先進安全資訊模型 (ASIM) 架構是一組代表活動或實體的欄位。 在查詢中使用正規化結構中的欄位,確保查詢能對所有正規化來源正常運作。
要了解結構如何融入 ASIM 架構,請參閱 ASIM 架構圖。
活動/事件結構
結構參考描述構成每個結構的欄位。 ASIM 目前定義了以下事件架構:
| Schema | 測試的結構名稱 | 版本 | 狀態 |
|---|---|---|---|
| 警報事件 | AlertEvent |
0.1 | GA |
| 審核事件 | AuditEvent |
0.1.2 | GA |
| 認證事件 | Authentication |
0.1.4 | GA |
| DHCP 活動 | DhcpEvent |
0.1.1 | GA |
| DNS 活動 | Dns |
0.1.7 | GA |
| 檔案活動 | FileEvent |
0.2.2 | GA |
| 網路會議 | NetworkSession |
0.2.7 | GA |
| 流程事件 | ProcessEvent |
0.1.4 | GA |
| 登記處活動 | RegistryEvent |
0.1.3 | GA |
| 使用者管理 | UserManagement |
0.1.2 | GA |
| 網路會議 | WebSession |
0.2.7 | GA |
實體結構
ASIM 目前為實體定義了以下結構結構:
| Schema | 測試的結構名稱 | 版本 | 狀態 |
|---|---|---|---|
| 資產實體 | AssetEntity |
0.1.0 | GA |
對於屬於其他 ASIM 架構的實體,請參考 事件實體。
田地命名
每個結構的核心是其欄位名稱。 田名屬於以下群組:
- 所有結構共有的欄位。
- 針對特定結構的欄位。
- 代表參與結構的實體欄位,例如使用者。 代表實體的欄位 在不同結構中是相似的。
當來源欄位在文件結構中未出現時,會被正規化以維持一致性。 如果多出來的欄位代表實體,它們會根據實體欄位的指引進行正規化。 否則,模式會努力在所有模式間保持一致性。
例如,雖然 DNS 伺服器活動日誌不提供使用者資訊,但端點的 DNS 活動日誌可能包含使用者資訊,這些資訊可依使用者實體指引進行標準化。
公共領域
有些欄位是所有 ASIM 結構共有的。 每個結構可能會加入指引,說明在特定架構中使用某些常用欄位。 例如, EventType 欄位的允許值可能因結構而異, EventSchemaVersion 欄位的值也可能不同。
野外類別
欄位可能有數個類別,定義何時應由解析器實作欄位:
- 每個解析器中必須出現強制欄位。 如果你的來源沒有提供這個值的資訊,或資料無法以其他方式加入,那麼它就不支援大多數參考正規化結構的內容項目。
- 建議欄位若有正規化,應予以正規化。 不過,這些資料並非所有來源都能取得。 任何提及該標準化結構的內容項目都應該考慮可用性。
- 若有可選欄位,可正規化或保持原始形式。 通常,最小解析器不會因效能考量而正規化它們。
- 條件欄位是必須的,前提是條件欄位所跟隨的欄位已被填入。 條件欄位通常用來描述另一個欄位的值。 例如,共用欄位 DvcIdType 描述了 DvcId 共同欄位的值,因此如果該欄位被填入,則是必須的。
- 別名 是一種特殊類型的條件欄位,若填入已別名欄位,則是必須的。
事件實體
事件圍繞實體演化,例如使用者、主機、程序或檔案。 每個實體可能需要多個欄位來描述它。 例如,主機可能有一個名稱和一個 IP 位址。
單一紀錄可能包含多個相同類型的實體,例如來源主機與目的主機。
ASIM 定義了如何一致地描述實體,而實體則允許擴展結構。
例如,雖然網路會話結構不包含流程資訊,但某些事件來源會提供可新增的流程資訊。 欲了解更多資訊,請參閱 實體。
為了啟用實體功能,實體表示具有以下指引:
| 指導方針 | 描述 |
|---|---|
| 前綴與混疊 | 由於單一事件通常包含多個相同類型的實體,例如來源主機與目的地主機,因此會 使用前綴 來識別欄位所關聯的實體。 為了維持正規化,ASIM 使用一小組標準前綴,根據實體的特定角色挑選最合適的前綴。 如果某個類型的單一實體與事件相關,則不需要使用前綴。 此外,一組沒有前綴的欄位會將每種類型最常用的實體別名化。 |
| 識別碼與類型 | 正規化結構允許每個實體有多個識別碼,我們預期這些識別碼會在事件中共存。 如果來源事件有其他無法映射到正規化結構的實體識別碼,請保留原始碼形式或使用 AdditionalFields 動態欄位。 為了維護識別碼的型別資訊,應將該型別儲存在同名且帶有 Type 後綴的欄位中。 例如, UserIdType。 |
| 屬性 | 實體通常還有其他屬性,這些屬性不作為識別碼,也可以用描述符來限定。 例如,若來源使用者擁有網域資訊,正規化欄位為 SrcUserDomain。 |
欲了解更多具體實體類型資訊,請參閱:
欲了解更多完整實體架構資訊,請參閱:
別名
別名允許指定值有多個名稱。 在某些情況下,不同使用者期望欄位會有不同的名稱。 例如,在 DNS 術語中,你可能會預期有一個名為 DnsQuery 的欄位,但更一般來說,它會儲存一個網域名稱。 別名 網域 透過允許使用者同時使用兩個名稱來幫助使用者。
注意事項
別名旨在協助分析師進行互動式查詢。 在可重用內容(如 asn 自訂偵測、分析規則或工作簿)中使用查詢時,請使用別名欄位而非別名。 使用鋸齒欄位可確保效能提升、錯誤減少及查詢可讀性。
在某些情況下,別名的值可能是多個欄位之一,視事件中可用的值而定。 例如, Dvc 別名、別名為 DvcFQDN、 DvcId、 DvcHostname 或 DvcIpAddr 或 Event Product 欄位。 當別名可以有多個值時,其型別必須是字串,以容納所有可能的別名值。 因此,在為此類別名指派值時,務必使用 KQL 函式 tostring 將型別轉換成字串。
原生正規化資料表 不會包含別名,因為那會造成資料儲存重複。 取而代之的是存 根解析器 加入別名。 要在解析器中實作別名,請使用 extend 運算子建立原始值的副本。
邏輯類型
每個結構欄位都有一個型別。 Log Analytics 工作區的資料類型有限。 因此,Microsoft Sentinel 在許多結構欄位使用邏輯型別,Log Analytics 不會強制執行,但這是結構相容性所必需的。 邏輯欄位類型確保值與欄位名稱在不同來源間保持一致。
| 資料類型 | 物理類型 | 形式與價值 |
|---|---|---|
| 布林值 | 布林值 | 使用內建的 KQL bool 資料型別,而非數值或字串的布林值表示。 |
| 列舉 | 字串 | 欄位明確定義的數值清單。 結構定義列出了被接受的值。 |
| 日期/時間 | 依照擷取方法的能力,請依優先順序由序使用以下任一物理表示: - Log Analytics 內建 datetime 類型 - 一個使用 Log Analytics 日期時間數值表示的整數欄位。 - 使用 Log Analytics 日期時間數值表示的字串欄位 - 一個字串欄位,儲存支援的 日誌分析日期/時間格式。 |
Log Analytics 的日期與時間表示 方式與 Unix 時間表示方式相似但不同。 欲了解更多資訊,請參閱 轉換指引。 注意:若適用,時間應調整時區。 |
| MAC 位址 | 字串 | Colon-Hexadecimal 記號。 |
| IP 位址 | 字串 | Microsoft Sentinel 架構沒有分別的 IPv4 和 IPv6 位址。 任何 IP 位址欄位可能包含 IPv4 或 IPv6 位址,具體如下: - IPv4 以點十進位表示。 - IPv6 採用 8 hextet 表示法,允許簡短形式。 例如: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6 簡短表: 1080::8:800:200C:417A |
| FQDN | 字串 | 一個使用點符號的完全限定網域名稱,例如。 learn.microsoft.com 欲了解更多資訊,請參閱 裝置實體。 |
| 主機名稱 | 字串 | 非 FQDN 的主機名稱包含最多 63 個字元,包括字母、數字和連字號。 欲了解更多資訊,請參閱 裝置實體。 |
| 網域 | 字串 | FQDN 的網域部分,例如,沒有主機名稱。 learn.microsoft.com 欲了解更多資訊,請參閱 裝置實體。 |
| 網域類型 | 列舉 | 儲存在 domain 與 FQDN 欄位中的網域類型。 欲了解數值列表及更多資訊,請參閱 裝置實體。 |
| DvcIdType | 列舉 | DvcId 欄位中儲存的裝置 ID 類型。 關於允許的值列表及更多資訊,請參考 DvcIdType。 |
| 裝置類型 | 列舉 | 裝置類型儲存在 DeviceType 欄位中。 可能的值包括: - Computer- Mobile Device- IOT Device- Other. 欲了解更多資訊,請參閱 裝置實體。 |
| 用戶名 | 字串 | 一個有效的使用者名稱,且是支援 類型之一。 欲了解更多資訊,請參閱 使用者實體。 |
| 使用者名稱類型 | 列舉 | 使用者名稱欄位中儲存的使用者名稱類型。 欲了解更多資訊及支援值清單,請參閱 使用者實體。 |
| 使用者IdType | 列舉 | 使用者ID欄位中儲存的ID類型。 支援值為 SID、 UIS、 AADID、 OktaIdAWSIdPUID、 和 。 欲了解更多資訊,請參閱 使用者實體。 |
| 使用者類型 | 列舉 | 使用者的類型。 欲了解更多資訊及允許值清單,請參閱 使用者實體。 |
| AppType | 列舉 | 申請的類型。 有關支援值的清單,請參見 應用程式實體。 |
| 國家/地區 | 字串 | 依照以下優先順序使用 ISO 3166-1 的字串: - Alpha-2 代碼,例如 US美國。 - Alpha-3 代碼,例如 USA美國。 - 簡稱。 代碼列表可在 國際標準組織 (ISO) 網站上找到。 |
| 地區 | 字串 | 國家/地區的細分名稱,使用 ISO 3166-2。 代碼列表可在 國際標準組織 (ISO) 網站上找到。 |
| City | 字串 | |
| 經度 | 雙精度浮點數 | ISO 6709 座標表示 (有符號十進位) 。 |
| 緯度 | 雙精度浮點數 | ISO 6709 座標表示 (有符號十進位) 。 |
| MD5 | 字串 | 32 個六角格的字元。 |
| SHA1 | 字串 | 40 六角位字元。 |
| SHA256 | 字串 | 64 個十六進位字元。 |
| SHA512 | 字串 | 128 個十六進位字元。 |
| 信心水準 | 整數 | 置信水準標準化為0到100。 |
| 風險等級 | 整數 | 風險等級標準化為0到100。 |
| SchemaVersion | 字串 | ASIM 架構版本的格式 <major>.<minor>.<sub-minor> |
| DnsQueryClassName | 字串 | DNS 類別名稱。 |
| Username | 字串 | 簡單或網域限定的使用者名稱 |
範例實體映射
本節以 Windows 事件 4624 為例,說明事件資料如何為 Microsoft Sentinel 標準化。
此活動包含以下實體:
| Microsoft 術語 | 原始事件欄位前綴 | ASIM 欄位前綴 | 描述 |
|---|---|---|---|
| 主旨 | Subject |
Actor |
那位通報成功登入資訊的使用者。 |
| 新羅貢 | Target |
TargetUser |
登入的使用者。 |
| 程序 | - | ActingProcess |
嘗試登入的流程。 |
| 網路資訊 | - | Src |
就是用來嘗試簽到的機器。 |
基於這些實體, Windows 事件 4624 的標準化如下 (部分欄位為可選) :
| 正規化場 | 原始場地 | 範例中的價值 | 附註 |
|---|---|---|---|
| 演員使用者ID | 主旨使用者Sid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | 主旨域名\主旨使用者名稱 | 工作小組\WIN-GG82ULGC9GO$ | 由兩個欄位串接而成 |
| ActorUserNameType | - | Windows | |
| 演員會話ID | 主旨LogonID | 0x3e7 | |
| 目標使用者ID | 目標使用者Sid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | 目標使用者Sid | 別名 | |
| TargetUserIdType | - | SID | |
| 目標使用者名稱 | TargetDomainName\ TargetUserName | 管理員\WIN-GG82ULGC9GO$ | 由兩個欄位串接而成 |
| Username | TargetDomainName\ TargetUserName | 別名 | |
| 目標使用者名稱類型 | - | Windows | |
| 目標會話ID | 目標登入 | 0x8dcdc | |
| 代理過程名稱 | 程序名稱 | C:\Windows\System32\svchost.exe | |
| 行動過程ID | ProcessID | 0x44c | |
| SrcHostname | 工作站名稱 | Windows | |
| SrcIpAddr | Ip位址 | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| 目標主機名稱 | 電腦 | 勝利GG82ULGC9GO | |
| 主機名稱 | 電腦 | 別名 |
後續步驟
本文概述了 Microsoft Sentinel 與 ASIM 中的正規化。
如需詳細資訊,請參閱: