De normalisatieschemaverwijzing voor advanced Security Information Model (ASIM) controlegebeurtenissen (openbare preview)
Het normalisatieschema voor Microsoft Sentinel-auditgebeurtenissen vertegenwoordigt gebeurtenissen die zijn gekoppeld aan het audittrail van informatiesystemen. De audittrail registreert systeemconfiguratieactiviteiten en beleidswijzigingen. Dergelijke wijzigingen worden vaak uitgevoerd door systeembeheerders, maar kunnen ook door gebruikers worden uitgevoerd bij het configureren van de instellingen van hun eigen toepassingen.
Elk systeem registreert auditgebeurtenissen naast de belangrijkste activiteitenlogboeken. Met een firewall worden bijvoorbeeld gebeurtenissen over de netwerksessies geregistreerd en worden gebeurtenissen gecontroleerd over configuratiewijzigingen die zijn toegepast op de firewall zelf.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Belangrijk
Het normalisatieschema voor controlegebeurtenissen is momenteel beschikbaar als preview-versie. Deze functie wordt geleverd zonder service level agreement. Dit wordt niet aanbevolen voor productieworkloads.
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Schemaoverzicht
De belangrijkste velden van een controlegebeurtenis zijn:
- Het object, dat bijvoorbeeld een beheerde resource of beleidsregel kan zijn waarop de gebeurtenis zich richt, vertegenwoordigd door het veldobject. Het veld ObjectType geeft het type van het object op.
- De toepassingscontext van het object, vertegenwoordigd door het veld TargetAppName, dat wordt aliased by Application.
- De bewerking die wordt uitgevoerd op het object, vertegenwoordigd door de velden EventType en Operation. Hoewel Operation de gerapporteerde waarde is, is EventType een genormaliseerde versie die consistenter is in alle bronnen.
- De oude en nieuwe waarden voor het object, indien van toepassing, vertegenwoordigd door OldValue en NewValue .
Controlegebeurtenissen verwijzen ook naar de volgende entiteiten, die betrokken zijn bij de configuratiebewerking:
- Actor : de gebruiker die de configuratiebewerking uitvoert.
- TargetApp : de toepassing of het systeem waarvoor de configuratiebewerking van toepassing is.
- Target : het systeem waarop TaregtApp* wordt uitgevoerd.
- ActingApp : de toepassing die door de actor wordt gebruikt om de configuratiebewerking uit te voeren.
- Src : het systeem dat door de actor wordt gebruikt om de configuratiebewerking te initiëren, indien anders dan Target.
De descriptor Dvc wordt gebruikt voor het rapportageapparaat, het lokale systeem voor sessies die door een eindpunt worden gerapporteerd, en het intermediaire of beveiligingsapparaat in andere gevallen.
Parsers
Parsers voor controlegebeurtenissen implementeren en gebruiken
Implementeer de ASIM-controlegebeurtenissenparsers uit de GitHub-opslagplaats van Microsoft Sentinel. Als u query's wilt uitvoeren op alle controlegebeurtenisbronnen, gebruikt u de parser imAuditEvent als de tabelnaam in uw query.
Zie het overzicht van ASIM-parsers voor meer informatie over het gebruik van ASIM-parsers. Raadpleeg voor de lijst met controlegebeurtenisparsers Microsoft Sentinel out-of-the-box naar de ASIM-parserslijst
Uw eigen genormaliseerde parsers toevoegen
Geef uw KQL-functies een naam bij het implementeren van aangepaste parsers voor het bestandsgegevensmodel met behulp van de volgende syntaxis: imAuditEvent<vendor><Product> Raadpleeg het artikel ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de controlegebeurtenis die parser samenvoegt.
Parserparameters filteren
De parsers voor controlegebeurtenissen ondersteunen filterparameters. Hoewel deze parameters optioneel zijn, kunnen ze de queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
| Name | Type | Description |
|---|---|---|
| begintijd | datetime | Filter alleen gebeurtenissen die op of na deze tijd zijn uitgevoerd. Deze parameter gebruikt het TimeGenerated veld als tijdsontwerper van de gebeurtenis. |
| eindtijd | datetime | Filter alleen gebeurtenisquery's die op of vóór deze tijd zijn uitgevoerd. Deze parameter gebruikt het TimeGenerated veld als tijdsontwerper van de gebeurtenis. |
| srcipaddr_has_any_prefix | dynamisch | Filter alleen gebeurtenissen van dit bron-IP-adres, zoals weergegeven in het veld SrcIpAddr . |
| eventtype_in | tekenreeks | Filter alleen gebeurtenissen waarin het gebeurtenistype, zoals weergegeven in het veld EventType , een van de opgegeven termen is. |
| eventresult | tekenreeks | Filter alleen gebeurtenissen waarin het resultaat van de gebeurtenis, zoals weergegeven in het veld EventResult , gelijk is aan de parameterwaarde. |
| actorusername_has_any | dynamisch/tekenreeks | Filter alleen gebeurtenissen waarin de ActorUsername een van de opgegeven voorwaarden bevat. |
| operation_has_any | dynamisch/tekenreeks | Filter alleen gebeurtenissen waarin het bewerkingsveld een van de opgegeven voorwaarden bevat. |
| object_has_any | dynamisch/tekenreeks | Filter alleen gebeurtenissen waarin het objectveld een van de opgegeven voorwaarden bevat. |
| newvalue_has_any | dynamisch/tekenreeks | Filter alleen gebeurtenissen waarin het veld NewValue een van de opgegeven termen bevat. |
Sommige parameters kunnen beide lijst met waarden van het type dynamic of één tekenreekswaarde accepteren. Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Bijvoorbeeld: dynamic(['192.168.','10.'])
Als u bijvoorbeeld alleen auditgebeurtenissen wilt filteren met de termen install of update in het veld Bewerking , gebruikt u vanaf de laatste dag:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Schemadetails
Algemene ASIM-velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor controlegebeurtenissen:
| Veld | Klas | Type | Description |
|---|---|---|---|
| EventType | Verplicht | Enumerated | Beschrijft de bewerking die door de gebeurtenis wordt gecontroleerd met behulp van een genormaliseerde waarde. Gebruik EventSubType om meer details op te geven, die de genormaliseerde waarde niet overdraagt en Bewerking. om de bewerking op te slaan zoals gerapporteerd door het rapportageapparaat. Voor auditgebeurtenisrecords zijn de toegestane waarden: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Controlegebeurtenissen vertegenwoordigen een grote verscheidenheid aan bewerkingen en de Other waarde maakt toewijzingsbewerkingen mogelijk die geen bijbehorende EventTypebewerkingen hebben. Het gebruik van Other beperkingen voor de bruikbaarheid van de gebeurtenis en moet echter indien mogelijk worden vermeden. |
| EventSubType | Optioneel | String | Biedt verdere details, die de genormaliseerde waarde in EventType niet overdraagt. |
| EventSchema | Verplicht | String | De naam van het schema dat hier wordt beschreven, is AuditEvent. |
| EventSchemaVersion | Verplicht | String | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1. |
Alle algemene velden
Velden die in de tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Alle richtlijnen die in dit document zijn opgegeven, overschrijven de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Zie het artikel algemene ASIM-velden voor meer informatie over elk veld.
| Klas | Velden |
|---|---|
| Verplicht | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Auditvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| Bewerking | Verplicht | String | De bewerking gecontroleerd zoals gerapporteerd door het rapportageapparaat. |
| Object | Verplicht | String | De naam van het object waarop de bewerking die door EventType wordt geïdentificeerd, wordt uitgevoerd. |
| ObjectType | Verplicht | Enumerated | Het type object. Toegestane waarden zijn: - Cloud Resource- Configuration Atom- Policy Rule-Ander |
| OldValue | Optioneel | String | De oude waarde van Object vóór de bewerking, indien van toepassing. |
| NewValue | Optioneel | String | De nieuwe waarde van Object nadat de bewerking is uitgevoerd, indien van toepassing. |
| Value | Alias | Alias naar NewValue | |
| ValueType | Voorwaardelijk | Enumerated | Het type van de oude en nieuwe waarden. Toegestane waarden zijn -Ander |
Actorvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| ActorUserId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de actor. Zie De entiteit Gebruiker voor meer informatie en voor alternatieve velden voor andere id's. Voorbeeld: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Optioneel | String | Het bereik, zoals Microsoft Entra Domain Name, waarin ActorUserId en ActorUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
| ActorScopeId | Optioneel | String | De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUserIdType | Voorwaardelijk | UserIdType | Het type id dat is opgeslagen in het veld ActorUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUsername | Aanbevolen | Username | De gebruikersnaam van de actor, inclusief domeingegevens, indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias naar ActorUsername | |
| ActorUsernameType | Voorwaardelijk | UsernameType | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Voorbeeld: Windows |
| ActorUserType | Optioneel | UserType | Het type actor. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld: Guest |
| ActorOriginalUserType | Optioneel | UserType | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| ActorSessionId | Optioneel | String | De unieke id van de aanmeldingssessie van de actor. Voorbeeld: 102pTUgC3p8RIqHvzxLCHnFlg |
Doeltoepassingsvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| TargetAppId | Optioneel | String | De id van de toepassing waarop de gebeurtenis van toepassing is, inclusief een proces, browser of service. Voorbeeld: 89162 |
| TargetAppName | Optioneel | String | De naam van de toepassing waarop de gebeurtenis van toepassing is, inclusief een service, een URL of een SaaS-toepassing. Voorbeeld: Exchange 365 |
| Toepassing | Alias | Alias naar TargetAppName | |
| TargetAppType | Optioneel | AppType | Het type toepassing dat namens de actor wordt gemachtigd. Zie AppType in het artikel Schemaoverzicht voor meer informatie en toegestane lijst met waarden. |
| TargetUrl | Optioneel | URL | De URL die is gekoppeld aan de doeltoepassing. Voorbeeld: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Doelsysteemvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| Dst | Alias | String | Een unieke id van het verificatiedoel. In dit veld kunnen de velden TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId of TargetAppName worden opgevraagd. Voorbeeld: 192.168.12.1 |
| TargetHostname | Aanbevolen | Hostnaam | De hostnaam van het doelapparaat, met uitzondering van domeingegevens. Voorbeeld: DESKTOP-1282V4D |
| TargetDomain | Aanbevolen | String | Het domein van het doelapparaat. Voorbeeld: Contoso |
| TargetDomainType | Voorwaardelijk | Enumerated | Het type TargetDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als TargetDomain wordt gebruikt. |
| TargetFQDN | Optioneel | String | De hostnaam van het doelapparaat, inclusief domeingegevens, indien beschikbaar. Voorbeeld: Contoso\DESKTOP-1282V4D Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het TargetDomainType weerspiegelt de gebruikte indeling. |
| TargetDescription | Optioneel | String | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller. |
| TargetDvcId | Optioneel | String | De id van het doelapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere op in de velden TargetDvc<DvcIdType>. Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. TargetDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| TargetDvcScope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. TargetDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| TargetDvcIdType | Voorwaardelijk | Enumerated | Het type TargetDvcId. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DvcIdType in het artikel Schemaoverzicht. Vereist als TargetDeviceId wordt gebruikt. |
| TargetDeviceType | Optioneel | Enumerated | Het type doelapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| TargetIpAddr | Optioneel | IP-adres | Het IP-adres van het doelapparaat. Voorbeeld: 2.2.2.2 |
| TargetDvcOs | Optioneel | String | Het besturingssysteem van het doelapparaat. Voorbeeld: Windows 10 |
| TargetPortNumber | Optioneel | Geheel getal | De poort van het doelapparaat. |
Toepassingsvelden acteren
| Veld | Klas | Type | Description |
|---|---|---|---|
| ActingAppId | Optioneel | String | De id van de toepassing die de gerapporteerde activiteit heeft gestart, inclusief een proces, browser of service. Bijvoorbeeld: 0x12ae8 |
| ActiveAppName | Optioneel | String | De naam van de toepassing die de gerapporteerde activiteit heeft gestart, inclusief een service, een URL of een SaaS-toepassing. Bijvoorbeeld: C:\Windows\System32\svchost.exe |
| ActingAppType | Optioneel | AppType | Het type acterende toepassing. Zie AppType in het artikel Schemaoverzicht voor meer informatie en toegestane lijst met waarden. |
| HttpUserAgent | Optioneel | String | Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die wordt geleverd door de acterende toepassing bij het uitvoeren van de verificatie. Bijvoorbeeld: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Bronsysteemvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| Src | Alias | String | Een unieke id van het bronapparaat. Dit veld kan een alias zijn voor de velden SrcDvcId, SrcHostname of SrcIpAddr . Voorbeeld: 192.168.12.1 |
| SrcIpAddr | Aanbevolen | IP-adres | Het IP-adres waaruit de verbinding of sessie afkomstig is. Voorbeeld: 77.138.103.108 |
| IpAddr | Alias | Alias naar SrcIpAddr of naar TargetIpAddr als SrcIpAddr niet is opgegeven. | |
| SrcPortNumber | Optioneel | Geheel getal | De IP-poort waaruit de verbinding afkomstig is. Mogelijk is dit niet relevant voor een sessie die uit meerdere verbindingen bestaat. Voorbeeld: 2335 |
| SrcHostname | Aanbevolen | Hostnaam | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres op in dit veld. Voorbeeld: DESKTOP-1282V4D |
| SrcDomain | Aanbevolen | String | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Voorwaardelijk | DomainType | Het type SrcDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | String | De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld SrcDomainType weerspiegelt de gebruikte indeling. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optioneel | String | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller. |
| SrcDvcId | Optioneel | String | De id van het bronapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere op in de velden SrcDvc<DvcIdType>.Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| SrcDvcIdType | Voorwaardelijk | DvcIdType | Het type SrcDvcId. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DvcIdType in het artikel Schemaoverzicht. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | DeviceType | Het type bronapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| SrcSubscriptionId | Optioneel | String | De abonnements-id van het cloudplatform waartoe het bronapparaat behoort. SrcSubscriptionId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcGeoCountry | Optioneel | Land/regio | Het land dat is gekoppeld aan het bron-IP-adres. Voorbeeld: USA |
| SrcGeoRegion | Optioneel | Regio | De regio binnen een land dat is gekoppeld aan het bron-IP-adres. Voorbeeld: Vermont |
| SrcGeoCity | Optioneel | City | De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: Burlington |
| SrcGeoL dankbaarheid | Optioneel | Breedtegraad | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 44.475833 |
| SrcGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 73.211944 |
Inspectievelden
De volgende velden worden gebruikt om de inspectie aan te geven die wordt uitgevoerd door een beveiligingssysteem.
| Veld | Klas | Type | Description |
|---|---|---|---|
| RuleName | Optioneel | String | De naam of id van de regel door gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Geheel getal | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Alias | String | De waarde van RuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | String | De id van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| ThreatName | Optioneel | String | De naam van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| ThreatCategory | Optioneel | String | De categorie van de bedreiging of malware die is geïdentificeerd in de activiteit van het controlebestand. |
| ThreatRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Optioneel | String | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatConfidence | Optioneel | Geheel getal | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
| ThreatOriginalConfidence | Optioneel | String | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaanse waarde | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | datetime | De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd. |
| ThreatLastReportedTime | Optioneel | datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatIpAddr | Optioneel | IP-adres | Een IP-adres waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld ThreatIpAddr . |
| ThreatField | Optioneel | Enumerated | Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is ofwel SrcIpAddr TargetIpAddr. |
Volgende stappen
Zie voor meer informatie: