Referência do esquema de normalização dos Eventos de auditoria do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia)
O esquema de normalização de eventos de Auditoria do Microsoft Sentinel representa eventos associados à trilha de auditoria dos sistemas de informações. A trilha de auditoria registra atividades de configuração do sistema e alterações de política. Essas alterações geralmente são executadas por administradores do sistema, mas também podem ser executadas pelos usuários ao definir as configurações de seus próprios aplicativos.
Cada sistema registra eventos de auditoria junto aos principais logs de atividades. Por exemplo, um Firewall registrará eventos sobre os processos de sessões de rede, bem como eventos de auditoria sobre alterações de configuração aplicadas ao próprio Firewall.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Importante
O esquema de normalização de evento de auditoria está atualmente em versão prévia. O recurso é fornecido sem um Contrato de Nível de Serviço. Não o recomendamos para carga de trabalho de produção.
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Visão geral do esquema
Os campos principais de um evento de auditoria são:
- O objeto, que por exemplo, pode ser um recurso gerenciado ou uma regra de política em que o evento se concentra, representado pelo campo Object. O campo ObjectType especifica o tipo do objeto.
- O contexto de aplicativo do objeto, representado pelo campo TargetAppName, que recebe alias de Application.
- A operação executada no objeto, representada pelos campos EventType e Operation. Embora Operation seja o valor relatado pela origem, EventType é uma versão normalizada, que é mais consistente entre as fontes.
- Os valores antigos e novos para o objeto, se aplicáveis, representados por OldValue e NewValue, respectivamente.
Os eventos de auditoria também fazem referência às seguintes entidades envolvidas na operação de configuração:
- Ator – o usuário que está executando a operação de configuração.
- TargetApp – o aplicativo ou sistema para o qual se aplica a operação de configuração.
- Destino – sistema no qual TaregtApp* está em execução.
- ActingApp – o aplicativo usado pelo Ator para executar a operação de configuração.
- Src – o sistema usado pelo Ator para iniciar a operação de configuração, se diferente de Target.
O descritor Dvc é usado para o dispositivo de relatório, que é o sistema local para sessões relatadas por um ponto de extremidade e o dispositivo de segurança ou intermediário em outros casos.
Analisadores
Implantar e usar analisadores de eventos de auditoria
Implante os analisadores de eventos de auditoria ASIM no repositório GitHub do Microsoft Sentinel. Para consultar todas as origens de eventos de auditoria, use o analisador unificador imAuditEvent como o nome da tabela na consulta.
Para obter mais informações sobre como usar os analisadores do ASIM, consulte a Visão geral dos analisadores do ASIM. Para obter a lista dos analisadores de eventos de auditoria que o Microsoft Sentinel fornece prontos para uso, consulte a Lista dos analisadores do ASIM
Adicionar seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informação do Evento do Arquivo, dê um nome às suas funções KQL usando a seguinte sintaxe: imAuditEvent<vendor><Product>. Consulte o artigo Gerenciando analisadores do ASIM para saber como adicionar os analisadores personalizados ao analisador unificador de eventos de auditoria.
Filtragem de parâmetros de analisador
Os analisadores de evento de auditoria dão suporte a parâmetros de filtragem. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.
Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| starttime | DATETIME | Filtre somente os eventos executados nesse horário ou depois dele. Esse parâmetro usa o campo TimeGenerated como o designador de hora do evento. |
| endtime | DATETIME | Filtre somente os eventos que terminaram a execução nesse horário ou antes dele. Esse parâmetro usa o campo TimeGenerated como o designador de hora do evento. |
| srcipaddr_has_any_prefix | dinâmico | Filtre somente eventos desse endereço IP de origem, conforme representado no campo SrcIpAddr. |
| eventtype_in | string | Filtrar somente os eventos nos quais o tipo de evento, conforme representado no campo EventType, é qualquer um dos termos fornecidos. |
| eventresult | string | Filtrar somente os eventos nos quais o resultado do evento, conforme representado no campo EventResult, é igual ao valor do parâmetro. |
| actorusername_has_any | dynamic/string | Filtre somente os eventos nos quais ActorUsername inclui qualquer um dos termos fornecidos. |
| operation_has_any | dynamic/string | Filtre somente os eventos nos quais o campo Operação inclui qualquer um dos termos fornecidos. |
| object_has_any | dynamic/string | Filtre somente os eventos nos quais o campo Objeto inclui qualquer um dos termos fornecidos. |
| newvalue_has_any | dynamic/string | Filtre somente os eventos nos quais o campo NewValue inclui qualquer um dos termos fornecidos. |
Alguns parâmetros podem aceitar uma lista de valores do tipo dynamic ou um só valor de cadeia de caracteres. Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])
Por exemplo, para filtrar apenas eventos de auditoria com os termos install ou update no campo Operação, do último dia, use:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Detalhes do esquema
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A lista a seguir menciona os campos que têm diretrizes específicas para eventos de eventos de auditoria:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Tipo de evento | Obrigatório | Enumerated | Descreve a operação auditada pelo evento usando um valor normalizado. Use EventSubType para fornecer mais detalhes que o valor normalizado não transmite e Operação. para armazenar a operação conforme relatado pelo dispositivo de relatório. Para registros de evento de auditoria, os valores permitidos são: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Os eventos de auditoria representam uma grande variedade de operações e o valor Other permite operações de mapeamento que não têm nenhum EventType correspondente. No entanto, o uso de Other limita a usabilidade do evento e deve ser evitado, se possível. |
| EventSubType | Opcional | Cadeia de caracteres | Fornece detalhes adicionais que o valor normalizado em EventType não transmite. |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é AuditEvent. |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentado aqui é 0.1. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas de ASIM. Qualquer uma das diretrizes especificadas neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns de ASIM.
| Classe | Fields |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendadas | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de auditoria
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Operation | Obrigatório | String | A operação auditada conforme relatado pelo dispositivo de relatório. |
| Object | Obrigatório | String | O nome do objeto no qual é executada a operação identificada por EventType. |
| ObjectType | Obrigatório | Enumerated | O tipo de Object. Valores permitidos são: - Cloud Resource- Configuration Atom- Policy Rule– Outros |
| Valor Antigo | Opcional | String | O valor antigo de Object antes da operação, se aplicável. |
| NewValue | Opcional | String | O novo valor de Object após a operação ser executada, se aplicável. |
| Value | Alias | Alias para NewValue | |
| ValueType | Condicional | Enumerated | O tipo dos valores antigos e novos. Os valores permitidos são – Outros |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Opcional | String | Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Para obter mais informações e campos alternativos para outras IDs, consulte Entidade do usuário. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcional | String | O escopo, como o nome de domínio do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorScopeId | Opcional | String | A ID do escopo, como a ID de diretório do Microsoft Entra, na qual são definidos ActorUserId e ActorUsername. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| ActorUserIdType | Condicional | UserIdType | O tipo da ID armazenada no campo ActorUserId. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. |
| ActorUsername | Recomendadas | Nome de Usuário | O nome de usuário do ator, incluindo informações de domínio quando disponíveis. Para saber mais, confira A entidade de usuário. Exemplo: AlbertE |
| Usuário | Alias | Alias para ActorUsername | |
| ActorUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| ActorUserType | Opcional | UserType | O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Guest |
| ActorOriginalUserType | Opcional | UserType | O tipo de usuário, conforme relatado pelo dispositivo de relatório. |
| ActorSessionId | Opcional | Cadeia de caracteres | A ID exclusiva da sessão de entrada do Ator. Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos do aplicativo de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetAppId | Opcional | String | A ID do aplicativo para o qual se aplica o evento, incluindo um processo, navegador ou serviço. Exemplo: 89162 |
| TargetAppName | Opcional | String | O nome do aplicativo para o qual se aplica o evento, incluindo um serviço, uma URL ou um aplicativo SaaS. Exemplo: Exchange 365 |
| Application | Alias | Alias para TargetAppName | |
| TargetAppType | Opcional | AppType | O tipo de aplicativo que está autorizando em nome do ator. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| TargetUrl | Opcional | URL | A URL associada ao aplicativo de destino. Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Campos do sistema de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dst | Alias | String | Um identificador exclusivo do destino de autenticação. Esse campo pode gerar alias dos campos TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName. Exemplo: 192.168.12.1 |
| TargetHostname | Recomendadas | Nome do host | O nome do host do dispositivo de destino, incluindo informações de domínio. Exemplo: DESKTOP-1282V4D |
| TargetDomain | Recomendadas | String | O domínio do dispositivo de destino. Exemplo: Contoso |
| TargetDomainType | Condicional | Enumerated | Tipo de TargetDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema. Obrigatório se TargetDomain for usado. |
| TargetFQDN | Opcional | String | O nome do host do dispositivo de destino, incluindo informações de domínio quando disponíveis. Exemplo: Contoso\DESKTOP-1282V4D Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O TargetDomainType reflete o formato usado. |
| TargetDescription | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | String | A ID do dispositivo de destino. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos TargetDvc<DvcIdType>. Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| TargetDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| TargetDvcIdType | Condicional | Enumerated | Tipo de TargetDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema. Obrigatório se TargetDeviceId for usado. |
| TargetDeviceType | Opcional | Enumerated | O tipo do dispositivo de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema. |
| TargetIpAddr | Opcional | Endereço IP | O endereço IP do dispositivo de destino. Exemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | Cadeia de caracteres | O sistema operacional do dispositivo de destino. Exemplo: Windows 10 |
| TargetPortNumber | Opcional | Inteiro | A porta do dispositivo de destino. |
Campos Aplicativo de ação
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| ActingAppId | Opcional | String | A ID do aplicativo que iniciou a atividade relatada, incluindo um processo, navegador ou serviço. Por exemplo: 0x12ae8 |
| ActiveAppName | Opcional | String | O nome do aplicativo que iniciou a atividade relatada, incluindo um serviço, uma URL ou um aplicativo SaaS. Por exemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | AppType | O tipo de aplicativo de ação. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| HttpUserAgent | Opcional | Cadeia de caracteres | Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo de ação ao executar a autenticação. Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos do sistema de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Src | Alias | String | Um identificador exclusivo do dispositivo de origem. Esse campo pode gerar alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr. Exemplo: 192.168.12.1 |
| SrcIpAddr | Recomendadas | Endereço IP | O endereço IP em que a conexão ou sessão foi originada. Exemplo: 77.138.103.108 |
| IpAddr | Alias | Alias para SrcIpAddr ou TargetIpAddr, se SrcIpAddr não for fornecido. | |
| SrcPortNumber | Opcional | Inteiro | A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. Exemplo: 2335 |
| SrcHostname | Recomendadas | Nome do host | O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo. Exemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendadas | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | DomainType | O tipo de SrcDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema. Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | Cadeia de caracteres | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema. Observação: esse campo será obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | DeviceType | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema. |
| SrcSubscriptionId | Opcional | String | A ID da assinatura da plataforma de nuvem à qual o dispositivo de origem pertence. Mapa do SrcSubscriptionId para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcGeoCountry | Opcional | País | O país associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Região | A região em um país associado ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Campos de inspeção
Os campos a seguir são usados para representar essa inspeção executada por um sistema de segurança.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | String | O nome ou a ID da regra associada aos resultados da inspeção. |
| RuleNumber | Opcional | Inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Alias | String | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres. |
| ThreatId | Opcional | String | A ID da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatName | Opcional | String | O nome da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatCategory | Opcional | String | A categoria da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatRiskLevel | Opcional | Inteiro | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| ThreatConfidence | Opcional | Inteiro | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Boolean | True, se a ameaça identificada é considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatIpAddr | Opcional | Endereço IP | Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| ThreatField | Opcional | Enumerated | O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr ou TargetIpAddr. |
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)