Microsoft Sentinel 資產實體架構旨在將各種產品的資產標準化為 Microsoft 先進安全資訊模型(ASIM)中的標準化格式。 此架構專注於非 Microsoft 資料來源中的資產,確保分析一致性與效率。
資產是組織儲存、處理或管理的任何資料資源,例如檔案或網站。 每個資產都包含與安全相關的元資料,包括所有權、權限、敏感性分類及風險指標。 資產來源可能來自各種平台、資料庫、雲端儲存服務、SaaS 應用及本地系統,並以完整庫存快照或增量變更資料收集。
透過將資產資料標準化成統一架構,Microsoft Sentinel 使資安團隊能以一致的方式分析並關聯跨多元資料來源的資產資訊。 結構中的關鍵欄位包括 EntityId 和 EntityName 用於唯一識別資產、 AssetType 區分資產類型(如檔案或網站)、 AssetOwnerId 追蹤所有權、 AssetSensitivityLabelAssetOriginalDataClassificationType 資料分類上下文,以及 EntityFeedType 指示紀錄是完整庫存快照還是增量變更。 這種統一的表示方式驅動了下游情境,例如識別過度共享的敏感檔案、追蹤權限變更、偵測未受保護的資產,以及透過整合如 Microsoft Purview 資料安全態勢管理(DSPM)在整個資料資產中揭露風險。
使用該架構使 Microsoft Purview DSPM 能管理跨 Microsoft 及合作夥伴平台的資料安全態勢。 欲了解更多資訊,請參閱 Ignite 2025 發布 的 DSPM 合作夥伴生態系統介紹公告。
欲了解更多關於Microsoft Sentinel正規化的資訊,請參閱正規化與先進安全資訊模型(ASIM)。
剖析器
如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀。
統一剖析器
要使用統一所有 ASIM 現成解析器並確保分析能跨越所有設定來源的解析器,請使用解析 _Im_AssetEntity 器。
新增您自己的標準化剖析器
在為資產實體 架構開發自訂解析器 時,請使用以下語法命名你的 KQL 函式:
-
vimAssetEntity<vendor><Product>用於參數化剖析器 -
ASimAssetEntity<vendor><Product>適用於一般剖析器
請參考 《管理 ASIM 解析器 》一文,了解如何將自訂解析器加入統一解析器中。
篩選剖析器參數
資產實體解析器支援各種 過濾參數 以提升查詢效能。 這些參數是選擇性參數,但可以增強查詢效能。 下列篩選參數可供使用:
| 名稱 | 類型 | 說明 |
|---|---|---|
| starttime | 日期時間 | 只過濾在此期間或之後被吸收的資產。 此參數會在欄位上過濾 EntityIngestionTime ,欄位是資產時間的標準標示。 |
| endtime | 日期時間 | 只過濾在此時間或之前被匯入的資產。 此參數會在欄位上過濾 EntityIngestionTime ,欄位是資產時間的標準標示。 |
| entityid_has_any | dynamic | 只過濾包含 「EntityId」 欄位的資產。 |
| entityname_has_any | dynamic | 只篩選「 EntityName」 欄位出現在列出值中的資產。 |
| assettype_in | 字串 | 只過濾「 AssetType」 欄位等於參數值的資產。 |
| path_has_any | dynamic | 只篩選「 FilePath」 或 「SitePath」 欄位出現在列出值中的資產。 |
| assetowner_has_any | dynamic | 僅篩選在列出的值中標示 「AssetOwner」 或 「AdditionalAssetOwners」 欄位的資產。 |
| entitysource_has_any | dynamic | 只篩選包含 「EntitySource」 欄位的資產。 |
架構詳細數據
常見的ASIM實體欄位
以下列表提及實體架構欄位及其對資產實體的具體指引:
| 領域 | Class | 類型 | 說明 |
|---|---|---|---|
| EntityUpdatedTime | 強制的 | 日期時間 | 實體在來源更新或收集的時間戳(UTC)。 |
| 實體擷取時間 | 可選 | 日期時間 | 資料擷取管線接收資產日誌的時間戳(UTC)。 |
| 實體標識符 | 強制的 | 字串 | 資產的唯一識別碼。 |
| EntityOriginalId(原始身份) | 可選 | 字串 | 如果資產與 'EntityId' 不同,則該資產在來源的唯一識別碼。 |
| EntityName | 強制的 | 字串 | 實體的名稱。 |
| EntityNameType | 建議 | 字串 | 實體名稱的類型。 |
| EntityVendor | 強制的 | 字串 | 是舉報該實體的供應商或服務提供者。 |
| 實體來源 | 強制的 | 字串 | 提供實體紀錄的資料來源或連接器。 |
| 實體產品 | 強制的 | 字串 | 與通報該實體的來源相關聯的產品名稱。 |
| 實體子產品 | 強制的 | 字串 | 與回報該實體的來源相關的子產品或元件名稱。 |
| EntityCreatedTime | 強制的 | 日期時間 | 該實體最初在原始系統中建立的時間戳(UTC)。 |
| EntityLastAccessedTime | 可選 | 日期時間 | 該實體最後被存取的時間戳記(UTC)。 |
| EntityLastModifiedTime | 強制的 | 日期時間 | 該實體最後一次在來源系統中被修改的時間戳記(UTC)。 |
| EntityIsdeleted | 可選 | 布爾 (bool) | 顯示該實體是否已在原始系統中被刪除。 |
| EntityFeedType | 強制的 | 列舉 | 提供實體紀錄的資料饋源類型或類別。 允許的值為: Snapshot 或 Changefeed。 |
| 實體架構 | 強制的 | 列舉 | 該實體所使用的架構。 這裡記載的架構為 Asset。 |
| EntitySchemaVersion | 強制的 | SchemaVersion(字串) | 模式的版本。 這裡記載的架構版本為 0.1.0。 |
資產所有人欄位
本節定義資產所有人的資訊。 如果你的資產有多位擁有者,請同時填 AssetOwnerId 入欄位和 AdditionalAssetOwners。
AdditionalAssetOwners 應該是一個字串陣列,且字串格式必須與 AssetOwnerId相同。
| 領域 | Class | 類型 | 說明 |
|---|---|---|---|
| 資產擁有者ID | 強制的 | 字串 | 機器可讀取、英數位元、動作專案的唯一表示法。 如需詳細資訊,以及其他標識碼的替代字段,請參閱 用戶實體。 |
| 資產擁有者類型 | 建議 | 字串 | 資產所有人識別碼的類型或格式。 這與事件結構中的情況類似 UserIdType 。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserIdType。 |
| 資產擁有者類型 | 可選 | 字串 | 資產所有人的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。 |
| 資產擁有者範圍 | 可選 | 字串 | 資產所有人所屬的組織或行政範圍。 |
| 資產擁有者範圍ID | 可選 | 字串 | 資產所有人所屬範圍的識別碼。 |
| 額外資產擁有人 | 可選 | dynamic | 一組與資產相關的額外擁有者或共同擁有者動態集合。 這必須是一 組字串的陣列。 |
資產元資料欄位
| 領域 | Class | 類型 | 說明 |
|---|---|---|---|
| AADTenantId | 強制的 | 字串 | 與資產或實體相關的 Azure Active Directory 租戶識別碼。 |
| 身份目錄名稱 | 可選 | 字串 | 與該實體相關的身份目錄名稱,例如 Azure AD、GCP、AWS。 |
| IdentityDirectoryID | 強制的 | 字串 | 與實體相關聯的身份目錄識別碼。 |
| 額外欄位 | 可選 | dynamic | 關於實體的額外資訊,這些資訊在結構中其他欄位中未被捕捉。 |
資產類型欄位
本節定義資產類型的資訊。 目前支援的類型有 File 和 Site。 資產類型的額外屬性應該會被填入。
| 領域 | Class | 類型 | 說明 |
|---|---|---|---|
| 資產類型 | 強制的 | 字串 | 資產的高階類型。 允許與支援的值為: File, Site。 |
| 資產原始類型 | 建議 | 字串 | 原始名稱為來源資產的高階類型。 |
資產安全領域
本節記錄資產的安全狀態與暴露情境,包括來源權限、敏感度與資料分類細節、DLP 防護狀態、相關威脅指標,以及最後一次分類掃描時間。 同時包含內部與外部使用者存取計數,以協助評估潛在的暴露情況。
| 領域 | Class | 類型 | 說明 |
|---|---|---|---|
| 資產原始權限 | 可選 | dynamic | 原始權限集由來源系統回報時分配給該資產。 |
| 資產敏感標籤 | 強制的 | 字串 | 敏感度標籤套用在資產上。 允許的值為:Personal、Public、General、ConfidentialHighly Confidential、。 |
| 資產原始敏感度等級 | 可選 | 字串 | 來源系統在正規化前報告的靈敏度等級。 |
| 資產被DLP保護 | 可選 | 布爾 (bool) | 表示資產是否受到資料遺失防護(DLP)政策的保護。 |
| 資產相關指標 | 可選 | dynamic | 一組動態的威脅指標或訊號,與該資產相關。 |
| 資產原始資料分類類型 | 強制的 | dynamic | 原始資料分類類型由來源系統回報給資產。 這必須是一個 字串陣列*。 |
| 資產分類最後掃描日期 | 強制的 | 日期時間 | 資產最後一次掃描資料分類的時間戳記(UTC)。 |
| 內部使用者計數 | 可選 | int | 與該資產相關或有權限存取的內部使用者人數。 |
| 外部使用者計數 | 可選 | int | 與該資產相關或有權限存取的外部使用者數量。 |
資產風險領域
本節捕捉資產的風險背景,包括標準化及來源報告的風險名稱與等級、首次與最後報告時間戳,以及提供者特定的風險細節。
| 領域 | Class | 類型 | 說明 |
|---|---|---|---|
| AssetRiskName | 可選 | 字串 | 與該資產相關的風險或威脅的標準化名稱。 |
| 資產風險等級 | 可選 | 列舉 | 資產被分配的標準化風險等級。 允許的值為:Info, Low, Medium, HighCriticalOther, 。 |
| 資產原始風險等級 | 可選 | 字串 | 來源系統在正規化前所報告的資產風險等級。 |
| 資產風險優先報告時間 | 可選 | 日期時間 | 資產相關風險首次被報告的時間戳記(UTC)。 |
| 資產風險最後報告時間 | 可選 | 日期時間 | 該資產相關風險最近一次報告的時間戳記(UTC)。 |
| 資產原始風險詳細資料 | 可選 | dynamic | 資料來源系統提供資產的完整風險細節。 |
檔案(資產類型)欄位
本節捕捉檔案專屬資產屬性。 如果是AssetType檔案,屬性應該會被填入。
| 領域 | Class | 類型 | 說明 |
|---|---|---|---|
| FilePath | 可選 | 字串 | 與資產相關聯的檔案完整路徑。 |
| FileSize | 可選 | long | 檔案的大小 (以位元組為單位)。 |
| FileMD5 | 可選 | 字串 | 與該資產相關聯的檔案的 MD5 雜湊值。 |
| FileSHA1 | 可選 | 字串 | 與資產相關聯檔案的 SHA-1 雜湊值。 |
| FileSHA256 | 可選 | 字串 | 與資產相關檔案的 SHA-256 雜湊值。 |
| FileSHA512 | 可選 | 字串 | 與該資產相關檔案的 SHA-512 雜湊值。 |
| 文件副檔名 | 可選 | 字串 | 與資產相關聯的檔案副檔名,例如 .exe 或 .pdf。 |
| 檔案是簽名有效 | 可選 | 布爾 (bool) | 表示檔案的數位簽章是否有效。 |
| 檔案簽章細節 | 可選 | 字串 | 關於檔案數位簽章的詳細資訊,例如簽署者或憑證資訊。 |
網站(資產類型)欄位
本節擷取 SharePoint 網站資產的網站特定位置屬性。 如果是 AssetTypeSite,這些物業應該已經有人居住。
| 領域 | Class | 類型 | 說明 |
|---|---|---|---|
| SitePath | 可選 | 字串 | 與資產相關的網站路徑或儲存地點。 |
| SitePrimaryUri | 可選 | 字串 | 與資產相關的網站或儲存位置的主要 URI。 |
Aliases
| 領域 | Class | 類型 | 說明 |
|---|---|---|---|
| 資產路徑 | Alias | 字串 | 或 FilePath 或 的別名 SitePath |
| 使用者 | Alias | 字串 | 的 AssetOwnerId別名。 |
架構更新
以下是各種架構版本的變更:
- 版本 0.1.0:初始版本。
下一步
如需詳細資訊,請參閱: