Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема расширенной информационной модели безопасности (ASIM) — это набор полей, представляющих действие или сущность. Использование полей из нормализованной схемы в запросе гарантирует, что запрос работает с каждым нормализованным источником.
Чтобы понять, как схемы вписываются в архитектуру ASIM, изучите схематическое изображение архитектуры ASIM.
Схемы действий и событий
Ссылки на схемы описывают поля, составляющие каждую схему. В настоящее время ASIM определяет следующие схемы для событий:
| Схема | Имя схемы для тестов | Версия | Статус |
|---|---|---|---|
| Событие оповещения | AlertEvent |
0,1 | GA |
| Событие аудита | AuditEvent |
0.1.2 | GA |
| Событие проверки подлинности | Authentication |
0.1.4 | GA |
| Действие DHCP | DhcpEvent |
0.1.1 | GA |
| Действие DNS | Dns |
0.1.7 | GA |
| Действие с файлами | FileEvent |
0.2.2 | GA |
| Сетевой сеанс | NetworkSession |
0.2.7 | GA |
| Событие процесса | ProcessEvent |
0.1.4 | GA |
| Событие реестра | RegistryEvent |
0.1.3 | GA |
| Управление пользователями | UserManagement |
0.1.2 | GA |
| Веб-сеанс | WebSession |
0.2.7 | GA |
Схемы сущностей
В настоящее время ASIM определяет следующие схемы для сущностей:
| Схема | Имя схемы для тестов | Версия | Статус |
|---|---|---|---|
| Объект ресурса | AssetEntity |
0.1.0 | GA |
Сущности, которые являются частью других схем ASIM, см. в разделе "Сущности событий".
Именование полей
Основой каждой схемы являются имена полей. Имена полей относятся к следующим группам:
- Поля, общие для всех схем.
- Поля, относящиеся к схеме.
- Поля, представляющие сущности, такие как пользователи, которые принимают участие в схеме. Поля, представляющие сущности, идентичны во всех схемах.
Если источники содержат поля, не представленные в задокументированной схеме, они нормализованы для обеспечения согласованности. Если дополнительные поля представляют сущность, они нормализуются в соответствии с рекомендациями по полю сущностей. В противном случае схемы стремятся обеспечить согласованность между собой.
Например, хотя журналы действий DNS-сервера не содержат сведений о пользователе, журналы действий DNS из конечной точки могут содержать такие сведения, которые могут быть нормализованы в соответствии с правилами для сущности пользователя.
Общие поля
Некоторые поля являются общими для всех схем ASIM. Каждая схема может добавлять рекомендации по использованию некоторых общих полей в контексте конкретной схемы. Например, разрешенные значения для поля EventType могут различаться в зависимости от схемы, как и значение поля EventSchemaVersion.
Классы полей
Поля могут иметь несколько классов, определяющих, когда поля должны быть реализованы средством синтаксического анализа:
- Обязательные поля должны отображаться в каждом синтаксическом анализаторе. Если источник не предоставляет сведения для этого значения или данные не могут быть добавлены в противном случае, он не поддерживает большинство элементов содержимого, ссылающихся на нормализованную схему.
- Рекомендуемые поля должны быть нормализованы при наличии. Однако они могут быть доступны не в каждом источнике, и любой элемент содержимого, ссылающийся на нормализованную схему, должен учитывать такую доступность.
- Необязательные поля, если они доступны, можно нормализовать или оставить в исходной форме. Как правило, средство синтаксического анализа с минимальной функциональностью не нормализует их по соображениям производительности.
- Условные поля являются обязательными, если предшествующее им поле заполнено. Условные поля обычно используются для описания значения в другом поле. Например, общее поле DvcIdType описывает значение в общем поле DvcId и поэтому является обязательным, если последний заполнен.
- Псевдоним является особым типом условного поля и является обязательным, если поле псевдонима заполняется.
Объекты событий
События возникают в связи с такими сущностями, как пользователи, узлы, процессы или файлы. Для описания каждой сущности может использоваться несколько полей. Например, хост может иметь имя и IP-адрес.
Одна запись может содержать несколько сущностей одного типа, например, как исходный, так и конечный хост.
ASIM определяет, как согласованно описывать сущности, а сущности позволяют расширять схемы.
Например, хотя схема сетевого сеанса не содержит сведения о процессах, некоторые источники событий предоставляют такие сведения, которые можно добавить. Дополнительные сведения см. в разделе о сущностях.
Для реализации функциональных возможностей сущности представление сущности должно соответствовать указанным ниже рекомендациям.
| Рекомендация | Описание |
|---|---|
| Префиксы и псевдонимы | Так как одно событие часто включает несколько сущностей одного типа, например исходных и конечных узлов, префиксы используются для идентификации сущности, связанной с полем. Для поддержания нормализации ASIM использует небольшой набор стандартных префиксов, выбрав наиболее подходящие для конкретной роли сущностей. Если для события относится одна сущность типа, не требуется использовать префикс. Кроме того, набор полей без префикса ссылается на наиболее часто используемую сущность для каждого типа. |
| Идентификаторы и типы | В нормализованной схеме может быть несколько идентификаторов для каждой сущности, которые будут сосуществовать в событиях. Если исходное событие содержит другие идентификаторы сущностей, которые не могут быть сопоставлены с нормализованной схемой, следует хранить их в исходной форме или использовать динамическое поле AdditionalFields. Чтобы сохранить сведения о типе для идентификаторов, храните тип, если это применимо, в поле с тем же именем и суффиксом Type. Например, UserIdType. |
| Атрибуты | У сущностей часто есть другие атрибуты, которые не являются идентификатором и также могут уточняться дескриптором. Например, если для исходного пользователя имеются сведения о домене, нормализованное поле имеет значение SrcUserDomain. |
Дополнительные сведения о конкретных типах сущностей см. в следующих статье:
Дополнительные сведения о полных схемах сущностей см. в следующем разделе:
Aliases
Псевдонимы позволяют использовать несколько имен для указанного значения. В некоторых случаях разные пользователи ожидают, что поле будет иметь разные имена. Например, в терминологии DNS может потребоваться поле с именем DnsQuery, в то время как обычно оно содержит доменное имя. Псевдоним Домен помогает пользователю, позволяя использовать оба имени.
Замечание
Псевдонимы предназначены для того, чтобы помочь аналитику с интерактивными запросами. При использовании запросов в повторно используемом содержимом, например настраиваемых обнаружениях, аналитических правилах или рабочих книгах, используйте переименованное поле, а не псевдоним. Использование псевдонимированного поля обеспечивает лучшую производительность, меньше ошибок и более высокую удобочитаемость запросов.
В некоторых случаях псевдоним может иметь значение одного из нескольких полей в зависимости от того, какие значения доступны в событии. Например, псевдоним Dvc обозначает либо поля DvcFQDN, DvcId, DvcHostname, DvcIpAddr или Event Product. Если псевдоним может иметь несколько значений, его тип должен быть 'строка', чтобы поддерживать все возможные альтернативные значения. В результате при назначении значения такому псевдониму обязательно преобразуйте тип в строку с помощью функции KQL tostring.
Собственные нормализованные таблицы не включают псевдонимы, так как это означает дублирование хранилища данных. Вместо этого анализаторы-заглушки добавляют псевдонимы. Чтобы реализовать псевдонимы в парсерах, создайте копию исходного значения с помощью extend оператора.
Логические типы
Каждое поле схемы имеет тип. В рабочей области Log Analytics есть ограниченный набор типов данных. По этой причине Microsoft Sentinel использует тип данных "logic" для многих полей схемы, который Log Analytics не применяет, но он необходим для совместимости схемы. Логические типы полей гарантируют согласованность значений и имен полей в источниках.
| Тип данных | Физический тип | Формат и значение |
|---|---|---|
| Boolean | Bool | Используйте встроенный тип данных KQL bool вместо числового или строкового представления булевых значений. |
| Перечисленных | Строка | Список значений, явно определенных для поля. В определении схемы перечислены допустимые значения. |
| Дата и время | В зависимости от возможности метода приема используйте любое из следующих физических представлений в убываемом приоритете: — встроенный в Log Analytics тип дейтайм — Поле целого типа с использованием числового представления даты и времени в Log Analytics. — строковое поле с использованием числового представления даты и времени в Log Analytics — строковое поле, в котором хранится поддерживаемый формат даты и времени Log Analytics. |
Представление даты и времени в Log Analytics похоже, но отличается от представления времени в Unix. Дополнительные сведения см. в правилах в отношении преобразования. Примечание. Если применимо, время должно быть скорректировано по часовому поясу. |
| MAC-адрес | Строка | Шестнадцатеричная нотация с двоеточиями |
| IP-адрес | Строка | Microsoft Sentinel схемы не имеют отдельных IPv4 и IPv6-адресов. Любое поле IP-адреса может содержать либо IPv4-адрес, либо IPv6-адрес, как показано ниже. - IPv4 в точечно-десятичной нотации. - IPv6 в нотации из 8 гекстетов, что позволяет использовать короткую форму. Например: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6 (короткая форма): 1080::8:800:200C:417A |
| FQDN | Строка | Полное доменное имя в точечной нотации, например learn.microsoft.com. Дополнительные сведения см. в разделе Сущность устройства. |
| Имя узла | Строка | Имя узла, которое не является полным доменным именем, включает до 63 символов, включая буквы, цифры и дефисы. Дополнительные сведения см. в разделе Сущность устройства. |
| Domain | Строка | доменная часть FQDN без имени узла, например, learn.microsoft.com. Дополнительные сведения см. в разделе Сущность устройства. |
| ТипДомена | Перечислено | Тип домена, хранящегося в полях домен и полное доменное имя. Список значений и дополнительные сведения см. в разделе Сущность устройства. |
| DvcIdType | Перечислено | Тип идентификатора устройства, хранящегося в полях DvcId. Список разрешенных значений и дополнительных сведений см. в разделе DvcIdType. |
| DeviceType | Перечислено | Тип устройства, хранящегося в полях типа устройства. Возможные значения включают: - Computer- Mobile Device- IOT Device- Other. Дополнительные сведения см. в разделе Сущность устройства. |
| Имя пользователя | Строка | Допустимое имя пользователя в одном из поддерживаемых типов. Подробнее см. в статье Сущность пользователя. |
| Имя пользователя | Перечислено | Тип имени пользователя, хранящегося в полях имён пользователя. Дополнительные сведения и список поддерживаемых значений см. в разделе Сущность пользователя. |
| UserIdType | Перечислено | Тип идентификатора, хранящегося в полях идентификаторов пользователей. Поддерживаемые значения: SID, , UISAADID, OktaIdи AWSIdPUID. Подробнее см. в статье Сущность пользователя. |
| UserType | Перечислено | Тип пользователя. Дополнительные сведения и список поддерживаемых значений см. в разделе Сущность пользователя. |
| AppType | Перечислено | Тип приложения. Список поддерживаемых значений см. в разделе "Сущность приложения". |
| Страна/регион | Строка | Строка с использованием ISO 3166-1 в соответствии со следующим приоритетом: — Коды Альфа-2, такие как US для Соединённых Штатов. — Коды Альфа-3, такие как USA для Соединенных Штатов. — краткое название. Список кодов см. на веб-сайте Международной организации по стандартизации (ISO). |
| Регион | Строка | Имя подразделения страны или региона с использованием ISO 3166-2. Список кодов см. на веб-сайте Международной организации по стандартизации (ISO). |
| City | Строка | |
| долгота | Двойной | Представление координаты ISO 6709 (десятичное число со знаком). |
| широта | Двойной | Представление координаты ISO 6709 (десятичное число со знаком). |
| MD5 | Строка | 32 шестнадцатеричных символа. |
| SHA1 | Строка | 40 шестнадцатеричных символов. |
| SHA256 | Строка | 64 шестнадцатеричных символов. |
| SHA512 | Строка | 128 шестнадцатеричных символов. |
| ConfidenceLevel | Целое число | Уровень достоверности нормализуется в диапазоне от 0 до 100. |
| RiskLevel | Целое число | Уровень риска нормализуется в диапазоне от 0 до 100. |
| SchemaVersion | Строка | Версия схемы ASIM в формате <major>.<minor>.<sub-minor> |
| DnsQueryClassName | Строка | Имя класса DNS. |
| Имя пользователя | Строка | Простое имя пользователя или имя пользователя с доменной квалификацией |
Пример сопоставления сущностей
В этом разделе используется событие Windows 4624 как пример того, как нормализуются данные событий для Microsoft Sentinel.
Это событие имеет следующие сущности:
| Терминология Майкрософт | Префикс поля исходного события | Префикс поля ASIM | Описание |
|---|---|---|---|
| Тема | Subject |
Actor |
Пользователь, сообщающий об успешном входе в систему. |
| Новый вход | Target |
TargetUser |
Пользователь, для которого был выполнен вход. |
| Процесс | - | ActingProcess |
Процесс, который попытался выполнить вход. |
| Сведения о сети | - | Src |
Компьютер, с которого была выполнена попытка входа. |
На основе этих сущностей Windows событие 4624 нормализуется следующим образом (некоторые поля являются необязательными):
| Нормализованное поле | Исходное поле | Значение в примере | Примечания. |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID (идентификатор безопасности) | |
| ActorUserName | SubjectDomainName\SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Создано путем конкатенации двух полей |
| ActorUserNameType | - | Windows | |
| ActorSessionId | ИдентификаторВходаСубъекта | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| Идентификатор пользователя | TargetUserSid | Псевдоним | |
| TargetUserIdType | - | SID (идентификатор безопасности) | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Создано путем конкатенации двух полей |
| Имя пользователя | TargetDomainName\ TargetUserName | Псевдоним | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | Имя процесса | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | ИмяРабочейСтанции | Windows | |
| SrcIpAddr | IP-адрес | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Компьютер | WIN-GG82ULGC9GO | |
| Имя узла | Компьютер | Псевдоним |
Следующие шаги
В этой статье представлен обзор нормализации в Microsoft Sentinel и ASIM.
Дополнительные сведения см. в разделе:
- Просмотрите вебинар глубокого погружения на тему нормализации парсеров и нормализованного содержимого в Microsoft Sentinel или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)