde naam en een achtervoegsel van het type. Bijvoorbeeld UserIdType. |
| Kenmerken | Entiteiten hebben vaak andere kenmerken die niet als id fungeren en die ook kunnen worden gekwalificeerd met een descriptor. Als de brongebruiker bijvoorbeeld domeingegevens heeft, is het genormaliseerde veld SrcUserDomain. |
Raadpleeg voor meer informatie over specifieke entiteitstypen:
Voorbeeld van entiteitstoewijzing
In deze sectie wordt Windows-gebeurtenis 4624 gebruikt als voorbeeld om te beschrijven hoe de gebeurtenisgegevens worden genormaliseerd voor Microsoft Sentinel.
Deze gebeurtenis heeft de volgende entiteiten:
| Microsoft-terminologie | Oorspronkelijk voorvoegsel voor gebeurtenisveld | ASIM-veldvoorvoegsel | Beschrijving |
|---|---|---|---|
| Onderwerp | Subject |
Actor |
De gebruiker die informatie heeft gemeld over een geslaagde aanmelding. |
| Nieuwe aanmelding | Target |
TargetUser |
De gebruiker waarvoor de aanmelding is uitgevoerd. |
| Verwerken | - | ActingProcess |
Het proces waarmee de aanmelding is geprobeerd. |
| Netwerkgegevens | - | Src |
De computer waarop een aanmeldingspoging is uitgevoerd. |
Op basis van deze entiteiten wordt Windows-gebeurtenis 4624 als volgt genormaliseerd (sommige velden zijn optioneel):
| Genormaliseerd veld | Oorspronkelijk veld | Waarde in voorbeeld | Opmerkingen |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WERKGROEP\WIN-GG82ULGC9GO$ | Gebouwd door de twee velden samen te voegen |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectAanmeldings-ID | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| Gebruikers-id | TargetUserSid | Bijnaam | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\TargetUserName | Beheerder\WIN-GG82ULGC9GO$ | Gebouwd door de twee velden samen te voegen |
| Gebruikersnaam | TargetDomainName\TargetUserName | Bijnaam | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WerkstationNaam | Windows | |
| SrcIpAddr | IP-adres | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Hostnaam | Computer | Bijnaam |
Volgende stappen
Dit artikel bevat een overzicht van normalisatie in Microsoft Sentinel en ASIM.
Zie voor meer informatie: