A referência do esquema de normalização de eventos de auditoria ASIM (Advanced Security Information Model) (visualização pública)
O esquema de normalização de eventos do Microsoft Sentinel Audit representa eventos associados à trilha de auditoria dos sistemas de informação. A trilha de auditoria registra as atividades de configuração do sistema e as alterações de política. Tais alterações são frequentemente realizadas por administradores de sistema, mas também podem ser realizadas pelos usuários ao configurar as configurações de seus próprios aplicativos.
Cada sistema registra eventos de auditoria juntamente com seus logs de atividades principais. Por exemplo, um Firewall registrará eventos sobre as sessões de rede e eventos de auditoria sobre alterações de configuração aplicadas ao próprio Firewall.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Importante
O esquema de normalização do Evento de Auditoria está atualmente em visualização. Este recurso é fornecido sem um contrato de nível de serviço. Não recomendamos para cargas de trabalho de produção.
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Descrição geral do esquema
Os principais domínios de um evento de auditoria são:
- O objeto, que pode ser, por exemplo, um recurso gerenciado ou uma regra de política, no qual o evento se concentra, representado pelo campo Objeto. O campo ObjectType especifica o tipo do objeto.
- O contexto do aplicativo do objeto, representado pelo campo TargetAppName, que é aliased por Application.
- A operação executada no objeto, representada pelos campos EventType e Operation. Enquanto Operation é o valor relatado pela fonte, EventType é uma versão normalizada que é mais consistente entre fontes.
- Os valores antigo e novo para o objeto, se aplicável, representados por OldValue e NewValue respectivamente.
Os eventos de auditoria também fazem referência às seguintes entidades, que estão envolvidas na operação de configuração:
- Ator - O usuário que executa a operação de configuração.
- TargetApp - O aplicativo ou sistema ao qual a operação de configuração se aplica.
- Target - O sistema no qual o TaregtApp* está sendo executado.
- ActingApp - O aplicativo usado pelo Ator para executar a operação de configuração.
- Src - O sistema usado pelo Ator para iniciar a operação de configuração, se diferente do Target.
O descritor Dvc é usado para o dispositivo de relatório, que é o sistema local para sessões relatadas por um ponto de extremidade, e o intermediário ou dispositivo de segurança em outros casos.
Analisadores
Implantando e usando analisadores de eventos de auditoria
Implante os analisadores de eventos de auditoria ASIM a partir do repositório GitHub do Microsoft Sentinel. Para consultar todas as fontes de eventos de auditoria, use o analisador imAuditEvent unificador como o nome da tabela em sua consulta.
Para obter mais informações sobre como usar analisadores ASIM, consulte a visão geral dos analisadores ASIM. Para obter a lista dos analisadores de eventos de auditoria fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM
Adicione seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações de evento de arquivo, nomeie suas funções KQL usando a seguinte sintaxe: imAuditEvent<vendor><Product>. Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados ao analisador unificador de eventos de auditoria.
Parâmetros do analisador de filtragem
Os analisadores de eventos de auditoria suportam parâmetros de filtragem. Embora esses parâmetros sejam opcionais, eles podem melhorar o desempenho da consulta.
Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| Hora de início | datetime | Filtre apenas os eventos executados durante ou após esse período. Este parâmetro usa o TimeGenerated campo como o designador de tempo do evento. |
| tempo de fim | datetime | Filtre apenas consultas de eventos que terminaram de ser executadas durante ou antes desse período. Este parâmetro usa o TimeGenerated campo como o designador de tempo do evento. |
| srcipaddr_has_any_prefix | dynamic | Filtre apenas eventos deste endereço IP de origem, conforme representado no campo SrcIpAddr . |
| eventtype_in | string | Filtre apenas eventos em que o tipo de evento, conforme representado no campo EventType é qualquer um dos termos fornecidos. |
| resultado do evento | string | Filtre apenas eventos nos quais o resultado do evento, conforme representado no campo EventResult , é igual ao valor do parâmetro. |
| actorusername_has_any | dinâmico/string | Filtre apenas eventos nos quais o ActorUsername inclua qualquer um dos termos fornecidos. |
| operation_has_any | dinâmico/string | Filtre apenas eventos nos quais o campo Operação inclua qualquer um dos termos fornecidos. |
| object_has_any | dinâmico/string | Filtre apenas eventos nos quais o campo Objeto inclua qualquer um dos termos fornecidos. |
| newvalue_has_any | dinâmico/string | Filtre apenas eventos nos quais o campo NewValue inclua qualquer um dos termos fornecidos. |
Alguns parâmetros podem aceitar tanto a lista de valores do tipo dynamic ou um único valor de cadeia de caracteres. Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])
Por exemplo, para filtrar apenas eventos de auditoria com os termos install ou update no campo Operação , a partir do último dia , use:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Detalhes do esquema
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Domínios comuns com orientações específicas
A lista a seguir menciona campos que têm diretrizes específicas para eventos de auditoria:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Tipo de Evento | Obrigatório | Enumerated | Descreve a operação auditada pelo evento usando um valor normalizado. Use EventSubType para fornecer mais detalhes, que o valor normalizado não transmite, e Operation. para armazenar a operação conforme relatado pelo dispositivo de relatório. Para registros de eventos de auditoria, os valores permitidos são: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Os eventos de auditoria representam uma grande variedade de operações, e o Other valor permite mapear operações que não têm correspondente EventType. No entanto, o uso de Other limita a usabilidade do evento e deve ser evitado se possível. |
| EventSubType | Opcional | String | Fornece mais detalhes, que o valor normalizado em EventType não transmite. |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é AuditEvent. |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentada aqui é 0.1. |
Todos os campos comuns
Os campos que aparecem na tabela são comuns a todos os esquemas ASIM. Qualquer uma das diretrizes especificadas neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos comuns do ASIM.
| Classe | Campos |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos de auditoria
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Operação | Obrigatório | String | A operação auditada conforme relatado pelo dispositivo de relatório. |
| Objeto | Obrigatório | String | O nome do objeto no qual a operação identificada por EventType é executada. |
| Tipo de objeto | Obrigatório | Enumerated | O tipo de objeto. Os valores permitidos são: - Cloud Resource- Configuration Atom- Policy Rule- Outros |
| OldValue | Opcional | String | O valor antigo de Object antes da operação, se aplicável. |
| NovoValor | Opcional | String | O novo valor de Object após a operação ter sido executada, se aplicável. |
| Valor | Alias | Alias para NewValue | |
| Tipo de Valor | Condicional | Enumerated | O tipo de valores antigos e novos. Os valores permitidos são - Outros |
Campos de atores
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Opcional | String | Uma representação única, alfanumérica e legível por máquina do Ator. Para obter mais informações e campos alternativos para outras IDs, consulte A entidade do usuário. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcional | String | O escopo, como Microsoft Entra Domain Name, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorScopeId | Opcional | String | A ID do escopo, como a ID do diretório do Microsoft Entra, na qual ActorUserId e ActorUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| ActorUserIdType | Condicional | UserIdType | O tipo de ID armazenado no campo ActorUserId . Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. |
| ActorUsername | Recomendado | Nome de Utilizador | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para obter mais informações, consulte A entidade Usuário. Exemplo: AlbertE |
| Utilizador | Alias | Alias para ActorUsername | |
| ActorUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| ActorUserType | Opcional | UserType | O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Guest |
| ActorOriginalUserType | Opcional | UserType | O tipo de usuário conforme relatado pelo dispositivo de relatório. |
| ActorSessionId | Opcional | String | O ID exclusivo da sessão de entrada do Ator. Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos do aplicativo de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetAppId | Opcional | String | A ID do aplicativo ao qual o evento se aplica, incluindo um processo, navegador ou serviço. Exemplo: 89162 |
| TargetAppName | Opcional | String | O nome do aplicativo ao qual o evento se aplica, incluindo um serviço, uma URL ou um aplicativo SaaS. Exemplo: Exchange 365 |
| Aplicação | Alias | Alias para TargetAppName | |
| TargetAppType | Opcional | Tipo de aplicativo | O tipo de pedido que autoriza em nome do Ator. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| TargetUrl | Opcional | URL | A URL associada ao aplicativo de destino. Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Campos do sistema de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dst | Alias | String | Um identificador exclusivo do destino de autenticação. Este campo pode usar o alias dos campos TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName. Exemplo: 192.168.12.1 |
| TargetHostname | Recomendado | Hostname (Nome do anfitrião) | O nome de host do dispositivo de destino, excluindo informações de domínio. Exemplo: DESKTOP-1282V4D |
| Domínio-alvo | Recomendado | String | O domínio do dispositivo de destino. Exemplo: Contoso |
| TargetDomainType | Condicional | Enumerated | O tipo de TargetDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema. Necessário se TargetDomain for usado. |
| TargetFQDN | Opcional | String | O nome de host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. Exemplo: Contoso\DESKTOP-1282V4D Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O TargetDomainType reflete o formato usado. |
| Descrição do alvo | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | String | O ID do dispositivo de destino. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos TargetDvc<DvcIdType>. Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O TargetDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| TargetDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O TargetDvcScope é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS. |
| TargetDvcIdType | Condicional | Enumerated | O tipo de TargetDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema. Necessário se TargetDeviceId for usado. |
| TargetDeviceType | Opcional | Enumerated | O tipo do dispositivo alvo. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema. |
| TargetIpAddr | Opcional | Endereço IP | O endereço IP do dispositivo de destino. Exemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | String | O SO do dispositivo alvo. Exemplo: Windows 10 |
| TargetPortNumber | Opcional | Integer | A porta do dispositivo de destino. |
Campos Aplicação em Atuação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingAppId | Opcional | String | A ID do aplicativo que iniciou a atividade relatada, incluindo um processo, navegador ou serviço. Por exemplo: 0x12ae8 |
| ActiveAppName | Opcional | String | O nome do aplicativo que iniciou a atividade relatada, incluindo um serviço, uma URL ou um aplicativo SaaS. Por exemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | Tipo de aplicativo | O tipo de aplicação atuante. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| HttpUserAgent | Opcional | String | Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo que atua ao executar a autenticação. Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos do sistema de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Src | Alias | String | Um identificador exclusivo do dispositivo de origem. Este campo pode usar o alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr . Exemplo: 192.168.12.1 |
| SrcIpAddr | Recomendado | Endereço IP | O endereço IP do qual a conexão ou sessão se originou. Exemplo: 77.138.103.108 |
| IpAddr | Alias | Alias para SrcIpAddr, ou para TargetIpAddr se SrcIpAddr não for fornecido. | |
| SrcPortNumber | Opcional | Integer | A porta IP da qual a conexão se originou. Pode não ser relevante para uma sessão que inclui várias conexões. Exemplo: 2335 |
| SrcHostname | Recomendado | Hostname (Nome do anfitrião) | O nome de host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
| Domínio Src | Recomendado | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | Tipo de domínio | O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema. Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | String | O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDescrição | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcIdType | Condicional | DvcIdType | O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema. Nota: Este campo é obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | Tipo de dispositivo | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema. |
| SrcSubscriptionId | Opcional | String | O ID de assinatura da plataforma de nuvem ao qual o dispositivo de origem pertence. O SrcSubscriptionId é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS. |
| SrcGeoCountry | Opcional | País | O país associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Região | A região dentro de um país associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Campos de inspeção
Os campos a seguir são usados para representar a inspeção realizada por um sistema de segurança.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | String | O nome ou ID da regra associado aos resultados da inspeção. |
| Número da regra | Opcional | Integer | O número da regra associada aos resultados da inspeção. |
| Regra | Alias | String | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string. |
| ThreatId | Opcional | String | O ID da ameaça ou malware identificado na atividade de auditoria. |
| Nome da Ameaça | Opcional | String | O nome da ameaça ou malware identificado na atividade de auditoria. |
| ThreatCategory | Opcional | String | A categoria da ameaça ou malware identificado na atividade do arquivo de auditoria. |
| ThreatRiskLevel | Opcional | Integer | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | String | O nível de risco comunicado pelo dispositivo de notificação. |
| ThreatConfidence | Opcional | Integer | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Booleano | True se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatIpAddr | Opcional | Endereço IP | Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| Campo de Ameaças | Opcional | Enumerated | O campo para o qual foi identificada uma ameaça. O valor é ou SrcIpAddrTargetIpAddr. |
Próximos passos
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)