進階安全性資訊模型 (ASIM) 驗證正規化架構參考 (公開預覽)
Microsoft Sentinel 驗證架構可用來描述與用戶驗證、登入和註銷相關的事件。驗證事件是由許多報告裝置傳送,通常是與其他事件一起作為事件數據流的一部分。 例如,Windows 會與其他OS活動事件一起傳送數個驗證事件。
驗證事件包括來自系統的事件,這些事件著重於驗證,例如 VPN 閘道或域控制器,以及直接驗證至終端系統,例如電腦或防火牆。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
重要
驗證正規化架構目前為 PREVIEW。 此功能在沒有服務等級協議的情況下提供,不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
剖析器
從 Microsoft Sentinel GitHub 存放庫部署 ASIM 驗證剖析器。 如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀文章。
統一剖析器
若要使用將所有 ASIM 現成剖析器統一起來的剖析器,並確保分析在所有設定的來源上執行,請使用 imAuthentication 篩選剖析器或 ASimAuthentication 無參數剖析器。
來源特定剖析器
如需Microsoft Sentinel 提供的驗證剖析器清單, 請參閱 ASIM 剖析器清單:
新增您自己的標準化剖析器
實作驗證資訊模型的自訂剖析器時,請使用下列語法為您的 KQL 函式命名:
vimAuthentication<vendor><Product>用於篩選剖析器ASimAuthentication<vendor><Product>用於無參數剖析器
如需將自定義剖析器新增至統一剖析器的資訊,請參閱 管理 ASIM 剖析器。
篩選剖析器參數
im和 vim* 剖析器支援篩選參數。 雖然這些剖析器是選擇性的,但它們可以改善查詢效能。
下列篩選參數可供使用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| starttime | Datetime | 只篩選在此時間或之後執行的驗證事件。 |
| endtime | Datetime | 只篩選目前或之前執行完畢的驗證事件。 |
| targetusername_has | 字串 | 僅篩選具有任何列出的使用者名稱的驗證事件。 |
例如,若要僅篩選過去一天到特定用戶的驗證事件,請使用:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
提示
若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如: dynamic(['192.168.','10.']) 。
標準化內容
標準化的驗證分析規則在偵測到跨來源的攻擊時是獨一無二的。 因此,例如,如果使用者登入不同國家/地區的不同、不相關的系統,則Microsoft Sentinel 現在會偵測到此威脅。
如需使用標準化驗證事件之分析規則的完整清單,請參閱 驗證架構安全性內容。
結構描述概觀
驗證資訊模型會與 OSSEM 登入實體架構一致。
下表所列的欄位專屬於驗證事件,但與其他架構中的欄位類似,並遵循類似的命名慣例。
驗證事件會參考下列實體:
- TargetUser - 用來向系統驗證的用戶資訊。 TargetSystem 是驗證事件的主要主旨,而用戶別名則是已識別 TargetUser 的別名。
- TargetApp - 已驗證的應用程式。
- Target - TargetApp* 執行所在的系統。
- 動作專案 - 如果與 TargetUser 不同,則起始驗證的使用者。
- ActingApp - 動作專案用來執行驗證的應用程式。
- Src - 動作項目用來起始驗證的系統。
這些實體之間的關聯性最好示範如下:
動作專案,在來源系統上執行代理應用程式代理程式代理程式 Src,會嘗試在目標系統上以 TargetUser 身分向目標應用程式 TargetApp 驗證 TargetDvc。
架構詳細數據
在下表中, Type 是指邏輯類型。 如需詳細資訊,請參閱 邏輯類型。
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有驗證事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventType | 必要 | 枚舉 | 描述記錄所報告的作業。 針對驗證記錄,支援的值包括: - Logon - Logoff- Elevate |
| EventResultDetails | 建議需求 | String | 與事件結果相關聯的詳細數據。 當結果失敗時,通常會填入此欄位。 允許的值包括: - No such user or password. 當原始事件報告沒有這類使用者,而不參考密碼時,也應該使用此值。- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. 當原始事件報告時,應該使用此值,例如:需要 MFA、在工作時間以外登入、條件式存取限制,或嘗試太頻繁。- Session expired- Other您可以使用不同的詞彙,在來源記錄中提供此值,這應該會正規化為這些值。 原始值應該儲存在 EventOriginalResultDetails 字段中 |
| EventSubType | 選擇性 | String | 登入類型。 允許的值包括: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - 當遠端登入的類型未知時,請使用 。- AssumeRole - 通常當事件類型為 Elevate時使用。 您可以使用不同的詞彙,在來源記錄中提供此值,這應該會正規化為這些值。 原始值應該儲存在 EventOriginalSubType 欄位中。 |
| EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本如下 0.1.3 |
| EventSchema | 必要 | String | 這裡記載的架構名稱是 驗證。 |
| Dvc 欄位 | - | - | 針對驗證事件,裝置欄位會參考報告事件的系統。 |
所有通用欄位
下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的進一步詳細數據,請參閱 ASIM 通用欄位 一文。
驗證特定欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| LogonMethod | 選擇性 | String | 用來執行驗證的方法。 範例: Username & Password、PKI |
| LogonProtocol | 選擇性 | String | 用來執行驗證的通訊協定。 範例: NTLM |
動作專案欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActorUserId | 選擇性 | String | 機器可讀取、英數位元、動作專案的唯一表示法。 如需詳細資訊,以及其他標識碼的替代字段,請參閱 用戶實體。 範例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | 選擇性 | String | 範圍,例如Microsoft Entra 租使用者,其中 已定義ActorUserId 和 ActorUsername 。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| ActorScopeId | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍標識碼,例如 Microsoft Entra Directory ID。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
| ActorUserIdType | 條件 | UserIdType | 儲存在 ActorUserId 字段中的識別碼類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserIdType。 |
| ActorUsername | 選擇性 | 使用者名稱 | 動作項目的用戶名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱 用戶實體。 範例: AlbertE |
| ActorUsernameType | 條件 | UsernameType | 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱架構概觀一文中的UsernameType。 範例: Windows |
| ActorUserType | 選擇性 | UserType | 動作項目的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。 例如: Guest |
| ActorOriginalUserType | 選擇性 | UserType | 報告裝置所報告的用戶類型。 |
| ActorSessionId | 選擇性 | String | 動作專案之登入會話的唯一標識符。 範例: 102pTUgC3p8RIqHvzxLCHnFlg |
代理應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingAppId | 選擇性 | String | 代表動作專案授權的應用程式識別碼,包括進程、瀏覽器或服務。 例如: 0x12ae8 |
| ActingAppName | 選擇性 | String | 代表動作專案授權的應用程式名稱,包括進程、瀏覽器或服務。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 選擇性 | AppType | 代理應用程式的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。 |
| HttpUserAgent | 選擇性 | String | 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
目標使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetUserId | 選擇性 | UserId | 計算機可讀取、英數位元、目標使用者的唯一表示法。 如需詳細資訊,以及其他標識碼的替代字段,請參閱 用戶實體。 範例: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | 選擇性 | String | 定義 TargetUserId 和 TargetUsername 的 entra 租使用者,例如Microsoft範圍。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| TargetUserScopeId | 選擇性 | String | 定義 TargetUserId 和 TargetUsername 的範圍標識碼,例如 Microsoft Entra Directory 識別符。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
| TargetUserIdType | 條件 | UserIdType | 儲存在 TargetUserId 字段中的使用者識別碼類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserIdType。 範例: SID |
| TargetUsername | 選擇性 | 使用者名稱 | 目標用戶名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱 用戶實體。 範例: MarieC |
| TargetUsernameType | 條件 | UsernameType | 指定儲存在 TargetUsername 欄位中的使用者名稱 類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UsernameType。 |
| TargetUserType | 選擇性 | UserType | 目標使用者的型別。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。 例如: Member |
| TargetSessionId | 選擇性 | String | 來源裝置上 TargetUser 的登入會話標識碼。 |
| TargetOriginalUserType | 選擇性 | UserType | 報告裝置所報告的用戶類型。 |
| 使用者 | Alias | 使用者名稱 | 如果未定義 TargetUsername,則為 TargetUsername 或 TargetUserId 的別名。 範例: CONTOSO\dadmin |
來源系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Src | 建議需求 | String | 來源裝置的唯一標識碼。 此欄位可能會將 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段別名。 範例: 192.168.12.1 |
| SrcDvcId | 選擇性 | String | 來源裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 SrcDvc<DvcIdType>。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍標識碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 注意:如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
| SrcHostname | 建議需求 | 主機名稱 | 來源裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 條件 | DomainType | SrcDomain 的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | String | 來源裝置主機名,包括可用時的網域資訊。 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| SrcIpAddr | 選擇性 | IP 位址 | 來源裝置的 IP 位址。 範例: 2.2.2.2 |
| SrcPortNumber | 選擇性 | 整數 | 線上來源 IP 連接埠。 範例: 2335 |
| SrcDvcOs | 選擇性 | String | 來源裝置的OS。 範例: Windows 10 |
| IpAddr | Alias | SrcIpAddr 的 別名 | |
| SrcIsp | 選擇性 | String | 來源裝置用來連線到因特網的因特網服務提供者 (ISP)。 範例: corpconnect |
| SrcGeoCountry | 選擇性 | Country | 範例: Canada 如需詳細資訊,請參閱 邏輯類型。 |
| SrcGeoCity | 選擇性 | 縣/市 | 範例: Montreal 如需詳細資訊,請參閱 邏輯類型。 |
| SrcGeoRegion | 選擇性 | 區域 | 範例: Quebec 如需詳細資訊,請參閱 邏輯類型。 |
| SrcGeoLongtitude | 選擇性 | 經度 | 範例: -73.614830 如需詳細資訊,請參閱 邏輯類型。 |
| SrcGeoLatitude | 選擇性 | 緯度 | 範例: 45.505918 如需詳細資訊,請參閱 邏輯類型。 |
| SrcRiskLevel | 選擇性 | 整數 | 與來源相關聯的風險層級。 此值應調整為 的範圍,0100並0針對良性和100高風險。範例: 90 |
| SrcOriginalRiskLevel | 選擇性 | 整數 | 與來源相關聯的風險層級,如報告裝置所報告。 範例: Suspicious |
目標應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetAppId | 選擇性 | String | 需要授權的應用程式識別碼,通常是由報告裝置指派。 範例: 89162 |
| TargetAppName | 選擇性 | String | 需要授權的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 範例: Saleforce |
| TargetAppType | 選擇性 | AppType | 代表動作專案授權的應用程式類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。 |
| TargetUrl | 選擇性 | URL | 與目標應用程式相關聯的URL。 範例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | TargetAppName、TargetUrl 或 TargetHostname 的別名,無論哪一個字段最能描述驗證目標。 |
目標系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Dst | Alias | String | 驗證目標的唯一標識碼。 此欄位可能會將 TargerDvcId、TargetHostname、TargetIpAddr、TargetAppId 或 TargetAppName 欄位別名。 範例: 192.168.12.1 |
| TargetHostname | 建議需求 | 主機名稱 | 目標裝置主機名,不包括網域資訊。 範例: DESKTOP-1282V4D |
| TargetDomain | 建議需求 | String | 目標裝置的網域。 範例: Contoso |
| TargetDomainType | 條件 | 枚舉 | TargetDomain 的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 TargetDomain ,則為必要專案。 |
| TargetFQDN | 選擇性 | String | 目標裝置主機名,包括可用時的網域資訊。 範例: Contoso\DESKTOP-1282V4D 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 TargetDomainType 會反映所使用的格式。 |
| TargetDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| TargetDvcId | 選擇性 | String | 目標裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 TargetDvc<DvcIdType>。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍標識碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| TargerDvcScope | 選擇性 | String | 裝置所屬的雲端平台範圍。 TargetDvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| TargetDvcIdType | 條件 | 枚舉 | TargetDvcId 的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 如果使用 TargetDeviceId ,則為必要專案。 |
| TargetDeviceType | 選擇性 | 枚舉 | 目標裝置的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
| TargetIpAddr | 選擇性 | IP 位址 | 目標裝置的IP位址。 範例: 2.2.2.2 |
| TargetDvcOs | 選擇性 | String | 目標裝置的OS。 範例: Windows 10 |
| TargetPortNumber | 選擇性 | 整數 | 目標裝置的埠。 |
| TargetGeoCountry | 選擇性 | Country | 與目標IP位址相關聯的國家/地區。 範例: USA |
| TargetGeoRegion | 選擇性 | 區域 | 與目標IP位址相關聯的區域。 範例: Vermont |
| TargetGeoCity | 選擇性 | 縣/市 | 與目標IP位址相關聯的城市。 範例: Burlington |
| TargetGeoLatitude | 選擇性 | 緯度 | 與目標IP位址相關聯的地理座標緯度。 範例: 44.475833 |
| TargetGeoLongitude | 選擇性 | 經度 | 與目標IP位址相關聯的地理座標經度。 範例: 73.211944 |
| TargetRiskLevel | 選擇性 | 整數 | 與目標相關聯的風險層級。 此值應調整為 的範圍,0100並0針對良性和100高風險。範例: 90 |
| TargetOriginalRiskLevel | 選擇性 | 整數 | 與目標相關聯的風險層級,如報告裝置所報告。 範例: Suspicious |
檢查欄位
下列欄位用來代表安全性系統所執行的檢查。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| RuleName | 選擇性 | String | 與檢查結果相關聯的規則名稱或標識碼。 |
| RuleNumber | 選擇性 | 整數 | 與檢查結果相關聯的規則數目。 |
| 規則 | Alias | String | RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。 |
| ThreatId | 選擇性 | String | 稽核活動中識別的威脅或惡意代碼標識碼。 |
| ThreatName | 選擇性 | String | 稽核活動中識別的威脅或惡意代碼名稱。 |
| ThreatCategory | 選擇性 | String | 稽核檔案活動中所識別的威脅或惡意代碼類別。 |
| ThreatRiskLevel | 選擇性 | 整數 | 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 選擇性 | String | 報告裝置所報告的風險層級。 |
| ThreatConfidence | 選擇性 | 整數 | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 選擇性 | Datetime | 第一次將IP位址或網域識別為威脅。 |
| ThreatLastReportedTime | 選擇性 | Datetime | 上次將IP位址或網域識別為威脅的時間。 |
| ThreatIpAddr | 選擇性 | IP 位址 | 識別威脅的IP位址。 Field ThreatField 包含 ThreatIpAddr 字段的名稱。 |
| ThreatField | 選擇性 | 枚舉 | 識別威脅的欄位。 值為 SrcIpAddr 或 TargetIpAddr。 |
架構更新
這些是架構 0.1.1 版的變更:
- 已更新使用者和裝置實體欄位,以配合其他架構。
- 已
TargetDvc將和SrcDvc分別重新命名為Target和Src,以符合目前的 ASIM 指導方針。 重新命名的欄位將會實作為別名,直到 2022 年 7 月 1 日為止。 這些欄位包括:SrcDvcHostname、、SrcDvcTypeTargetDvcHostnameTargetDvcHostnameTypeSrcDvcHostnameTypeSrcDvcIpAddr、TargetDvcType、TargetDvcIpAddr和 。TargetDvc - 新增別名
Src與Dst。 - 新增欄位
SrcDvcIdType、SrcDeviceType、TargetDvcIdType與TargetDeviceType與 。EventSchema
這些是架構 0.1.2 版的變更:
- 新增欄
ActorScope位、TargetUserScope、、、SrcDvcScopeId、TargetDvcScopeIdSrcDvcScope、TargetDvcScope、DvcScopeId和DvcScope。
這些是架構 0.1.3 版的變更:
- 已新增 、、、
ActorScopeIdTargetOriginalUserTypeTargetUserScopeIdSrcRiskLevelSrcDescription、SrcOriginalRiskLevel、 和 欄位。SrcPortNumberTargetDescriptionActorOriginalUserType - 已新增檢查欄位
- 已新增目標系統地理位置欄位。
下一步
如需詳細資訊,請參閱