Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Aviseringsschemat för Microsoft Sentinel är utformat för att normalisera säkerhetsrelaterade aviseringar från olika produkter till ett standardiserat format i Microsoft Advanced Security Information Model (ASIM). Det här schemat fokuserar uteslutande på säkerhetshändelser, vilket säkerställer konsekvent och effektiv analys mellan olika datakällor.
Aviseringsschemat representerar olika typer av säkerhetsaviseringar, till exempel hot, misstänkta aktiviteter, avvikelser i användarbeteendet och efterlevnadsöverträdelser. Dessa aviseringar rapporteras av olika säkerhetsprodukter och system, inklusive men inte begränsat till EDR, antivirusprogram, intrångsidentifieringssystem, verktyg för dataförlustskydd osv.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Tolkar
Mer information om ASIM-parsers finns i översikten över ASIM-parsers.
Ena parsrar
Använd parsern om du vill använda parsers som förenar alla ASIM-parsers och ser till att analysen körs över alla konfigurerade källor _Im_AlertEvent .
Färdiga, källspecifika parsers
För listan över aviseringsparsers Microsoft Sentinel tillhandahåller out-of-the-box, se ASIM-parsers-listan.
Lägg till egna normaliserade parsers
När du utvecklar anpassade parsers för aviseringsinformationsmodellen namnger du dina KQL-funktioner med följande syntax:
-
vimAlertEvent<vendor><Product>för parametriserade parsers -
ASimAlertEvent<vendor><Product>för vanliga parsers
Läs artikeln Hantera ASIM-parsers för att lära dig hur du lägger till dina anpassade parsers i aviseringsens enande parsers.
Filtrera parsningsparametrar
Aviseringsparsers stöder olika filtreringsparametrar för att förbättra frågeprestanda. De här parametrarna är valfria men kan förbättra frågeprestandan. Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast aviseringar som startade vid eller efter den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| Endtime | Datetime | Filtrera endast aviseringar som startade vid eller före den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| ipaddr_has_any_prefix | Dynamisk | Filtrera endast aviseringar för vilka fältet DvcIpAddr finns i något av de angivna värdena. |
| hostname_has_any | Dynamisk | Filtrera endast aviseringar för vilka fältet "DvcHostname" finns i något av de angivna värdena. |
| username_has_any | Dynamisk | Filtrera endast aviseringar för vilka fältet Användarnamn finns i något av de angivna värdena. |
| attacktactics_has_any | Dynamisk | Filtrera endast aviseringar för vilka fältet AttackTactics finns i ett av de angivna värdena. |
| attacktechniques_has_any | Dynamisk | Filtrera endast aviseringar för vilka fältet "AttackTechniques" finns i något av de angivna värdena. |
| threatcategory_has_any | Dynamisk | Filtrera endast aviseringar för vilka fältet ThreatCategory finns i något av de angivna värdena. |
| alertverdict_has_any | Dynamisk | Filtrera endast aviseringar för vilka fältet AlertVerdict finns i något av de angivna värdena. |
| eventseverity_has_any | Dynamisk | Filtrera endast aviseringar för vilka fältet EventSeverity finns i något av de angivna värdena. |
Schemaöversikt
Aviseringsschemat hanterar flera typer av säkerhetshändelser som delar samma fält. Dessa händelser identifieras av fältet EventType:
- Hotinformation: Aviseringar som rör olika typer av skadliga aktiviteter, till exempel skadlig kod, nätfiske, utpressningstrojaner och andra cyberhot.
- Misstänkta aktiviteter: Aviseringar för aktiviteter som inte nödvändigtvis är bekräftade hot men som är misstänkta och kräver ytterligare undersökning, till exempel flera misslyckade inloggningsförsök eller åtkomst till begränsade filer.
- Avvikelser i användarbeteende: Aviseringar som anger ovanligt eller oväntat användarbeteende som kan tyda på ett säkerhetsproblem, till exempel onormala inloggningstider eller ovanliga dataåtkomstmönster.
- Efterlevnadsöverträdelser: Aviseringar som rör bristande efterlevnad av regler eller interna principer. Till exempel en virtuell dator som exponeras med öppna offentliga portar som är sårbara för attacker (Cloud Security Alert).
Viktigt
För att bevara relevansen och effektiviteten i aviseringsschemat bör endast säkerhetsrelaterade aviseringar mappas.
Aviseringsschemat refererar till följande entiteter för att samla in information om aviseringen:
-
Dvc-fält används för att samla in information om värden eller IP-adressen som är associerad med aviseringen
-
Användarfält används för att samla in information om användaren som är associerad med aviseringen.
- På samma sätt används fälten Process, File, Url, Registry och Email för att endast samla in viktig information om processen, filen, URL:en, registret och e-postmeddelandet som är associerade med aviseringen.
Viktigt
- När du skapar en produktspecifik parser använder du ASIM-aviseringsschemat när aviseringen innehåller information om en säkerhetsincident eller ett potentiellt hot, och den primära informationen kan mappas direkt till tillgängliga aviseringsschemafält. Aviseringsschemat är idealiskt för att samla in sammanfattningsinformation utan omfattande entitetsspecifika fält.
- Men om du placerar viktiga fält i "AdditionalFields" på grund av brist på direkta fältmatchningar bör du överväga ett mer specialiserat schema. Om en avisering till exempel innehåller nätverksrelaterad information, till exempel flera IP-adresser, t.ex. SrcIpAdr, DstIpAddr, PortNumber osv. kan du välja NetworkSession-schemat framför aviseringsschemat. Specialiserade scheman tillhandahåller också dedikerade fält för att samla in hotrelaterad information, förbättra datakvaliteten och underlätta effektiv analys.
Schemainformation
Vanliga ASIM-fält
I följande lista nämns fält som har specifika riktlinjer för aviseringshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Uppräknade | Typ av händelse. Värden som stöds är: - Alert |
| EventSubType | Rekommenderas | Uppräknade | Anger undertypen eller kategorin för aviseringshändelsen, vilket ger mer detaljerad information inom den bredare händelseklassificeringen. Det här fältet hjälper till att särskilja arten av det identifierade problemet, förbättra incidentprioriteringen och svarsstrategierna. Värden som stöds är: - Threat (Representerar en bekräftad eller mycket sannolikt skadlig aktivitet som kan äventyra systemet eller nätverket)- Suspicious Activity (Flaggors beteende eller händelser som verkar ovanliga eller misstänkta, men som ännu inte har bekräftats vara skadliga)- Anomaly (Identifierar avvikelser från normala mönster som kan tyda på en potentiell säkerhetsrisk eller driftproblem)- Compliance Violation (Visar aktiviteter som bryter mot regler, principer eller efterlevnadsstandarder) |
| EventUid | Obligatorisk | sträng | En maskinläsbar, alfanumerisk sträng som unikt identifierar en avisering i ett system. E.g. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Valfritt | sträng | Detaljerad information om aviseringen, inklusive dess kontext, orsak och potentiella påverkan. E.g. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias eller eget namn för DvcIpAddr fältet. |
|
| Hostname | Alias | Alias eller eget namn för DvcHostname fältet. |
|
| EventSchema | Obligatorisk | Uppräknade | Det schema som används för händelsen. Schemat som dokumenteras här är AlertEvent. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1. |
Alla gemensamma fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Eventuella riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Rekommenderas |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Valfritt |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Kontrollfält
I följande tabell beskrivs fält som ger viktiga insikter om de regler och hot som är associerade med aviseringar. Tillsammans bidrar de till att utöka kontexten för aviseringen, vilket gör det enklare för säkerhetsanalytiker att förstå dess ursprung och betydelse.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AlertId | Alias | sträng | Alias eller eget namn för EventUid fältet. |
| AlertName | Rekommenderas | sträng | Rubrik eller namn på aviseringen. E.g. Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | sträng | Alias eller eget namn för EventMessage fältet. |
| AlertVerdict | Valfritt | Uppräknade | Det slutliga fastställandet eller resultatet av aviseringen, som anger om aviseringen har bekräftats som ett hot, bedömts som misstänkt eller löst som en falsk positiv identifiering. Värden som stöds är: - True Positive (Bekräftat som ett legitimt hot)- False Positive (Felaktigt identifierat som ett hot)- Benign Positive (när händelsen bedöms vara ofarlig)- Unknown (Osäker eller obestämd status) |
| AlertStatus | Valfritt | Uppräknade | Anger det aktuella tillståndet eller förloppet för aviseringen. Värden som stöds är: - Active- Closed |
| AlertOriginalStatus | Valfritt | sträng | Status för aviseringen som rapporterats av det ursprungliga systemet. |
| DetectionMethod | Valfritt | Uppräknade | Innehåller detaljerad information om den specifika identifieringsmetod, teknik eller datakälla som bidrog till genereringen av aviseringen. Det här fältet ger större inblick i hur aviseringen identifierades eller utlöstes, vilket underlättar förståelsen av identifieringskontexten och tillförlitligheten. Värden som stöds är: - EDR: Slutpunktsidentifierings- och svarssystem som övervakar och analyserar slutpunktsaktiviteter för att identifiera hot.- Behavioral Analytics: Tekniker som identifierar onormala mönster i användar-, enhets- eller systembeteende.- Reputation: Hotidentifiering baserat på IP-adressers, domänernas eller filernas rykte.- Threat Intelligence: Externa eller interna underrättelseflöden som tillhandahåller data om kända hot eller angreppstaktik.- Intrusion Detection: System som övervakar nätverkstrafik eller aktiviteter för tecken på intrång eller attacker.- Automated Investigation: Automatiserade system som analyserar och undersöker aviseringar, vilket minskar den manuella arbetsbelastningen.- Antivirus: Traditionella antivirusmotorer som identifierar skadlig kod baserat på signaturer och heuristik.- Data Loss Prevention: Lösningar som fokuserar på att förhindra obehöriga dataöverföringar eller läckor.- User Defined Blocked List: Anpassade listor som definieras av användare för att blockera specifika IP-adresser, domäner eller filer.- Cloud Security Posture Management: Verktyg som utvärderar och hanterar säkerhetsrisker i molnmiljöer.- Cloud Application Security: Lösningar som skyddar molnprogram och data.- Scheduled Alerts: Aviseringar som genereras baserat på fördefinierade scheman eller tröskelvärden.- Other: Alla andra identifieringsmetoder som inte omfattas av kategorierna ovan. |
| Regel | Alias | sträng | Antingen värdet för RuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| RuleNumber | Valfritt | int | Numret på regeln som är associerad med aviseringen. E.g. 123456 |
| RuleName | Valfritt | sträng | Namnet eller ID:t för regeln som är associerad med aviseringen. E.g. Server PSEXEC Execution via Remote Access |
| RuleDescription | Valfritt | sträng | Beskrivning av regeln som är associerad med aviseringen. E.g. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Valfritt | sträng | ID:t för det hot eller den skadliga kod som identifieras i aviseringen. E.g. 1234567891011121314 |
| ThreatName | Valfritt | sträng | Namnet på det hot eller den skadliga kod som identifieras i aviseringen. E.g. Init.exe |
| ThreatFirstReportedTime | Valfritt | Datetime | Datum och tid då hotet först rapporterades. E.g. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Valfritt | Datetime | Datum och tid då hotet senast rapporterades. E.g. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Rekommenderas | Uppräknade | Kategorin för det hot eller den skadliga kod som identifieras i aviseringen. Värden som stöds är: Malware, Ransomware, Trojan, Virus, Worm, Adware, Spyware, Rootkit, Cryptominor, SpamPhishing, , MaliciousUrl, Spoofing, Security Policy Violation,Unknown |
| ThreatOriginalCategory | Valfritt | sträng | Hotkategorin som rapporteras av det ursprungliga systemet. |
| ThreatIsActive | Valfritt | Bool | Anger om hotet för närvarande är aktivt. Värden som stöds är: True, False |
| ThreatRiskLevel | Valfritt | RiskLevel (heltal) | Den risknivå som är associerad med hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfritt | sträng | Den risknivå som rapporteras av det ursprungliga systemet. |
| ThreatConfidence | Valfritt | ConfidenceLevel (heltal) | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | sträng | Konfidensnivån enligt det ursprungliga systemet. |
| IndicatorType | Rekommenderas | Uppräknade | Indikatorns typ eller kategori Värden som stöds är: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Valfritt | Uppräknade | Anger om indikatorn är länkad till eller direkt påverkas av hotet. Värden som stöds är: - Associated- Targeted |
| AttackTactics | Rekommenderas | sträng | Attacktaktiken (namn, ID eller båda) som är associerade med aviseringen. Önskat format: E.g: Persistence, Privilege Escalation |
| AttackTechniques | Rekommenderas | sträng | De attacktekniker (namn, ID eller båda) som är associerade med aviseringen. Önskat format: E.g: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteg | Rekommenderas | sträng | Rekommenderade åtgärder eller steg för att minimera eller åtgärda den identifierade attacken eller hotet. E.g. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Användarfält
Det här avsnittet definierar fält som rör identifiering och klassificering av användare som är associerade med en avisering, vilket ger klarhet om den berörda användaren och formatet på deras identitet. Om aviseringen innehåller ytterligare, flera användarrelaterade fält som överskrider vad som mappas här, kan du överväga om ett specialiserat schema, till exempel autentiseringshändelseschemat, kan vara mer lämpligt för att helt representera data.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Userid | Valfritt | sträng | En maskinläsbar, alfanumerisk, unik representation av användaren som är associerad med aviseringen. E.g. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Villkorsstyrd | Uppräknade | Typ av användar-ID, till exempel GUID, SIDeller Email.Värden som stöds är: - GUID- SID- Email- Username- Phone- Other |
| Användarnamn | Rekommenderas | Användarnamn (sträng) | Namnet på den användare som är associerad med aviseringen, inklusive domäninformation när den är tillgänglig. t.ex. Contoso\JSmith eller john.smith@contoso.com |
| Användare | Alias | sträng | Alias eller eget namn för Username fältet. |
| UsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i Username fältet. Mer information och lista över tillåtna värden finns i UsernameType i artikeln Schemaöversikt.E.g. Windows |
| UserType | Valfritt | UserType | Typen av aktör. Mer information och lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. E.g. Guest |
| OriginalUserType | Valfritt | sträng | Användartypen som rapporteras av rapporteringsenheten. |
| UserSessionId | Valfritt | sträng | Det unika ID:t för användarens session som är associerad med aviseringen. E.g. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Valfritt | sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där UserId och Användarnamn definieras. E.g. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Valfritt | sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där UserId och Användarnamn definieras. Mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. E.g. Contoso Directory |
Processfält
I det här avsnittet kan du samla in information om en processentitet som ingår i en avisering med hjälp av de angivna fälten. Om aviseringen innehåller ytterligare, detaljerade processrelaterade fält som överskrider vad som mappas här, kan du överväga om ett specialiserat schema, till exempel processhändelseschemat, kan vara lämpligare för att helt representera data.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Processid | Valfritt | sträng | Det process-ID (PID) som är associerat med aviseringen. E.g. 12345678 |
| ProcessCommandLine | Valfritt | sträng | Kommandorad som används för att starta processen. E.g. "choco.exe" -v |
| ProcessName | Valfritt | sträng | Namnet på processen. E.g. C:\Windows\explorer.exe |
| ProcessFileCompany | Valfritt | sträng | Företag som skapade processbildfilen. E.g. Microsoft |
Filfält
I det här avsnittet kan du samla in information om en filentitet som ingår i en avisering. Om aviseringen innehåller ytterligare, detaljerade filrelaterade fält som överskrider vad som mappas här, kan du överväga om ett specialiserat schema, till exempel filhändelseschemat, kan vara lämpligare för att helt representera data.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Filnamn | Valfritt | sträng | Namnet på filen som är associerad med aviseringen, utan sökväg eller plats. E.g. Notepad.exe |
| Filepath | Valfritt | sträng | Den fullständiga, normaliserade sökvägen till målfilen, inklusive mappen eller platsen, filnamnet och tillägget. E.g. C:\Windows\System32\notepad.exe |
| FileSHA1 | Valfritt | sträng | SHA1-hash för filen. E.g. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Valfritt | sträng | SHA256-hash för filen. E.g. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Valfritt | sträng | MD5-hash för filen. E.g. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Filstorlek | Valfritt | Lång | Filens storlek i byte. E.g. 123456 |
URL-fält
Om din avisering innehåller information om URL-entiteten kan följande fält samla in URL-relaterade data.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Url | Valfritt | sträng | URL-strängen som hämtades i aviseringen. E.g. https://contoso.com/fo/?k=v&q=u#f |
Registerfält
Om din avisering innehåller information om registerentiteten använder du följande fält för att samla in specifik registerrelaterad information.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RegistryKey | Valfritt | sträng | Registernyckeln som är associerad med aviseringen, normaliserad till vanliga namngivningskonventioner för rotnycklar. E.g. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Valfritt | sträng | Registervärde. E.g. ImagePath |
| RegistryValueData | Valfritt | sträng | Data för registervärdet. E.g. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Valfritt | Uppräknade | Typ av registervärde. E.g. Reg_Expand_Sz |
Email fält
Om din avisering innehåller information om e-postentitet använder du följande fält för att samla in specifik e-postrelaterad information.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EmailMessageId | Valfritt | sträng | Unik identifierare för e-postmeddelandet som är associerat med aviseringen. E.g. Request for Invoice Access |
| EmailSubject | Valfritt | sträng | Ämne för e-postmeddelandet. E.g. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Schema Uppdateringar
Följande är ändringarna i olika versioner av schemat:
- Version 0.1: Första versionen.