你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel Audit 事件规范化架构表示与信息系统的审核跟踪关联的事件。 审核跟踪记录系统配置活动和策略更改。 此类更改通常由系统管理员执行,但也可由用户在配置其自己的应用程序的设置时执行。
每个系统都会记录审核事件及其核心活动日志。 例如,防火墙将记录有关网络会话进程的事件,并审核有关应用于防火墙本身的配置更改的事件。
有关Microsoft Sentinel规范化的详细信息,请参阅规范化和高级安全信息模型 (ASIM) 。
架构概述
审核事件的主要字段包括:
- 对象(例如,该对象可能是事件所关注的托管资源或策略规则),由字段 Object 表示。 字段 ObjectType 指定对象的类型。
- 对象的应用程序上下文,由 字段 TargetAppName 表示,该字段由 Application 别名。
- 对 对象执行的操作,由 字段 EventType 和 Operation 表示。 虽然 Operation 是源报告的值, 但 EventType 是跨源更一致的规范化版本。
- 对象的旧值和新值(如果适用),分别由 OldValue 和 NewValue 表示。
审核事件还引用配置操作中涉及的以下实体:
- Actor - 执行配置操作的用户。
- TargetApp - 应用配置操作的应用程序或系统。
- 目标 - 运行 TargetApp* 的系统。
- ActingApp - 执行组件 用于执行配置操作的应用程序。
- Src - 执行组件 用于启动配置操作的系统(如果不同于 Target)。
描述符 Dvc 用于报告设备,报告设备是终结点报告的会话的本地系统,在其他情况下是中介或安全设备。
解析 器
部署和使用审核事件分析程序
从 Microsoft Sentinel GitHub 存储库部署 ASIM 审核事件分析程序。 若要跨所有审核事件源进行查询,请在查询中使用统一分析器 imAuditEvent 作为表名。
有关使用 ASIM 分析程序的详细信息,请参阅 ASIM 分析程序概述。 有关审核事件分析程序的列表,Microsoft Sentinel提供现成的,请参阅 ASIM 分析程序列表
添加自己的规范化分析程序
为文件事件信息模型实现自定义分析程序时,使用以下语法命名 KQL 函数: imAuditEvent<vendor><Product>。 请参阅 管理 ASIM 分析程序 一文,了解如何将自定义分析程序添加到审核事件统一分析器。
筛选分析程序参数
审核事件分析器支持 筛选参数。 虽然这些参数是可选的,但它们可以提高查询性能。
以下筛选参数可用:
| 名称 | 类型 | 说明 |
|---|---|---|
| starttime | datetime | 仅筛选在此时间或之后运行的事件。 此参数使用 TimeGenerated 字段作为事件的时间指示符。 |
| endtime | datetime | 仅筛选在此时间或之前完成运行的事件查询。 此参数使用 TimeGenerated 字段作为事件的时间指示符。 |
| srcipaddr_has_any_prefix | 动态 | 仅筛选来自此源 IP 地址的事件,如 SrcIpAddr 字段中所示。 |
| eventtype_in | string | 仅筛选事件类型(如 EventType 字段中所示)是所提供的任何术语的事件。 |
| eventresult | string | 仅筛选事件结果(如 EventResult 字段中所示)等于参数值的事件。 |
| actorusername_has_any | dynamic/string | 仅筛选 ActorUsername 包含提供的任何术语的事件。 |
| operation_has_any | dynamic/string | 仅筛选 “操作” 字段包含提供的任何术语的事件。 |
| object_has_any | dynamic/string | 仅筛选 对象 字段包含提供的任何术语的事件。 |
| newvalue_has_any | dynamic/string | 仅筛选 NewValue 字段包含提供的任何术语的事件。 |
某些参数可以接受类型的 dynamic 值列表或单个字符串值。 若要将文本列表传递给需要动态值的参数,请显式使用 动态文本。 例如:dynamic(['192.168.','10.'])
例如,若要仅筛选包含术语 install 的审核事件,请在 update 其 “操作” 字段中筛选事件,从最后一天开始,请使用:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
架构详细信息
常见 ASIM 字段
重要
ASIM 通用字段一文中详细介绍了所有架构通用的字段。
具有特定准则的通用字段
以下列表提到了具有审核事件特定准则的字段:
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| EventType | 强制 | 枚举 | 描述事件使用规范化值审核的操作。 使用 EventSubType 提供规范化值不传达的更多详细信息和 操作。 以存储报告设备报告的操作。 对于审核事件记录,允许的值为: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other 审核事件表示各种操作, Other 值启用没有相应 EventType的映射操作。 但是,使用 Other 会限制事件的可用性,如果可能,应避免使用 。 |
| EventSubType | 可选 | String | 提供 EventType 中规范化值不传达的更多详细信息。 |
| EventSchema | 强制 | 枚举 | 此处记录的架构的名称为 AuditEvent。 |
| EventSchemaVersion | 强制 | SchemaVersion (String) | 架构的版本。 此处记录的架构版本为 0.1.2。 |
所有常见字段
表中显示的字段对所有 ASIM 架构都是通用的。 本文档中指定的任何准则都覆盖字段的一般准则。 例如,字段通常可能是可选的,但对于特定架构是必需的。 有关每个字段的详细信息,请参阅 ASIM 通用字段 一文。
| 类 | Fields |
|---|---|
| 强制 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 建议 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 可选 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
审核字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| 操作 | 强制 | String | 由报告设备报告审核的操作。 |
| 对象 | 强制 | String | 对其执行 EventType 标识的操作的对象的名称。 |
| ObjectId | 可选 | String | 对其执行 EventType 标识的操作的 对象的 ID。 |
| ObjectType | 条件 | 枚举 |
Object 的类型。 允许的值包括: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | 可选 | String | 报告系统报告的 Object 类型 |
| OldValue | 可选 | String | 操作前 Object 的旧值(如果适用)。 |
| NewValue | 建议 | String | 执行操作后 Object 的新值(如果适用)。 |
| 价值 | 别名 | NewValue 的别名 | |
| ValueType | 条件 | 枚举 | 新旧值的类型。 允许的值为 -其他 |
执行组件字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| ActorUserId | 可选 | String | Actor 的计算机可读字母数字唯一表示形式。 有关详细信息,以及有关其他 ID 的备用字段,请参阅 User 实体。 例如: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | 可选 | String | 作用域(例如Microsoft Entra域名),其中定义了 ActorUserId 和 ActorUsername。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserScope。 |
| ActorScopeId | 可选 | String | 范围 ID,例如Microsoft Entra目录 ID,其中定义了 ActorUserId 和 ActorUsername。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserScopeId。 |
| ActorUserIdType | 条件 | 枚举 | 存储在 ActorUserId 字段中的 ID 的类型。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserIdType。 |
| ActorUsername | 建议 | 用户名 (字符串) | 执行组件的用户名,包括域信息(如果可用)。 有关详细信息,请参阅 用户实体。 例如: AlbertE |
| 用户 | 别名 | ActorUsername 的别名 | |
| ActorUsernameType | 条件 | UsernameType | 指定 存储在 ActorUsername 字段中的用户名的类型。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UsernameType。 例如: Windows |
| ActorUserType | 可选 | UserType | Actor 的类型。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserType。 例如: Guest |
| ActorOriginalUserType | 可选 | String | 报告设备报告的用户类型。 |
| ActorSessionId | 可选 | String | 执行组件登录会话的唯一 ID。 例如: 102pTUgC3p8RIqHvzxLCHnFlg |
目标应用程序字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| TargetAppId | 可选 | String | 应用事件的应用程序的 ID,包括进程、浏览器或服务。 例如: 89162 |
| TargetAppName | 可选 | String | 应用事件的应用程序的名称,包括服务、URL 或 SaaS 应用程序。 例如: Exchange 365 |
| 应用 | 别名 | TargetAppName 的别名 | |
| TargetAppType | 条件 | AppType | 代表执行组件授权的应用程序的类型。 有关详细信息和允许的值列表,请参阅架构概述一文中的 AppType。 |
| TargetOriginalAppType | 可选 | String | 应用事件的应用程序类型,由报告设备报告。 |
| TargetUrl | 可选 | URL | 与目标应用程序关联的 URL。 例如: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
目标系统字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| Dst | 别名 | String | 身份验证目标的唯一标识符。 此字段可能会对 TargetDvcId、 TargetHostname、 TargetIpAddr、 TargetAppId 或 TargetAppName 字段进行别名。 例如: 192.168.12.1 |
| TargetHostname | 建议 | 主机名称 | 目标设备主机名,不包括域信息。 例如: DESKTOP-1282V4D |
| TargetDomain | 可选 | 域 (字符串) | 目标设备的域。 例如: Contoso |
| TargetDomainType | 条件 | 枚举 |
TargetDomain 的类型。 有关允许值的列表和详细信息,请参阅架构概述一文中的 DomainType。 如果使用 TargetDomain, 则为必需项。 |
| TargetFQDN | 可选 | FQDN (字符串) | 目标设备主机名,包括域信息(如果可用)。 例如: Contoso\DESKTOP-1282V4D 注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 TargetDomainType 反映了所使用的格式。 |
| TargetDescription | 可选 | String | 与设备关联的描述性文本。 例如:Primary Domain Controller。 |
| TargetDvcId | 可选 | String | 目标设备的 ID。 如果有多个 ID 可用,请使用最重要的 ID,并将其他 ID 存储在 字段中 TargetDvc<DvcIdType>。 例如: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 可选 | String | 设备所属的云平台范围 ID。 TargetDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| TargetDvcScope | 可选 | String | 设备所属的云平台范围。 TargetDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| TargetDvcIdType | 条件 | 枚举 |
TargetDvcId 的类型。 有关允许值的列表和其他信息,请参阅架构概述一文中的 DvcIdType。 如果使用 TargetDeviceId ,则是必需的。 |
| TargetDeviceType | 可选 | 枚举 | 目标设备的类型。 有关允许值的列表和详细信息,请参阅架构概述一文中的 DeviceType。 |
| TargetIpAddr | 建议 | IP 地址 | 目标设备的 IP 地址。 例如: 2.2.2.2 |
| TargetDvcOs | 可选 | String | 目标设备的 OS。 例如: Windows 10 |
| TargetPortNumber | 可选 | 整数 | 目标设备的端口。 |
| TargetGeoCountry | 可选 | 国家/地区 | 与目标 IP 地址关联的国家/地区。 例如: USA |
| TargetGeoRegion | 可选 | 地区 | 与目标 IP 地址关联的国家/地区中的区域。 例如: Vermont |
| TargetGeoCity | 可选 | 市/县 | 与目标 IP 地址关联的城市。 例如: Burlington |
| TargetGeoLatitude | 可选 | Latitude | 与目标 IP 地址关联的地理坐标的纬度。 例如: 44.475833 |
| TargetGeoLongitude | 可选 | Longitude | 与目标 IP 地址关联的地理坐标的经度。 例如: 73.211944 |
| TargetRiskLevel | 可选 | 整数 | 与目标关联的风险级别。 值应调整为 范围,0设置为 ,并0针对良性和100100高风险。例如: 90 |
| TargetOriginalRiskLevel | 可选 | String | 与目标关联的风险级别,由报告设备报告。 例如: Suspicious |
代理应用程序字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| ActingAppId | 可选 | String | 发起报告的活动的应用程序的 ID,包括进程、浏览器或服务。 例如: 0x12ae8 |
| ActingAppName | 可选 | String | 报告的活动启动的应用程序的名称,包括服务、URL 或 SaaS 应用程序。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 可选 | AppType | 操作应用程序的类型。 有关详细信息和允许的值列表,请参阅架构概述一文中的 AppType。 |
| ActingOriginalAppType | 可选 | String | 启动活动的应用程序的类型,由报告设备报告。 |
| HttpUserAgent | 可选 | String | 通过 HTTP 或 HTTPS 执行身份验证时,此字段的值是执行身份验证时由代理应用程序提供的user_agent HTTP 标头。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
源系统字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| Src | 别名 | String | 源设备的唯一标识符。 此字段可能会对 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段进行别名。 例如: 192.168.12.1 |
| SrcIpAddr | 建议 | IP 地址 | 发起连接或会话的 IP 地址。 例如: 77.138.103.108 |
| IpAddr | 别名 | SrcIpAddr 的别名,如果未提供 SrcIpAddr,则为 TargetIpAddr 的别名。 | |
| SrcPortNumber | 可选 | 整数 | 发起连接的 IP 端口。 可能与包含多个连接的会话无关。 例如: 2335 |
| SrcHostname | 可选 | 主机名称 | 源设备主机名,不包括域信息。 如果没有可用的设备名称,请将相关的 IP 地址存储在此字段中。 例如: DESKTOP-1282V4D |
| SrcDomain | 可选 | 域 (字符串) | 源设备的域。 例如: Contoso |
| SrcDomainType | 条件 | DomainType |
SrcDomain 的类型。 有关允许值的列表和详细信息,请参阅架构概述一文中的 DomainType。 如果使用 SrcDomain, 则是必需的。 |
| SrcFQDN | 可选 | FQDN (字符串) | 源设备主机名,包括域信息(如果有)。 注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 SrcDomainType 字段反映所使用的格式。 例如: Contoso\DESKTOP-1282V4D |
| SrcDescription | 可选 | String | 与设备关联的描述性文本。 例如:Primary Domain Controller。 |
| SrcDvcId | 可选 | String | 源设备的 ID。 如果有多个 ID 可用,请使用最重要的 ID,并将其他 ID 存储在 字段中 SrcDvc<DvcIdType>。例如: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 可选 | String | 设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| SrcDvcScope | 可选 | String | 设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID,以及 AWS 上的帐户 ID。 |
| SrcDvcIdType | 条件 | DvcIdType |
SrcDvcId 的类型。 有关允许值的列表和其他信息,请参阅架构概述一文中的 DvcIdType。 注意:如果使用 SrcDvcId ,则需要此字段。 |
| SrcDeviceType | 可选 | DeviceType | 源设备的类型。 有关允许值的列表和详细信息,请参阅架构概述一文中的 DeviceType。 |
| SrcGeoCountry | 可选 | 国家/地区 | 与源 IP 地址关联的国家/地区。 例如: USA |
| SrcGeoRegion | 可选 | 地区 | 与源 IP 地址关联的国家/地区中的区域。 例如: Vermont |
| SrcGeoCity | 可选 | 市/县 | 与源 IP 地址关联的城市。 例如: Burlington |
| SrcGeoLatitude | 可选 | Latitude | 与源 IP 地址关联的地理坐标的纬度。 例如: 44.475833 |
| SrcGeoLongitude | 可选 | Longitude | 与源 IP 地址关联的地理坐标的经度。 例如: 73.211944 |
| SrcRiskLevel | 可选 | 整数 | 与源关联的风险级别。 值应调整为 范围,0设置为 ,并0针对良性和100100高风险。例如: 90 |
| SrcOriginalRiskLevel | 可选 | String | 与源关联的风险级别,由报告设备报告。 例如: Suspicious |
检查字段
以下字段用于表示安全系统执行的检查。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| RuleName | 可选 | String | 与检查结果关联的规则的名称或 ID。 |
| RuleNumber | 可选 | 整数 | 与检查结果关联的规则编号。 |
| Rule | 别名 | String | RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,则类型应转换为字符串。 |
| ThreatId | 可选 | String | 在审核活动中标识的威胁或恶意软件的 ID。 |
| ThreatName | 可选 | String | 在审核活动中标识的威胁或恶意软件的名称。 |
| ThreatCategory | 可选 | String | 在审核文件活动中标识的威胁或恶意软件的类别。 |
| ThreatRiskLevel | 可选 | RiskLevel (整数) | 与标识的威胁关联的风险级别。 级别应为 介于 0 和 100 之间的数字。 注意:可以使用其他比例在源记录中提供该值,应将其规范化为此比例。 原始值应存储在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 可选 | String | 报告设备报告的风险级别。 |
| ThreatConfidence | 可选 | ConfidenceLevel (Integer) | 所识别的威胁的置信度,规范化为介于 0 和 100 之间的值。 |
| ThreatOriginalConfidence | 可选 | String | 已识别的威胁的原始置信度,由报告设备报告。 |
| ThreatIsActive | 可选 | 布尔值 | 如果确定的威胁被视为活动威胁,则为 True。 |
| ThreatFirstReportedTime | 可选 | datetime | 首次将 IP 地址或域标识为威胁。 |
| ThreatLastReportedTime | 可选 | datetime | 上次将 IP 地址或域标识为威胁的时间。 |
| ThreatIpAddr | 可选 | IP 地址 | 识别其威胁的 IP 地址。 字段 ThreatField 包含 ThreatIpAddr 表示的字段的名称。 |
| ThreatField | 条件 | 枚举 | 已识别威胁的字段。 值为 SrcIpAddr 或 TargetIpAddr。 |
架构更新
架构版本 0.1.1 中的更改如下:
- 添加了 字段
ObjectId和OriginalObjectType。
架构版本 0.1.2 中的更改如下:
- 添加了字段
ActingOriginalAppType、、OriginalObjectType、SrcOriginalRiskLevelTargetGeoLatitudeTargetGeoCitySrcRiskLevelTargetGeoLongitudeTargetGeoRegionTargetGeoCountryTargetOriginalAppType、和TargetOriginalRiskLevelTargetRiskLevel
后续步骤
有关更多信息,请参阅: