Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Esquema de Alerta de Microsoft Sentinel foi concebido para normalizar alertas relacionados com segurança de vários produtos para um formato padronizado no Microsoft Advanced Security Information Model (ASIM). Este esquema concentra-se exclusivamente em eventos de segurança, garantindo uma análise consistente e eficiente em diferentes origens de dados.
O Esquema de Alerta representa vários tipos de alertas de segurança, tais como ameaças, atividades suspeitas, anomalias de comportamento do utilizador e violações de conformidade. Estes alertas são comunicados por diferentes produtos e sistemas de segurança, incluindo, entre outros, EDRs, software antivírus, sistemas de deteção de intrusões, ferramentas de prevenção de perda de dados, etc.
Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Analisadores
Para obter mais informações sobre os analisadores do ASIM, veja Descrição geral dos analisadores do ASIM.
Analisadores Unificadores
Para utilizar analisadores que unifiquem todos os analisadores asIM fora da caixa e certifique-se de que a análise é executada em todas as origens configuradas, utilize o _Im_AlertEvent analisador.
Analisadores específicos de origem
Para obter a lista de Analisadores de alertas Microsoft Sentinel fornece desativado, consulte a lista de analisadores asim.
Adicionar Os Seus Próprios Analisadores Normalizados
Ao desenvolver analisadores personalizados para o modelo de informações de Alerta, atribua um nome às funções KQL com a seguinte sintaxe:
-
vimAlertEvent<vendor><Product>para analisadores parametrizados -
ASimAlertEvent<vendor><Product>para analisadores regulares
Veja o artigo Managing ASIM parsers (Gerir analisadores ASIM ) para saber como adicionar os seus analisadores personalizados aos analisadores unificadores unificadores de alertas.
Filtrar Parâmetros do Analisador
Os Analisadores de alertas suportam vários parâmetros de filtragem para melhorar o desempenho das consultas. Estes parâmetros são opcionais, mas podem melhorar o desempenho da consulta. Estão disponíveis os seguintes parâmetros de filtragem:
| Nome | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtre apenas os alertas iniciados em ou depois deste momento. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| endtime | datetime | Filtre apenas os alertas que foram iniciados em ou antes deste momento. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| ipaddr_has_any_prefix | dinâmico | Filtre apenas os alertas para os quais o campo "DvcIpAddr" está num dos valores listados. |
| hostname_has_any | dinâmico | Filtre apenas os alertas para os quais o campo "DvcHostname" está num dos valores listados. |
| username_has_any | dinâmico | Filtre apenas os alertas para os quais o campo "Nome de Utilizador" está num dos valores listados. |
| attacktactics_has_any | dinâmico | Filtre apenas os alertas para os quais o campo "AttackTactics" está num dos valores listados. |
| attacktechniques_has_any | dinâmico | Filtre apenas os alertas para os quais o campo "AttackTechniques" está num dos valores listados. |
| threatcategory_has_any | dinâmico | Filtre apenas os alertas para os quais o campo "ThreatCategory" está num dos valores listados. |
| alertverdict_has_any | dinâmico | Filtre apenas os alertas para os quais o campo "AlertVerdict" está num dos valores listados. |
| eventseverity_has_any | dinâmico | Filtre apenas os alertas para os quais o campo "EventSeverity" está num dos valores listados. |
Descrição Geral do Esquema
O Esquema de Alerta serve vários tipos de eventos de segurança, que partilham os mesmos campos. Estes eventos são identificados pelo campo EventType:
- Informações sobre Ameaças: alertas relacionados com vários tipos de atividades maliciosas, como software maligno, phishing, ransomware e outras ameaças cibernéticas.
- Atividades Suspeitas: alertas para atividades que não são necessariamente confirmadas, mas que são suspeitas e garantem uma investigação mais aprofundada, como várias tentativas de início de sessão falhadas ou acesso a ficheiros restritos.
- Anomalias de Comportamento do Utilizador: alertas que indicam um comportamento invulgar ou inesperado do utilizador que pode sugerir um problema de segurança, como tempos de início de sessão anormais ou padrões de acesso a dados invulgares.
- Violações de Conformidade: alertas relacionados com o incumprimento de políticas regulamentares ou internas. Por exemplo, uma VM exposta com portas públicas abertas vulneráveis a ataques (Alerta de Segurança da Cloud).
Importante
Para preservar a relevância e a eficácia do Esquema de Alerta, apenas os alertas relacionados com segurança devem ser mapeados.
O esquema de alerta refere-se às seguintes entidades para capturar detalhes sobre o alerta:
- Os campos dvc são utilizados para capturar detalhes sobre o anfitrião ou o IP associado ao alerta
-
Os campos de utilizador são utilizados para capturar detalhes sobre o utilizador associado ao alerta.
- Da mesma forma, os campos Processo, Ficheiro, URL, Registo e Email são utilizados para capturar apenas detalhes chave sobre o processo, ficheiro, URL, registo e e-mail associados ao alerta, respetivamente.
Importante
- Ao criar um analisador específico de um produto, utilize o esquema alerta ASIM quando o alerta contiver informações sobre um incidente de segurança ou uma potencial ameaça e os detalhes principais podem ser mapeados diretamente para os campos de esquema de Alerta disponíveis. O Esquema de alerta é ideal para capturar informações de resumo sem campos específicos de entidades extensivos.
- No entanto, se estiver a colocar campos essenciais em "AdditionalFields" devido à falta de correspondências de campos diretos, considere um esquema mais especializado. Por exemplo, se um alerta incluir detalhes relacionados com a rede, tais como vários endereços IP, por exemplo, SrcIpAdr, DstIpAddr, PortNumber, etc., poderá optar pelo esquema NetworkSession em vez do Esquema de alerta. Os esquemas especializados também fornecem campos dedicados para capturar informações relacionadas com ameaças, melhorar a qualidade dos dados e facilitar uma análise eficiente.
Detalhes do Esquema
Campos ASIM Comuns
A lista seguinte menciona campos que têm diretrizes específicas para eventos de Alerta:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerado | Tipo do evento. Os valores com suporte são: - Alert |
| EventSubType | Recomendado | Enumerado | Especifica o subtipo ou categoria do evento de alerta, fornecendo detalhes mais granulares na classificação de eventos mais ampla. Este campo ajuda a distinguir a natureza do problema detetado, melhorando as estratégias de atribuição de prioridades e respostas a incidentes. Os valores suportados incluem: - Threat (Representa uma atividade maliciosa confirmada ou altamente provável que pode comprometer o sistema ou a rede)- Suspicious Activity (Sinaliza o comportamento ou eventos que parecem invulgares ou suspeitos, embora ainda não confirmados como maliciosos)- Anomaly (Identifica desvios de padrões normais que podem indicar um potencial risco de segurança ou problema operacional)- Compliance Violation (Destaca as atividades que violam normas regulamentares, políticas ou de conformidade) |
| EventUid | Obrigatório | string | Uma cadeia alfanumérica legível por computador que identifica exclusivamente um alerta num sistema. Por exemplo, A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Opcional | string | Informações detalhadas sobre o alerta, incluindo o contexto, a causa e o potencial impacto. Por exemplo, Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias ou nome amigável para DvcIpAddr o campo. |
|
| Nome do host | Alias | Alias ou nome amigável para DvcHostname o campo. |
|
| EventSchema | Obrigatório | Enumerado | O esquema utilizado para o evento. O esquema documentado aqui é AlertEvent. |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema. A versão do esquema documentado aqui é 0.1. |
Todos os Campos Comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer orientação especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, veja o artigo Campos Comuns do ASIM .
| Classe | Campos |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Recomendado |
-
EventSubType - EventoSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Opcional |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos de Inspeção
A tabela seguinte abrange campos que fornecem informações críticas sobre as regras e ameaças associadas aos alertas. Em conjunto, ajudam a enriquecer o contexto do alerta, tornando mais fácil para os analistas de segurança compreenderem a sua origem e significância.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AlertId | Alias | string | Alias ou nome amigável para EventUid o campo. |
| AlertName | Recomendado | string | Título ou nome do alerta. Por exemplo, Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | string | Alias ou nome amigável para EventMessage o campo. |
| AlertVerdict | Opcional | Enumerado | A determinação final ou o resultado do alerta, que indica se o alerta foi confirmado como uma ameaça, considerado suspeito ou resolvido como um falso positivo. Os valores com suporte são: - True Positive (Confirmado como uma ameaça legítima)- False Positive (Identificado incorretamente como uma ameaça)- Benign Positive (quando o evento é determinado como inofensivo)- Unknown(Incerto ou indeterminado status) |
| AlertStatus | Opcional | Enumerado | Indica o estado atual ou o progresso do alerta. Os valores com suporte são: - Active- Closed |
| AlertOriginalStatus | Opcional | string | A status do alerta conforme comunicado pelo sistema de origem. |
| DetectionMethod | Opcional | Enumerado | Fornece informações detalhadas sobre o método de deteção, tecnologia ou origem de dados específico que contribuiu para a geração do alerta. Este campo oferece mais informações sobre como o alerta foi detetado ou acionado, ajudando a compreender o contexto e a fiabilidade da deteção. Os valores suportados incluem: - EDR: Sistemas de Deteção e Resposta de Pontos Finais que monitorizam e analisam atividades de pontos finais para identificar ameaças.- Behavioral Analytics: técnicas que detetam padrões anormais no comportamento do utilizador, do dispositivo ou do sistema.- Reputation: Deteção de ameaças com base na reputação de endereços IP, domínios ou ficheiros.- Threat Intelligence: feeds de inteligência externos ou internos que fornecem dados sobre ameaças conhecidas ou táticas de adversários.- Intrusion Detection: sistemas que monitorizam o tráfego de rede ou atividades para sinais de intrusões ou ataques.- Automated Investigation: sistemas automatizados que analisam e investigam alertas, reduzindo a carga de trabalho manual.- Antivirus: motores antivírus tradicionais que detetam software maligno com base em assinaturas e heurística.- Data Loss Prevention: soluções focadas na prevenção de transferências ou fugas de dados não autorizadas.- User Defined Blocked List: listas personalizadas definidas pelos utilizadores para bloquear IPs, domínios ou ficheiros específicos.- Cloud Security Posture Management: ferramentas que avaliam e gerem riscos de segurança em ambientes na cloud.- Cloud Application Security: soluções que protegem as aplicações e os dados na cloud.- Scheduled Alerts: alertas gerados com base em agendas ou limiares predefinidos.- Other: qualquer outro método de deteção não abrangido pelas categorias acima. |
| Rule | Alias | string | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for utilizado, o tipo deve ser convertido em cadeia. |
| RuleNumber | Opcional | int | O número da regra associada ao alerta. Por exemplo, 123456 |
| RuleName | Opcional | string | O nome ou ID da regra associada ao alerta. Por exemplo, Server PSEXEC Execution via Remote Access |
| RuleDescription | Opcional | string | Descrição da regra associada ao alerta. Por exemplo, This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Opcional | string | O ID da ameaça ou software maligno identificado no alerta. Por exemplo, 1234567891011121314 |
| ThreatName | Opcional | string | O nome da ameaça ou software maligno identificado no alerta. Por exemplo, Init.exe |
| ThreatFirstReportedTime | Opcional | datetime | Data e hora em que a ameaça foi reportada pela primeira vez. Por exemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcional | datetime | Data e hora em que a ameaça foi reportada pela última vez. Por exemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Recomendado | Enumerado | A categoria da ameaça ou software maligno identificado no alerta. Os valores suportados são: Malware, , Ransomware, Trojan, Virus, Worm, SpywareAdware, Rootkit, Cryptominor, , Phishing, Spam, , MaliciousUrl, , Spoofing, , Security Policy ViolationUnknown |
| ThreatOriginalCategory | Opcional | string | A categoria da ameaça, conforme comunicado pelo sistema de origem. |
| ThreatIsActive | Opcional | bool | Indica se a ameaça está atualmente ativa. Os valores suportados são: True, False |
| ThreatRiskLevel | Opcional | RiskLevel (Número Inteiro) | O nível de risco associado à ameaça. O nível deve ser um número entre 0 e 100. Nota: o valor pode ser fornecido no registo de origem com uma escala diferente, que deve ser normalizada para esta escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | string | O nível de risco, conforme comunicado pelo sistema de origem. |
| ThreatConfidence | Opcional | ConfidenceLevel (Número Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | string | O nível de confiança, conforme comunicado pelo sistema de origem. |
| IndicatorType | Recomendado | Enumerado | O tipo ou categoria do indicador Os valores com suporte são: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Opcional | Enumerado | Especifica se o indicador está ligado ou diretamente afetado pela ameaça. Os valores com suporte são: - Associated- Targeted |
| AttackTactics | Recomendado | string | As táticas de ataque (nome, ID ou ambos) associadas ao alerta. Formato preferencial: Por exemplo: Persistence, Privilege Escalation |
| AttackTechniques | Recomendado | string | As técnicas de ataque (nome, ID ou ambos) associadas ao alerta. Formato preferencial: Por exemplo: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Recomendado | string | Ações ou passos recomendados para mitigar ou remediar o ataque ou ameaça identificado. Por exemplo, 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Campos de Utilizador
Esta secção define campos relacionados com a identificação e classificação de utilizadores associados a um alerta, fornecendo clareza sobre o utilizador afetado e o formato da respetiva identidade. Se o alerta contiver vários campos relacionados com o utilizador adicionais que excedam o que está mapeado aqui, poderá considerar se um esquema especializado, como o esquema Evento de Autenticação, poderá ser mais adequado para representar totalmente os dados.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| UserId | Opcional | string | Uma representação exclusiva, alfanumérica e legível pelo computador do utilizador associado ao alerta. Por exemplo, A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Condicional | Enumerado | O tipo do ID de utilizador, como GUID, SIDou Email.Os valores com suporte são: - GUID- SID- Email- Username- Phone- Other |
| Username | Recomendado | Nome de utilizador (cadeia) | Nome do utilizador associado ao alerta, incluindo informações de domínio quando disponível. por exemplo, Contoso\JSmith ou john.smith@contoso.com |
| Usuário | Alias | string | Alias ou nome amigável para Username o campo. |
| UsernameType | Condicional | UsernameType | Especifica o tipo do nome de utilizador armazenado no Username campo. Para obter mais informações e lista de valores permitidos, veja UsernameType no artigo Descrição Geral do Esquema.Por exemplo, Windows |
| UserType | Opcional | UserType | O tipo do Ator. Para obter mais informações e lista de valores permitidos, veja UserType no artigo Descrição Geral do Esquema. Por exemplo, Guest |
| OriginalUserType | Opcional | string | O tipo de utilizador conforme comunicado pelo dispositivo de relatório. |
| UserSessionId | Opcional | string | O ID exclusivo da sessão do utilizador associada ao alerta. Por exemplo, a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Opcional | string | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual o UserId e o Nome de Utilizador são definidos. Por exemplo, a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Opcional | string | O âmbito, como Microsoft Entra inquilino, no qual UserId e Username são definidos. Para obter mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. Por exemplo, Contoso Directory |
Campos de Processo
Esta secção permite-lhe capturar detalhes relacionados com uma entidade de processo envolvida num alerta com os campos especificados. Se o alerta contiver campos relacionados com processos adicionais e detalhados que excedam o que está mapeado aqui, poderá considerar se um esquema especializado, como o esquema de Evento de Processo, pode ser mais adequado para representar totalmente os dados.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ProcessId | Opcional | string | O ID do processo (PID) associado ao alerta. Por exemplo, 12345678 |
| ProcessCommandLine | Opcional | string | Linha de comandos utilizada para iniciar o processo. Por exemplo, "choco.exe" -v |
| ProcessName | Opcional | string | Nome do processo. Por exemplo, C:\Windows\explorer.exe |
| ProcessFileCompany | Opcional | string | Empresa que criou o ficheiro de imagem do processo. Por exemplo, Microsoft |
Campos de Ficheiro
Esta secção permite-lhe capturar detalhes relacionados com uma entidade de ficheiro envolvida num alerta. Se o alerta contiver campos adicionais e detalhados relacionados com ficheiros que excedam o que está mapeado aqui, poderá considerar se um esquema especializado, como o esquema evento de ficheiro, pode ser mais adequado para representar totalmente os dados.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| FileName | Opcional | string | Nome do ficheiro associado ao alerta, sem caminho ou localização. Por exemplo, Notepad.exe |
| FilePath | Opcional | string | O caminho completo e normalizado do ficheiro de destino, incluindo a pasta ou localização, o nome do ficheiro e a extensão. Por exemplo, C:\Windows\System32\notepad.exe |
| FileSHA1 | Opcional | string | Hash SHA1 do ficheiro. Por exemplo, j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Opcional | string | Hash SHA256 do ficheiro. Por exemplo, a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Opcional | string | Hash MD5 do ficheiro. Por exemplo, j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Opcional | long | Tamanho do ficheiro em bytes. Por exemplo, 123456 |
Campo de URL
Se o alerta incluir informações sobre a entidade url, os campos seguintes podem capturar dados relacionados com URLs.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Url | Opcional | string | A cadeia de URL capturada no alerta. Por exemplo, https://contoso.com/fo/?k=v&q=u#f |
Campos de Registo
Se o alerta incluir detalhes sobre a entidade de registo, utilize os seguintes campos para capturar informações específicas relacionadas com o registo.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RegistryKey | Opcional | string | A chave de registo associada ao alerta, normalizada para convenções de nomenclatura de chaves de raiz padrão. Por exemplo, HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Opcional | string | Valor do registo. Por exemplo, ImagePath |
| RegistryValueData | Opcional | string | Dados do valor do registo. Por exemplo, C:\Windows\system32;C:\Windows; |
| RegistryValueType | Opcional | Enumerado | Tipo do valor do registo. Por exemplo, Reg_Expand_Sz |
Campos de Email
Se o alerta incluir informações sobre a entidade de e-mail, utilize os seguintes campos para capturar detalhes específicos relacionados com o e-mail.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EmailMessageId | Opcional | string | Identificador exclusivo da mensagem de e-mail, associado ao alerta. Por exemplo, Request for Invoice Access |
| EmailSubject | Opcional | string | Assunto do e-mail. Por exemplo, j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Atualizações de esquema
Seguem-se as alterações em várias versões do esquema:
- Versão 0.1: Lançamento inicial.