Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Normaliseringsschemat för Microsoft Sentinel Granskningshändelser representerar händelser som är associerade med spårningsloggen för informationssystem. Granskningsloggen loggar systemkonfigurationsaktiviteter och principändringar. Sådana ändringar utförs ofta av systemadministratörer, men kan också utföras av användare när de konfigurerar inställningarna för sina egna program.
Varje system loggar granskningshändelser tillsammans med sina kärnaktivitetsloggar. En brandvägg loggar till exempel händelser om nätverkssessionerna är processer och granskar händelser om konfigurationsändringar som tillämpas på själva brandväggen.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Schemaöversikt
Huvudfälten för en granskningshändelse är:
- Objektet, som till exempel kan vara en hanterad resurs eller principregel, som händelsen fokuserar på, representeras av fältet Objekt. Fältet ObjectType anger objektets typ.
- Programkontexten för objektet, som representeras av fältet TargetAppName, som är alias för programmet.
- Åtgärden som utförs på objektet, som representeras av fälten EventType och Operation. Även om Operation är det värde som källan rapporterade är EventType en normaliserad version som är mer konsekvent mellan källor.
- De gamla och nya värdena för objektet, om tillämpligt, som representeras av OldValue respektive NewValue .
Granskningshändelser refererar också till följande entiteter, som ingår i konfigurationsåtgärden:
- Aktör – användaren som utför konfigurationsåtgärden.
- TargetApp – det program eller system som konfigurationsåtgärden gäller för.
- Target – det system där TargetApp* körs.
- ActingApp – programmet som används av aktören för att utföra konfigurationsåtgärden.
- Src – Det system som används av aktören för att initiera konfigurationsåtgärden, om det skiljer sig från Target.
Dvc Beskrivningen används för rapporteringsenheten, som är det lokala systemet för sessioner som rapporteras av en slutpunkt, samt mellanhanden eller säkerhetsenheten i andra fall.
Tolkar
Distribuera och använda parsers för granskningshändelser
Distribuera ASIM-granskningshändelsernas parsers från Microsoft Sentinel GitHub-lagringsplats. Om du vill köra frågor mot alla granskningshändelsekällor använder du den enande parsern imAuditEvent som tabellnamn i frågan.
Mer information om hur du använder ASIM-parsers finns i översikten över ASIM-parsers. Listan över granskningshändelseparsers Microsoft Sentinel innehåller färdiga anvisningar finns i asim-parsers-listan
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för filhändelseinformationsmodellen namnger du dina KQL-funktioner med hjälp av följande syntax: imAuditEvent<vendor><Product>. Läs artikeln Hantera ASIM-parsers för att lära dig hur du lägger till dina anpassade parsers i granskningshändelsen som förenar parsern.
Filtrera parserparametrar
Parsarna för granskningshändelser stöder filtreringsparametrar. Även om de här parametrarna är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast händelser som kördes vid eller efter den här tiden. Den här parametern använder fältet TimeGenerated som tidsdesignare för händelsen. |
| Endtime | Datetime | Filtrera endast händelsefrågor som har körts vid eller före den här tiden. Den här parametern använder fältet TimeGenerated som tidsdesignare för händelsen. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrera endast händelser från den här käll-IP-adressen enligt vad som visas i fältet SrcIpAddr . |
| eventtype_in | sträng | Filtrera endast händelser där händelsetypen, som representeras i fältet EventType , är något av de villkor som anges. |
| eventresult | sträng | Filtrera endast händelser där händelsens resultat, som representeras i fältet EventResult , är lika med parametervärdet. |
| actorusername_has_any | dynamisk/sträng | Filtrera endast händelser där ActorUsername innehåller något av de angivna villkoren. |
| operation_has_any | dynamisk/sträng | Filtrera endast händelser där fältet Åtgärd innehåller något av de angivna villkoren. |
| object_has_any | dynamisk/sträng | Filtrera endast händelser där objektfältet innehåller något av de angivna villkoren. |
| newvalue_has_any | dynamisk/sträng | Filtrera endast händelser där fältet NewValue innehåller något av de angivna villkoren. |
Vissa parametrar kan acceptera både en lista med värden av typen dynamic eller ett enda strängvärde. Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Till exempel: dynamic(['192.168.','10.'])
Om du till exempel bara vill filtrera granskningshändelser med termerna install eller update i fältet Åtgärd från den senaste dagen använder du:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Schemainformation
Vanliga ASIM-fält
Viktigt
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för granskningshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Eventtype | Obligatorisk | Uppräknade | Beskriver åtgärden som granskas av händelsen med ett normaliserat värde. Använd EventSubType för att ange ytterligare information, som det normaliserade värdet inte förmedlar, och Åtgärd. för att lagra åtgärden enligt rapporteringsenheten. För granskningshändelseposter är de tillåtna värdena: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Granskningshändelser representerar en stor mängd olika åtgärder och Other värdet aktiverar mappningsåtgärder som inte har någon motsvarande EventType. Användningen av Other begränsar dock händelsens användbarhet och bör undvikas om det är möjligt. |
| EventSubType | Valfritt | Sträng | Innehåller ytterligare information som det normaliserade värdet i EventType inte förmedlar. |
| EventSchema | Obligatorisk | Uppräknade | Namnet på schemat som dokumenteras här är AuditEvent. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.2. |
Alla vanliga fält
Fält som visas i tabellen är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges i det här dokumentet åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderas |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Granskningsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Drift | Obligatorisk | Sträng | Åtgärden granskades enligt rapporteringsenhetens rapport. |
| Objekt | Obligatorisk | Sträng | Namnet på det objekt där åtgärden som identifieras av EventType utförs. |
| Objectid | Valfritt | Sträng | ID:t för det objekt där åtgärden som identifieras av EventType utförs. |
| ObjectType | Villkorsstyrd | Uppräknade | Typ av objekt. Tillåtna värden är: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Valfritt | Sträng | Typ av objekt som rapporteras av rapporteringssystemet |
| OldValue | Valfritt | Sträng | Det gamla värdet för Object före åtgärden, om tillämpligt. |
| NewValue | Rekommenderas | Sträng | Det nya värdet för Objekt efter att åtgärden utfördes, om tillämpligt. |
| Värde | Alias | Alias till NewValue | |
| Valuetype | Villkorsstyrd | Uppräknade | Typen av gamla och nya värden. Tillåtna värden är -Andra |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. Mer information och alternativa fält för andra ID:n finns i Användarentiteten. Exempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra Domännamn, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| ActorScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där ActorUserId och ActorUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| ActorUserIdType | Villkorsstyrd | Uppräknade | Typen av ID som lagras i fältet ActorUserId . Mer information och lista över tillåtna värden finns i UserIdType i artikeln Schemaöversikt. |
| ActorUsername | Rekommenderas | Användarnamn (sträng) | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Mer information finns i Användarentiteten. Exempel: AlbertE |
| Användare | Alias | Alias för ActorUsername | |
| ActorUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet ActorUsername . Mer information och lista över tillåtna värden finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| ActorUserType | Valfritt | UserType | Typen av aktör. Mer information och lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. Till exempel: Guest |
| ActorOriginalUserType | Valfritt | Sträng | Användartypen som rapporteras av rapporteringsenheten. |
| ActorSessionId | Valfritt | Sträng | Det unika ID:t för inloggningssessionen för aktören. Exempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Målprogramfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetAppId | Valfritt | Sträng | ID:t för det program som händelsen gäller för, inklusive en process, webbläsare eller tjänst. Exempel: 89162 |
| TargetAppName | Valfritt | Sträng | Namnet på det program som händelsen gäller för, inklusive en tjänst, en URL eller ett SaaS-program. Exempel: Exchange 365 |
| Program | Alias | Alias för TargetAppName | |
| TargetAppType | Villkorsstyrd | AppType | Typen av program som auktoriserar för aktörens räkning. Mer information och lista över tillåtna värden finns i AppType i artikeln Schemaöversikt. |
| TargetOriginalAppType | Valfritt | Sträng | Typen av program som händelsen gäller som rapporteras av rapporteringsenheten. |
| TargetUrl | Valfritt | URL | Den URL som är associerad med målprogrammet. Exempel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Målsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dst | Alias | Sträng | En unik identifierare för autentiseringsmålet. Det här fältet kan vara alias för fälten TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId eller TargetAppName . Exempel: 192.168.12.1 |
| TargetHostname | Rekommenderas | Hostname | Målenhetens värdnamn, exklusive domäninformation. Exempel: DESKTOP-1282V4D |
| TargetDomain | Valfritt | Domain(String) | Målenhetens domän. Exempel: Contoso |
| TargetDomainType | Villkorsstyrd | Uppräknade | Typ av TargetDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om TargetDomain används. |
| TargetFQDN | Valfritt | FQDN (sträng) | Målenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Exempel: Contoso\DESKTOP-1282V4D Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. TargetDomainType återspeglar det format som används. |
| TargetDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
| TargetDvcId | Valfritt | Sträng | Målenhetens ID. Om flera ID:t är tillgängliga använder du det viktigaste och lagrar de andra i fälten TargetDvc<DvcIdType>. Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. TargetDvcScopeId mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| TargetDvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. TargetDvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| TargetDvcIdType | Villkorsstyrd | Uppräknade | Typ av TargetDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Krävs om TargetDeviceId används. |
| TargetDeviceType | Valfritt | Uppräknade | Typ av målenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| TargetIpAddr | Rekommenderas | IP-adress | MÅLenhetens IP-adress. Exempel: 2.2.2.2 |
| TargetDvcOs | Valfritt | Sträng | Målenhetens operativsystem. Exempel: Windows 10 |
| TargetPortNumber | Valfritt | Heltal | Målenhetens port. |
| TargetGeoCountry | Valfritt | Land | Det land/den region som är associerad med mål-IP-adressen. Exempel: USA |
| TargetGeoRegion | Valfritt | Region | Regionen inom ett land/en region som är associerad med mål-IP-adressen. Exempel: Vermont |
| TargetGeoCity | Valfritt | Ort | Den stad som är associerad med mål-IP-adressen. Exempel: Burlington |
| TargetGeoLatitude | Valfritt | Latitude | Latitud för den geografiska koordinat som är associerad med IP-måladressen. Exempel: 44.475833 |
| TargetGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med IP-måladressen. Exempel: 73.211944 |
| TargetRiskLevel | Valfritt | Heltal | Den risknivå som är associerad med målet. Värdet ska justeras till ett intervall på 0 till , med 0 för godartad och 100100för hög risk.Exempel: 90 |
| TargetOriginalRiskLevel | Valfritt | Sträng | Den risknivå som är associerad med målet, enligt rapporteringsenhetens rapporter. Exempel: Suspicious |
Fält för agerar program
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingAppId | Valfritt | Sträng | ID:t för programmet som initierade den rapporterade aktiviteten, inklusive en process, webbläsare eller tjänst. Till exempel: 0x12ae8 |
| ActingAppName | Valfritt | Sträng | Namnet på det program som initierade den rapporterade aktiviteten, inklusive en tjänst, en URL eller ett SaaS-program. Till exempel: C:\Windows\System32\svchost.exe |
| ActingAppType | Valfritt | AppType | Typ av verkande program. Mer information och lista över tillåtna värden finns i AppType i artikeln Schemaöversikt. |
| ActingOriginalAppType | Valfritt | Sträng | Typ av program som initierade aktiviteten enligt rapporteringsenheten. |
| HttpUserAgent | Valfritt | Sträng | När autentisering utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvudet som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. Till exempel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Källsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Src | Alias | Sträng | En unik identifierare för källenheten. Det här fältet kan vara alias för fälten SrcDvcId, SrcHostname eller SrcIpAddr . Exempel: 192.168.12.1 |
| SrcIpAddr | Rekommenderas | IP-adress | IP-adressen som anslutningen eller sessionen kommer från. Exempel: 77.138.103.108 |
| IpAddr | Alias | Alias för SrcIpAddr eller TargetIpAddr om SrcIpAddr inte har angetts. | |
| SrcPortNumber | Valfritt | Heltal | IP-porten som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. Exempel: 2335 |
| SrcHostname | Valfritt | Hostname | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| SrcDomain | Valfritt | Domän (sträng) | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | DomainType | Typ av SrcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | FQDN (sträng) | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
| SrcDvcId | Valfritt | Sträng | Källenhetens ID. Om flera ID:t är tillgängliga använder du det viktigaste och lagrar de andra i fälten SrcDvc<DvcIdType>.Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | DvcIdType | Typ av SrcDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | DeviceType | Typ av källenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| SrcGeoCountry | Valfritt | Land | Det land/den region som är associerad med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfritt | Region | Regionen inom ett land/en region som är associerad med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfritt | Ort | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfritt | Latitude | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
| SrcRiskLevel | Valfritt | Heltal | Den risknivå som är associerad med källan. Värdet ska justeras till ett intervall på 0 till , med 0 för godartad och 100100för hög risk.Exempel: 90 |
| SrcOriginalRiskLevel | Valfritt | Sträng | Den risknivå som är associerad med källan, enligt rapporteringsenhetens rapporter. Exempel: Suspicious |
Kontrollfält
Följande fält används för att representera inspektionen som utförs av ett säkerhetssystem.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RuleName | Valfritt | Sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
| RuleNumber | Valfritt | Heltal | Numret på regeln som är associerad med inspektionsresultaten. |
| Regel | Alias | Sträng | Antingen värdet för RuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | Sträng | ID:t för det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatName | Valfritt | Sträng | Namnet på det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatCategory | Valfritt | Sträng | Kategorin för det hot eller den skadliga kod som identifieras i granskningsfilens aktivitet. |
| ThreatRiskLevel | Valfritt | RiskLevel (heltal) | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfritt | Sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatConfidence | Valfritt | ConfidenceLevel (heltal) | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | Sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Boolesk | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | Datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | Datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatIpAddr | Valfritt | IP-adress | En IP-adress för vilken ett hot har identifierats. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. |
| ThreatField | Villkorsstyrd | Uppräknade | Det fält för vilket ett hot identifierades. Värdet är antingen SrcIpAddr eller TargetIpAddr. |
Schemauppdateringar
Ändringarna i version 0.1.1 av schemat är:
- Fältet och
OriginalObjectTypehar lagts tillObjectId.
Ändringarna i version 0.1.2 av schemat är:
- Fältet ,
OriginalObjectType,SrcOriginalRiskLevel,SrcRiskLevel,TargetGeoCity,TargetGeoCountry,TargetGeoLatitude,TargetGeoLongitude,TargetGeoRegion,,TargetOriginalAppType,TargetOriginalRiskLeveloch har lagtsActingOriginalAppTypetillTargetRiskLevel
Nästa steg
Mer information finns i: