Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема сущности активов Microsoft Sentinel предназначена для нормализации ресурсов из различных продуктов в стандартизованном формате в microsoft Advanced Security Information Model (ASIM). Эта схема ориентирована исключительно на ресурсы в источниках данных, отличных от Майкрософт, обеспечивая согласованный и эффективный анализ.
Ресурс — это любой ресурс данных, который организация хранит, обрабатывает или управляет, например файлом или сайтом. Каждый ресурс содержит метаданные, относящиеся к безопасности, включая владение, разрешения, классификации конфиденциальности и индикаторы риска. Ресурсы могут быть получены из широкого спектра платформ, баз данных, облачных служб хранилища, приложений SaaS и локальных систем и собираются как полные моментальные снимки инвентаризации или добавочные каналы изменений.
Нормализуя данные активов в общую схему, Microsoft Sentinel позволяет группам безопасности анализировать и сопоставлять сведения о ресурсах в различных источниках данных согласованно. Ключевые поля в схеме включают EntityId и EntityName однозначно идентифицируют ресурсы, чтобы различать такие типы активов, AssetType как файл или сайт, для отслеживания владенияAssetSensitivityLabel, а AssetOriginalDataClassificationType также для контекста классификации данных, а EntityFeedType также для указания того, AssetOwnerId является ли запись полным моментальным моментальным снимком инвентаризации или добавочным изменением. Это унифицированное представление предоставляет подчиненные сценарии, такие как определение общих конфиденциальных файлов, изменение разрешений отслеживания, обнаружение незащищенных активов и обнаружение рисков для всего пространства данных через интеграции, например Microsoft Purview управление безопасностью данных (DSPM).
Использование схемы позволяет Microsoft Purview DSPM управлять безопасностью данных на платформах Майкрософт и партнеров. Дополнительные сведения см. в объявлении Ignite 2025 , введя экосистему партнеров DSPM.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в Нормализации и расширенной информационной модели безопасности (ASIM).
Средства синтаксического анализа
Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM.
Объединение парсеров
Чтобы использовать средства синтаксического анализа, которые объединяют все средства синтаксического анализа ASIM вне коробки и убедитесь, что анализ выполняется во всех настроенных источниках, используйте _Im_AssetEntity средство синтаксического анализа.
Добавление собственных нормализованных средств синтаксического анализа
При разработке пользовательских средств синтаксического анализа для схемы сущности активов назовите функции KQL следующим синтаксисом:
-
vimAssetEntity<vendor><Product>для параметризованных синтаксического анализа -
ASimAssetEntity<vendor><Product>для обычных средств синтаксического анализа
Ознакомьтесь со статьей "Управление средствами синтаксического анализа ASIM ", чтобы узнать, как добавить пользовательские средства синтаксического анализа в унифицированные средства синтаксического анализа.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа сущностей активов поддерживают различные параметры фильтрации для повышения производительности запросов. Эти параметры являются необязательными, но могут повысить производительность запросов. Доступны следующие параметры фильтрации:
| Имя | Тип | Описание |
|---|---|---|
| starttime | datetime | Фильтруйте только ресурсы, которые были приема в это время или после этого. Этот параметр фильтрует EntityIngestionTime поле, которое является стандартным конструктором для времени ресурса. |
| endtime | datetime | Фильтруйте только ресурсы, которые были приема в это время или до этого времени. Этот параметр фильтрует EntityIngestionTime поле, которое является стандартным конструктором для времени ресурса. |
| entityid_has_any | dynamic | Фильтруйте только ресурсы, для которых поле EntityId находится в одном из перечисленных значений. |
| entityname_has_any | dynamic | Фильтруются только ресурсы, для которых поле EntityName находится в одном из перечисленных значений. |
| assettype_in | струна | Фильтруйте только ресурсы, для которых поле AssetType равно значению параметра. |
| path_has_any | dynamic | Фильтруются только ресурсы, для которых поле FilePath или SitePath находится в одном из перечисленных значений. |
| assetowner_has_any | dynamic | Фильтруются только ресурсы, для которых поле AssetOwner или AdditionalAssetOwners находится в одном из перечисленных значений. |
| entitysource_has_any | dynamic | Фильтруйте только ресурсы, для которых поле EntitySource находится в одном из перечисленных значений. |
Сведения о схеме
Общие поля сущности ASIM
В следующем списке перечислены поля для схемы Сущности вместе с определенными рекомендациями для сущностей активов:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EntityUpdatedTime | Mandatory | datetime | Метка времени (UTC) о том, когда сущность была обновлена или собрана в источнике. |
| EntityIngestionTime | Необязательно | datetime | Метка времени (UTC) о том, когда конвейер приема получает журнал ресурсов. |
| EntityId (EntityId) | Mandatory | струна | Уникальный идентификатор ресурса. |
| EntityOriginalId | Необязательно | струна | Уникальный идентификатор ресурса в источнике, если он отличается от EntityId. |
| EntityName | Mandatory | струна | Имя сущности. |
| EntityNameType | Рекомендуется | струна | Тип имени сущности. |
| EntityVendor | Mandatory | струна | Поставщик или поставщик, сообщающий сущность. |
| EntitySource | Mandatory | струна | Источник данных или соединитель, предоставляющий запись сущности. |
| EntityProduct | Mandatory | струна | Имя продукта, связанное с источником, сообщающим сущность. |
| EntitySubProduct | Mandatory | струна | Имя дочернего продукта или компонента, связанное с источником, сообщающим сущность. |
| EntityCreatedTime | Mandatory | datetime | Метка времени (UTC) при первоначальном создании сущности в исходной системе. |
| EntityLastAccessedTime | Необязательно | datetime | Метка времени (UTC) времени последнего доступа к сущности. |
| EntityLastModifiedTime | Mandatory | datetime | Метка времени (UTC) момента последнего изменения сущности в исходной системе. |
| EntityIsDeleted | Необязательно | bool | Указывает, удалена ли сущность в исходной системе. |
| EntityFeedType | Mandatory | Перечислено | Тип или категория веб-канала данных, предоставляющего запись сущности. Допустимые значения: Snapshot или Changefeed. |
| EntitySchema | Mandatory | Перечислено | Схема, используемая для сущности. Схема, описанная здесь Asset. |
| EntitySchemaVersion | Mandatory | SchemaVersion (String) | Версия схемы. Версия описанной здесь схемы — 0.1.0. |
Поля владельца ресурса
В этом разделе определяются сведения о владельце ресурса. Если у ресурса несколько владельцев, заполните оба поля AssetOwnerId и AdditionalAssetOwners.
AdditionalAssetOwners должен быть массив строк, и строки должны находиться в том же формате, что AssetOwnerIdи .
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| AssetOwnerId | Mandatory | струна | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее Actor. Дополнительные сведения и дополнительные сведения о альтернативных полях для других идентификаторов см. в разделе "Сущность пользователя". |
| AssetOwnerIdType | Рекомендуется | струна | Тип или формат идентификатора владельца ресурса. Это аналогично UserIdType схеме событий. Дополнительные сведения и список допустимых значений см. в разделе UserIdType в статье Общие сведения о схеме. |
| AssetOwnerType | Необязательно | струна | Тип владельца ресурса. Дополнительные сведения и список допустимых значений см. в разделе UserType в статье Общие сведения о схеме. |
| AssetOwnerScope | Необязательно | струна | Организация или административная область, к которой принадлежит владелец актива. |
| AssetOwnerScopeId | Необязательно | струна | Идентификатор области, к которой принадлежит владелец ресурса. |
| ДополнительныеAssetOwners | Необязательно | dynamic | Динамическая коллекция дополнительных владельцев или совладельцев, связанных с активом. Это должен быть массив строк. |
Поля метаданных ресурса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| AADTenantId | Mandatory | струна | Идентификатор клиента Azure Active Directory, связанный с ресурсом или сущностью. |
| IdentityDirectoryName | Необязательно | струна | Имя каталога удостоверений, например Azure AD, GCP, AWS, связанной с сущностью. |
| IdentityDirectoryId | Mandatory | струна | Идентификатор каталога удостоверений, связанного с сущностью. |
| Дополнительные поля | Необязательно | dynamic | Дополнительные сведения о сущности, которая не захвачена другими полями в схеме. |
Поля типа ресурса
В этом разделе определяются сведения о типе ресурса. Поддерживаются File текущие типы.Site Дополнительные свойства типа ресурса должны быть заполнены.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| AssetType | Mandatory | струна | Высокий тип ресурса. Допустимые и поддерживаемые значения: File, Site. |
| AssetOriginalType | Рекомендуется | струна | Исходное имя высокоуровневого типа ресурса в источнике. |
Поля безопасности активов
В этом разделе описаны контексты безопасности и воздействия ресурса, включая разрешения источника, сведения о конфиденциальности и классификации данных, состояние защиты от потери данных, связанные индикаторы угроз и время последнего сканирования классификации. Он также включает в себя количество внутренних и внешних пользователей для оценки потенциального воздействия.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| AssetOriginalPermissions | Необязательно | dynamic | Исходный набор разрешений, назначенный ресурсу, как сообщает исходная система. |
| AssetSensitivityLabel | Mandatory | струна | Метка конфиденциальности, примененная к ресурсу. Допустимые значения: Personal, Public, General, Confidential. Highly Confidential |
| AssetOriginalSensitivityLevel | Необязательно | струна | Уровень конфиденциальности, как сообщает исходная система, перед нормализацией. |
| AssetIsProtectedByDlp | Необязательно | bool | Указывает, защищен ли ресурс политикой защиты от потери данных (DLP). |
| AssetRelatedIndicator | Необязательно | dynamic | Динамическая коллекция индикаторов угроз или сигналов, связанных с ресурсом. |
| AssetOriginalDataClassificationType | Mandatory | dynamic | Исходные типы классификации данных, назначенные ресурсу, как сообщает исходная система. Это должен быть массив строк*. |
| AssetClassificationLastScanDateTime | Mandatory | datetime | Метка времени (UTC) последнего сканирования ресурса для классификации данных. |
| InternalUsersCount | Необязательно | инт | Количество внутренних пользователей, связанных с ресурсом или имеющих доступ к ресурсу. |
| ExternalUsersCount | Необязательно | инт | Количество внешних пользователей, связанных с ресурсом или имеющих доступ к ресурсу. |
Поля риска активов
В этом разделе описывается контекст риска для ресурса, включая нормализованные и сообщаемые источником имена рисков и уровни, метки времени и последние метки времени отчета, а также сведения о рисках для конкретного поставщика.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| AssetRiskName | Необязательно | струна | Нормализованное имя риска или угрозы, связанной с ресурсом. |
| AssetRiskLevel | Необязательно | Перечислено | Нормализованный уровень риска, назначенный ресурсу. Допустимые значения: Info, Low, Medium, High, Critical. Other |
| AssetOriginalRiskLevel | Необязательно | струна | Уровень риска, назначенный ресурсу, как сообщает исходная система, перед нормализацией. |
| AssetRiskFirstReportedTime | Необязательно | datetime | Метка времени (UTC) о том, когда был зарегистрирован риск, связанный с ресурсом. |
| AssetRiskLastReportedTime | Необязательно | datetime | Метка времени (UTC) о том, когда был зарегистрирован риск, связанный с ресурсом. |
| AssetOriginalRiskDetails | Необязательно | dynamic | Полные сведения о рисках для ресурса, предоставляемые исходной системой. |
Поля файлов (тип ресурса)
В этом разделе записываются свойства ресурса, относящиеся к файлам. Свойства должны быть заполнены, если это AssetTypeфайл.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| FilePath | Необязательно | струна | Полный путь к файлу, связанному с ресурсом. |
| FileSize | Необязательно | long | Размер файла в байтах. |
| FileMD5 | Необязательно | струна | Хэш MD5 файла, связанного с ресурсом. |
| FileSHA1 | Необязательно | струна | Хэш SHA-1 файла, связанного с ресурсом. |
| FileSHA256 | Необязательно | струна | Хэш SHA-256 файла, связанного с ресурсом. |
| FileSHA512 | Необязательно | струна | Хэш SHA-512 файла, связанного с ресурсом. |
| FileExtension | Необязательно | струна | Расширение файла, связанного с ресурсом, например .exe или .pdf. |
| FileIsSignatureValid | Необязательно | bool | Указывает, является ли цифровая подпись файла допустимой. |
| FileSignatureDetails | Необязательно | струна | Сведения о цифровой подписи файла, например сведения о подписи или сертификате. |
Поля сайта (тип ресурса)
В этом разделе описываются свойства расположения для ресурсов сайта SharePoint. Свойства должны быть заполнены, если это AssetTypeсайт.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| SitePath | Необязательно | струна | Путь к сайту или расположению хранилища, связанному с ресурсом. |
| SitePrimaryUri | Необязательно | струна | Основной универсальный код ресурса (URI) сайта или хранилища, связанного с ресурсом. |
Aliases
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| AssetPath | псевдоним | струна | Псевдоним для любого или FilePathSitePath |
| User | псевдоним | струна | Псевдоним для AssetOwnerId. |
Обновления схемы
Ниже приведены изменения в различных версиях схемы:
- Версия 0.1.0: начальный выпуск.
Дальнейшие действия
Дополнительные сведения можно найти здесь
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)