Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Um esquema de Modelo de Informação de Segurança Avançada (ASIM) é um conjunto de campos que representam uma atividade ou entidade. Utilizar os campos de um esquema normalizado numa consulta garante que a consulta funciona com todas as origens normalizadas.
Para compreender como os esquemas se encaixam na arquitetura ASIM, veja o diagrama de arquitetura ASIM.
Atividade/Esquemas de Eventos
As referências de esquema descrevem os campos que compõem cada esquema. Atualmente, o ASIM define os seguintes esquemas para eventos:
| Esquema | Nome do Esquema para Testes | Versão | Estado |
|---|---|---|---|
| Evento de Alerta | AlertEvent |
0.1 | Agente Convidado |
| Evento de Auditoria | AuditEvent |
0.1.2 | Agente Convidado |
| Evento de Autenticação | Authentication |
0.1.4 | Agente Convidado |
| Atividade DHCP | DhcpEvent |
0.1.1 | Agente Convidado |
| Atividade DNS | Dns |
0.1.7 | Agente Convidado |
| Atividade de Ficheiros | FileEvent |
0.2.2 | Agente Convidado |
| Sessão de Rede | NetworkSession |
0.2.7 | Agente Convidado |
| Evento de Processo | ProcessEvent |
0.1.4 | Agente Convidado |
| Evento de Registo | RegistryEvent |
0.1.3 | Agente Convidado |
| Gestão de Utilizadores | UserManagement |
0.1.2 | Agente Convidado |
| Sessão Web | WebSession |
0.2.7 | Agente Convidado |
Esquemas de Entidades
Atualmente, o ASIM define os seguintes esquemas para entidades:
| Esquema | Nome do Esquema para Testes | Versão | Estado |
|---|---|---|---|
| Entidade do Recurso | AssetEntity |
0.1.0 | Agente Convidado |
Para entidades que fazem parte de outros esquemas ASIM, veja Entidades de Eventos.
Nomenclatura de campos
No núcleo de cada esquema estão os nomes dos campos. Os nomes dos campos pertencem aos seguintes grupos:
- Campos comuns a todos os esquemas.
- Campos específicos de um esquema.
- Campos que representam entidades, como utilizadores, que participam no esquema. Os campos que representam entidades são semelhantes entre esquemas.
Quando as origens têm campos que não são apresentados no esquema documentado, são normalizadas para manter a consistência. Se os campos adicionais representarem uma entidade, são normalizados com base nas diretrizes do campo de entidade. Caso contrário, os esquemas esforçam-se por manter a consistência em todos os esquemas.
Por exemplo, embora os registos de atividades do servidor DNS não forneçam informações do utilizador, os registos de atividades DNS de um ponto final podem incluir informações do utilizador, que podem ser normalizadas de acordo com as diretrizes da entidade do utilizador.
Campos comuns
Alguns campos são comuns a todos os esquemas ASIM. Cada esquema pode adicionar diretrizes para utilizar alguns dos campos comuns no contexto do esquema específico. Por exemplo, os valores permitidos para o campo EventType podem variar por esquema, tal como o valor do campo EventSchemaVersion .
Classes de campo
Os campos podem ter várias classes, que definem quando os campos devem ser implementados por um analisador:
- Os campos obrigatórios têm de aparecer em todos os analisadores. Se a sua origem não fornecer informações para este valor ou os dados não puderem ser adicionados de outra forma, não suporta a maioria dos itens de conteúdo que referenciam o esquema normalizado.
- Os campos recomendados devem ser normalizados se disponíveis. No entanto, podem não estar disponíveis em todas as origens. Qualquer item de conteúdo que referencie esse esquema normalizado deve ter em conta a disponibilidade.
- Os campos opcionais, se disponíveis, podem ser normalizados ou deixados no formulário original. Normalmente, um analisador mínimo não os normalizaria por motivos de desempenho.
- Os campos condicionais são obrigatórios se o campo que seguem for preenchido. Os campos condicionais são normalmente utilizados para descrever o valor noutro campo. Por exemplo, o campo comum DvcIdType descreve o valor int no campo comum DvcId e, portanto, é obrigatório se este estiver preenchido.
- O alias é um tipo especial de um campo condicional e é obrigatório se o campo aliased for preenchido.
Entidades de Eventos
Os eventos evoluem em torno de entidades, como utilizadores, anfitriões, processos ou ficheiros. Cada entidade pode necessitar de vários campos para a descrever. Por exemplo, um anfitrião pode ter um nome e um endereço IP.
Um único registo pode incluir várias entidades do mesmo tipo, como um anfitrião de origem e de destino.
O ASIM define como descrever as entidades de forma consistente e as entidades permitem expandir os esquemas.
Por exemplo, embora o esquema de Sessão de Rede não inclua informações de processo, algumas origens de eventos fornecem informações de processo que podem ser adicionadas. Para obter mais informações, veja Entidades.
Para ativar a funcionalidade da entidade, a representação de entidades tem as seguintes diretrizes:
| Orientação | Descrição |
|---|---|
| Prefixos e aliasing | Uma vez que um único evento inclui frequentemente mais do que uma entidade do mesmo tipo, como anfitriões de origem e destino, os prefixos são utilizados para identificar a entidade à qual um campo está associado. Para manter a normalização, o ASIM utiliza um pequeno conjunto de prefixos padrão, escolhendo os mais adequados para a função específica das entidades. Se uma única entidade de um tipo for relevante para um evento, não é necessário utilizar um prefixo. Além disso, um conjunto de campos sem um prefixo aliases a entidade mais utilizada para cada tipo. |
| Identificadores e tipos | Um esquema normalizado permite vários identificadores para cada entidade, que esperamos coexistir em eventos. Se o evento de origem tiver outros identificadores de entidade que não podem ser mapeados para o esquema normalizado, mantenha-os no formulário de origem ou utilize o campo dinâmico AdditionalFields . Para manter as informações de tipo para os identificadores, armazene o tipo, quando aplicável, num campo com o mesmo nome e um sufixo de Tipo. Por exemplo, UserIdType. |
| Atributos | Muitas vezes, as entidades têm outros atributos que não servem de identificador e também podem ser qualificadas com um descritor. Por exemplo, se o utilizador de origem tiver informações de domínio, o campo normalizado é SrcUserDomain. |
Para obter mais informações sobre tipos de entidade específicos, veja:
Para obter mais informações sobre os esquemas de entidade completos, veja:
Aliases
Os aliases permitem vários nomes para um valor especificado. Em alguns casos, diferentes utilizadores esperam que um campo tenha nomes diferentes. Por exemplo, na terminologia DNS, poderá esperar um campo com o nome DnsQuery, embora, de uma forma mais geral, contenha um nome de domínio. O domínio de alias ajuda o utilizador ao permitir a utilização de ambos os nomes.
Nota
Os aliases destinam-se a ajudar um analista com consultas interativas. Ao utilizar consultas em conteúdo reutilizável, como deteções personalizadas, regras analíticas ou livros, utilize o campo alias em vez do alias. A utilização do campo aliased garante um melhor desempenho, menos erros e uma melhor legibilidade das consultas.
Em alguns casos, um alias pode ter o valor de um de vários campos, consoante os valores disponíveis no evento. Por exemplo, o alias dvc , aliases os campos DvcFQDN, DvcId, DvcHostname ou DvcIpAddr ou Produto de Evento . Quando um alias pode ter vários valores, o respetivo tipo tem de ser uma cadeia para acomodar todos os valores aliases possíveis. Como resultado, ao atribuir um valor a esse alias, certifique-se de que converte o tipo em cadeia com a função KQL tostring.
As tabelas normalizadas nativas não incluem aliases, uma vez que implicariam armazenamento de dados duplicados. Em vez disso , os parsers stub adicionam os aliases. Para implementar aliases em analisadores, crie uma cópia do valor original com o extend operador .
Tipos lógicos
Cada campo de esquema tem um tipo. A área de trabalho do Log Analytics tem um conjunto limitado de tipos de dados. Por este motivo, Microsoft Sentinel utiliza um tipo lógico para muitos campos de esquema, que o Log Analytics não impõe, mas é necessário para compatibilidade de esquemas. Os tipos de campo lógicos garantem que os valores e os nomes dos campos são consistentes entre origens.
| Tipo de dados | Tipo físico | Formato e valor |
|---|---|---|
| Booleano | Bool | Utilize o tipo de dados KQL bool incorporado em vez de uma representação numérica ou de cadeia de valores booleanos. |
| Enumerado | Cadeia | Uma lista de valores, conforme explicitamente definido para o campo. A definição de esquema lista os valores aceites. |
| Data/Hora | Dependendo da capacidade do método de ingestão, utilize qualquer uma das seguintes representações físicas na prioridade descendente: - Tipo de datetime incorporado do Log Analytics - Um campo inteiro com a representação numérica datetime do Log Analytics. - Um campo de cadeia com a representação numérica datetime do Log Analytics - Um campo de cadeia que armazena um formato de data/hora do Log Analytics suportado. |
A representação de data e hora do Log Analytics é semelhante, mas diferente da representação da hora Unix. Para obter mais informações, veja as diretrizes de conversão. Nota: quando aplicável, a hora deve ser ajustada ao fuso horário. |
| Endereço MAC | Cadeia | Colon-Hexadecimal notação. |
| Endereço IP | Cadeia | Microsoft Sentinel esquemas não têm endereços IPv4 e IPv6 separados. Qualquer campo de endereço IP pode incluir um endereço IPv4 ou um endereço IPv6, da seguinte forma: - IPv4 numa notação ponto-decimal. - IPv6 na notação de 8 hextets, permitindo a forma curta. Por exemplo: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Formato abreviado IPv6: 1080::8:800:200C:417A |
| FQDN | Cadeia | Um nome de domínio completamente qualificado com uma notação de pontos, por exemplo, learn.microsoft.com. Para obter mais informações, veja A entidade Dispositivo. |
| Nome do anfitrião | Cadeia | Um nome de anfitrião que não seja um FQDN, inclui até 63 carateres, incluindo letras, números e hífenes. Para obter mais informações, veja A entidade Dispositivo. |
| Domínio | Cadeia | a parte do domínio de um FQDN, sem o nome do anfitrião, por exemplo, learn.microsoft.com. Para obter mais informações, veja A entidade Dispositivo. |
| DomainType | Enumerado | O tipo de domínio armazenado em campos de domínio e FQDN. Para obter uma lista de valores e mais informações, veja A entidade Dispositivo. |
| DvcIdType | Enumerado | O tipo do ID do dispositivo armazenado nos campos DvcId. Para obter uma lista de valores permitidos e mais informações, veja DvcIdType. |
| DeviceType | Enumerado | O tipo do dispositivo armazenado nos campos DeviceType. Os valores possíveis incluem: - Computer- Mobile Device- IOT Device- Other. Para obter mais informações, veja A entidade Dispositivo. |
| Nome de utilizador | Cadeia | Um nome de utilizador válido num dos tipos suportados. Para obter mais informações, veja A entidade Utilizador. |
| UsernameType | Enumerado | O tipo de nome de utilizador armazenado nos campos de nome de utilizador. Para obter mais informações e lista de valores suportados, veja A entidade Utilizador. |
| UserIdType | Enumerado | O tipo do ID armazenado nos campos de ID de utilizador. Os valores suportados são SID, UIS, AADID, OktaId, , AWSIde PUID. Para obter mais informações, veja A entidade Utilizador. |
| UserType | Enumerado | O tipo de utilizador. Para obter mais informações e lista de valores permitidos, veja A entidade Utilizador. |
| AppType | Enumerado | O tipo de uma aplicação. Para obter uma lista dos valores suportados, veja A Entidade da Aplicação. |
| País/Região | Cadeia | Uma cadeia com ISO 3166-1, de acordo com a seguinte prioridade: - Códigos Alfa-2, como US para o Estados Unidos. - Códigos Alfa-3, como USA para o Estados Unidos. - Nome abreviado. A lista de códigos pode ser encontrada no site da International Standards Organization (ISO). |
| Região | Cadeia | O nome da subdivisão país/região, utilizando ISO 3166-2. A lista de códigos pode ser encontrada no site da International Standards Organization (ISO). |
| Localidade | Cadeia | |
| Longitude | Duplo | Representação coordenada ISO 6709 (decimal assinado). |
| Latitude | Duplo | Representação coordenada ISO 6709 (decimal assinado). |
| MD5 | Cadeia | 32 carateres hexadecimes. |
| SHA1 | Cadeia | 40 carateres hexadecimes. |
| SHA256 | Cadeia | 64 carateres hexadecimes. |
| SHA512 | Cadeia | 128 carateres hexadecimes. |
| Nível de Confiança | Número inteiro | Um nível de confiança normalizado para o intervalo de 0 a 100. |
| Nível de Risco | Número inteiro | Um nível de risco normalizado para o intervalo de 0 a 100. |
| SchemaVersion | Cadeia | Uma versão de esquema ASIM no formato <major>.<minor>.<sub-minor> |
| DnsQueryClassName | Cadeia | O nome da classe DNS. |
| Nome de utilizador | Cadeia | Um nome de utilizador simples ou qualificado de domínio |
Mapeamento de entidades de exemplo
Esta secção utiliza o evento 4624 do Windows como exemplo para descrever como os dados do evento são normalizados para Microsoft Sentinel.
Este evento tem as seguintes entidades:
| Terminologia da Microsoft | Prefixo do campo de evento original | Prefixo do campo ASIM | Descrição |
|---|---|---|---|
| Assunto | Subject |
Actor |
O utilizador que comunicou informações sobre um início de sessão com êxito. |
| Novo Início de Sessão | Target |
TargetUser |
O utilizador para o qual o início de sessão foi realizado. |
| Processo | - | ActingProcess |
O processo que tentou iniciar sessão. |
| Informações de rede | - | Src |
O computador a partir do qual foi efetuada uma tentativa de início de sessão. |
Com base nestas entidades, o evento 4624 do Windows é normalizado da seguinte forma (alguns campos são opcionais):
| Campo normalizado | Campo original | Valor no exemplo | Notas |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Criado através da concatenação dos dois campos |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrador\WIN-GG82ULGC9GO$ | Criado através da concatenação dos dois campos |
| Nome de utilizador | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | Endereço Ip | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computador | WIN-GG82ULGC9GO | |
| Hostname | Computador | Alias |
Passos seguintes
Este artigo fornece uma descrição geral da normalização no Microsoft Sentinel e no ASIM.
Para mais informações, consulte:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizar Analisadores e Conteúdo Normalizado ou reveja os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)