Microsoft Sentinel警示架構旨在將來自不同產品的安全相關警示標準化Microsoft納入先進安全資訊模型 (ASIM) 標準化格式。 此架構專注於安全事件,確保不同資料來源間的分析一致且高效。
警示架構代表各種類型的安全警示,例如威脅、可疑活動、使用者行為異常及合規違規。 這些警示由不同的安全產品與系統回報,包括但不限於電子設備管理系統(EDR)、防毒軟體、入侵偵測系統、資料遺失防護工具等。
欲了解更多關於Microsoft Sentinel正規化的資訊,請參閱 ASIM) 正規化及先進安全資訊模型 (。
解析器
欲了解更多關於 ASIM 解析器的資訊,請參閱 ASIM 解析器概述。
統一解析器
要使用統一所有 ASIM 現成解析器並確保分析能跨越所有設定來源的解析器,請使用解析 _Im_AlertEvent 器。
開箱即用、針對來源的特定解析器
關於 Microsoft Sentinel 開箱即用的 Alert 解析器清單,請參考 ASIM 解析器清單。
加入你自己的正規化解析器
在為警示資訊模型 開發自訂解析器 時,請使用以下語法命名你的 KQL 函式:
-
vimAlertEvent<vendor><Product>對於參數化解析器 -
ASimAlertEvent<vendor><Product>對於一般解析器
請參閱文章 《管理 ASIM 解析器 》,了解如何將自訂解析器加入警報統一解析器中。
過濾解析器參數
Alert 解析器支援多種 過濾參數 以提升查詢效能。 這些參數是可選的,但能提升查詢效能。 以下過濾參數可用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| 開始時間 | datetime | 只篩選從此時間開始或之後開始的警示。 此參數會在欄位上過濾 TimeGenerated ,欄位是事件時間的標準指示符,無論 EventStartTime 與 EventEndTime 欄位的解析器特定映射為何。 |
| 末日 | datetime | 只篩選從此時間開始或更早開始的警示。 此參數會在欄位上過濾 TimeGenerated ,欄位是事件時間的標準指示符,無論 EventStartTime 與 EventEndTime 欄位的解析器特定映射為何。 |
| ipaddr_has_any_prefix | 動態 | 只過濾那些「 DvcIpAddr」 欄位在列出值中出現的警示。 |
| hostname_has_any | 動態 | 只過濾包含 「DvcHostname」 欄位的警報。 |
| username_has_any | 動態 | 只過濾包含 「使用者名稱」 欄位的警示。 |
| attacktactics_has_any | 動態 | 只篩選包含 「AttackTactics」 欄位的警報。 |
| attacktechniques_has_any | 動態 | 只過濾包含 「攻擊技術」 欄位的警報。 |
| threatcategory_has_any | 動態 | 只過濾那些「 ThreatCategory」 欄位在列出值中出現的警報。 |
| alertverdict_has_any | 動態 | 僅篩選包含 「AlertVerdict」 欄位的警報。 |
| eventseverity_has_any | 動態 | 只過濾「 事件嚴重度」 欄位位於列出值中的警報。 |
架構概述
警示架構服務多種安全事件,這些事件共用相同欄位。 這些事件由 EventType 欄位識別:
- 威脅資訊:與各種惡意活動相關的警示,如惡意軟體、網路釣魚、勒索軟體及其他網路威脅。
- 可疑活動:針對不一定是確定威脅,但可疑且需進一步調查的活動警示,例如多次登入失敗或存取受限檔案。
- 使用者行為異常:提示異常或意外的使用者行為,可能暗示安全問題,如異常登入時間或異常資料存取模式。
- 合規違規:與未遵守法規或內部政策相關的警示。 例如,一台公開埠口開放、易受雲端安全警示攻擊 (的虛擬機) 。
重要事項
為維持警示架構的相關性與效能,僅應映射與安全相關的警示。
警報架構指以下實體以擷取警報的詳細資訊:
-
DVC 欄位用於捕捉與警示相關的主機或 IP 的詳細資訊
-
使用者 欄位用來擷取與警示相關的使用者細節。
- 同樣地,Process、File、Url、Registry 和 Email 欄位也分別用來擷取與警示相關的流程、檔案、網址、登錄檔和電子郵件的關鍵細節。
重要事項
- 在建立產品專屬解析器時,當警報包含安全事件或潛在威脅資訊時,請使用 ASIM 警示結構,且主要細節可直接映射到可用的警示結構欄位。 Alert 架構非常適合擷取摘要資訊,無需龐大的實體特定欄位。
- 然而,如果你發現因為缺乏直接欄位匹配而將重要欄位置於「額外欄位」中,請考慮更專門化的架構。 例如,如果警報包含多個網路相關細節,如 SrcIpAdr、DstIpAddr、PortNumber 等,則你可以選擇 NetworkSession 架構而非警報架構。 專門架構也提供專屬欄位,用以捕捉威脅相關資訊,提升資料品質並促進高效分析。
結構細節
常見的ASIM欄位
以下列表提及對警報事件有特定指引的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventType | 強制性 | 列舉 | 活動類型。 支援的值有: - Alert |
| 事件子類型 | 建議 | 列舉 | 指定警報事件的子類型或類別,提供更細緻的事件分類細節。 此欄位有助於區分偵測到的問題性質,提升事件優先順序與應對策略。 支持的價值觀包括: - Threat (代表已確認或極有可能的惡意活動,可能危及系統或網路)- Suspicious Activity (標記那些看似異常或可疑但尚未被確認為惡意的行為或事件)- Anomaly (識別可能顯示潛在安全風險或操作問題的偏離模式)- Compliance Violation (強調違反法規、政策或合規標準的行為) |
| 最終 | 強制性 | 字串 | 一個機器可讀的字母數字字串,能唯一識別系統內的警示。 例如: A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| 活動訊息 | 選用 | 字串 | 關於警報的詳細資訊,包括其背景、原因及潛在影響。 例如: Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | 別名 | 田野的別名或友善名稱 DvcIpAddr 。 |
|
| 主機名稱 | 別名 | 田野的別名或友善名稱 DvcHostname 。 |
|
| 事件架構 | 強制性 | 列舉 | 活動所使用的架構。 此處所記錄的結構模式為 AlertEvent。 |
| 事件架構版本 | 強制性 | SchemaVersion 的 (字串) | 那個版本的架構。 此處所記錄的結構版本為 0.1。 |
所有公共領域
下表中出現的欄位是所有 ASIM 架構共有的。 上述任何指引都凌駕於該領域的一般指引之上。 例如,某個欄位一般可能是可選的,但在特定結構中卻是強制的。 欲了解更多各領域的資訊,請參閱 ASIM 的「共同領域 」條目。
| 類別 | Fields |
|---|---|
| 強制性 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 最終 - EventProduct - EventVendor - 事件架構 - 事件架構版本 |
| 建議 |
-
事件子類型 - 事件嚴重度 - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DVCID - DvcIdType |
| 選用 |
-
活動訊息 - 事件原創類型 - 事件原始子類型 - 事件原始嚴重度 - 事件產品版本 - 事件原創 - 事件報告網址 - 事件結果 - 活動擁有者 - DvcZone - DvcMacAddr - DVCOS - DvcOS 版本 - Dvc行動 - DVC原創行動 - Dvc介面 - 額外欄位 - DVC說明 - DvcScopeID - DvcScope(視覺化器) |
檢查場
下表涵蓋了提供關鍵洞見的欄位,說明與警示相關的規則與威脅。 這些因素共同豐富了警報的背景,使安全分析師更容易理解其起源與重要性。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 警報識別 | 別名 | 字串 | 田野的別名或友善名稱 EventUid 。 |
| 警報名稱 | 建議 | 字串 | 警報標題或名稱。 例如: Possible use of the Rubeus kerberoasting tool |
| 警示描述 | 別名 | 字串 | 田野的別名或友善名稱 EventMessage 。 |
| AlertVerdict 警示判決 | 選用 | 列舉 | 警示的最終判斷或結果,指示警示是否被確認為威脅、被視為可疑,或是誤判。 支援的值有: - True Positive (確認為真正的威脅)- False Positive (被錯誤認定為威脅)- Benign Positive (當事件被判定為無害時)- Unknown (狀態不確定或未確定) |
| 警戒狀態 | 選用 | 列舉 | 顯示警報的當前狀態或進度。 支援的值有: - Active- Closed |
| 警報原始狀態 | 選用 | 字串 | 由起始系統回報的警報狀態。 |
| 偵測方法 | 選用 | 列舉 | 提供有關特定偵測方法、技術或資料來源的詳細資訊,這些方法有助於警示產生。 此領域提供更深入的洞察,了解警示如何被偵測或觸發,有助於理解偵測情境與可靠性。 支持的價值觀包括: - EDR:端點偵測與回應系統,監控並分析端點活動以識別威脅。- Behavioral Analytics:偵測使用者、裝置或系統行為異常模式的技術。- Reputation:基於IP位址、網域或檔案的聲譽進行威脅偵測。- Threat Intelligence:外部或內部情報來源,提供已知威脅或敵方戰術的資料。- Intrusion Detection:監控網路流量或活動以偵測入侵或攻擊跡象的系統。- Automated Investigation:自動化系統能分析並調查警示,減輕人工工作負擔。- Antivirus:傳統防毒引擎,根據特徵碼和啟發式偵測惡意軟體。- Data Loss Prevention:專注於防止未經授權資料傳輸或外洩的解決方案。- User Defined Blocked List:使用者自訂清單,用以封鎖特定 IP、網域或檔案。- Cloud Security Posture Management:評估與管理雲端環境安全風險的工具。- Cloud Application Security:保護雲端應用與資料安全的解決方案。- Scheduled Alerts:根據預先定義的排程或門檻產生的警報。- Other:上述類別未涵蓋的其他偵測方法。 |
| Rule | 別名 | 字串 | 要麼是 RuleName 的值,要麼是 RuleNumber 的值。 如果使用 RuleNumber 的值,該型別應轉換為字串。 |
| 規則編號 | 選用 | int | 與警報相關的規則編號。 例如: 123456 |
| 規則名稱 | 選用 | 字串 | 與警示相關的規則名稱或 ID。 例如: Server PSEXEC Execution via Remote Access |
| 規則描述 | 選用 | 字串 | 與警報相關的規則說明。 例如: This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| 威脅本體 | 選用 | 字串 | 警示中識別出的威脅或惡意軟體的識別碼。 例如: 1234567891011121314 |
| 威脅名稱 | 選用 | 字串 | 警示中識別的威脅或惡意軟體名稱。 例如: Init.exe |
| 威脅首次報告時間 | 選用 | datetime | 威脅首次被通報的日期和時間。 例如: 2024-09-19T10:12:10.0000000Z |
| 威脅最後報告時間 | 選用 | datetime | 威脅最後一次被通報的日期和時間。 例如: 2024-09-19T10:12:10.0000000Z |
| 威脅類別 | 建議 | 列舉 | 警示中識別的威脅或惡意軟體類別。 支援的值為:、、、 CryptominorSpoofingSpywareRootkitPhishingMaliciousUrlSecurity Policy ViolationWormSpamVirusAdwareTrojanRansomwareMalwareUnknown |
| 威脅原始分類 | 選用 | 字串 | 由起源系統報告的威脅類別。 |
| 威脅是活躍的 | 選用 | bool | 顯示威脅是否仍在運作中。 支援的值有: True, False |
| 威脅風險等級 | 選用 | 風險等級 (整數) | 威脅相關的風險等級。 等級應該是 0 到 100 之間的數字。 注意:該值可能在來源記錄中透過使用不同的刻度來提供,該刻度應被正規化至該刻度。 原始值應該儲存在 ThreatRiskLevelOriginal。 |
| 威脅原始風險等級 | 選用 | 字串 | 原始系統報告的風險等級。 |
| 威脅信心 | 選用 | 信心水準 (整數) | 所識別威脅的信心等級,標準化為0到100之間的值。 |
| 威脅原創自信 | 選用 | 字串 | 由原始系統報告的信心水準。 |
| 指示類型 | 建議 | 列舉 | 指標的類型或類別 支援的值有: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| 指標協會 | 選用 | 列舉 | 指定該指標是否與威脅相關或直接受影響。 支援的值有: - Associated- Targeted |
| 攻擊戰術 | 建議 | 字串 | 攻擊策略 (名稱、ID 或兩者) 與警報相關聯。 偏好格式: 例如: Persistence, Privilege Escalation |
| 攻擊技術 | 建議 | 字串 | 攻擊技術 (名稱、ID 或兩者) 與警報相關聯。 偏好格式: 例如: Local Groups (T1069.001), Domain Groups (T1069.002) |
| 攻擊修復步驟 | 建議 | 字串 | 建議的行動或步驟,以減輕或修復已識別的攻擊或威脅。 例如: 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
使用者欄位
本節定義與識別及分類與警示相關使用者的欄位,提供受影響使用者及其身份格式的明確說明。 如果警示包含多個超出此處映射範圍的使用者相關欄位,您可以考慮是否更適合使用專門的結構,如認證事件結構,來完整呈現資料。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| UserId | 選用 | 字串 | 一個機器可讀、以字母數字組成、與警示相關的使用者獨特表示方式。 例如: A1bC2dE3fH4iJ5kL6mN7o |
| 使用者IdType | 條件式 | 列舉 | 使用者ID的類型,例如 GUID、、 SID或 Email。支援的值有: - GUID- SID- Email- Username- Phone- Other |
| Username | 建議 | 使用者名稱 (字串) | 與警示相關的使用者名稱,包括網域資訊(如有)。 例如或 Contoso\JSmithjohn.smith@contoso.com |
| 使用者 | 別名 | 字串 | 田野的別名或友善名稱 Username 。 |
| 使用者名稱類型 | 條件式 | 使用者名稱類型 | 指定欄位中儲存 Username 的使用者名稱類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UsernameType。例如: Windows |
| UserType | 選用 | UserType | 演員的類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserType。 例如: Guest |
| 原始使用者類型 | 選用 | 字串 | 使用者類型由報告裝置回報。 |
| UserSessionID | 選用 | 字串 | 與警示相關的使用者會話唯一 ID。 例如: a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| 使用者範圍ID | 選用 | 字串 | 範圍 ID,例如 Microsoft Entra 目錄 ID,定義了 UserID 和 Username。 例如: a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| 使用者範圍 | 選用 | 字串 | 範圍,例如 Microsoft Entra 租戶,定義了 UserId 和 Username。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserScope。 例如: Contoso Directory |
製程場
此區塊允許您使用指定欄位擷取與警示相關的流程實體相關細節。 如果警示包含超出此處映射的詳細流程相關欄位,您可以考慮是否更適合使用專門的結構,如流程事件結構,來完整呈現資料。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ProcessID | 選用 | 字串 | 程序識別碼 (PID,) 與警示相關聯。 例如: 12345678 |
| ProcessCommandLine | 選用 | 字串 | 用命令列啟動這個程序。 例如: "choco.exe" -v |
| 程序名稱 | 選用 | 字串 | 流程名稱。 例如: C:\Windows\explorer.exe |
| ProcessFileCompany | 選用 | 字串 | 製作流程影像檔案的公司。 例如: Microsoft |
檔案欄位
此區塊可讓您擷取與警報相關的檔案實體相關細節。 如果警報包含超出此處映射的詳細檔案相關欄位,您可以考慮是否更適合使用專門的結構,如檔案事件結構,來完整呈現資料。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| FileName | 選用 | 字串 | 與警報相關的檔案名稱,沒有路徑或位置。 例如: Notepad.exe |
| FilePath | 選用 | 字串 | 目標檔案的完整正規化路徑,包括資料夾或位置、檔名及副檔名。 例如: C:\Windows\System32\notepad.exe |
| FileSHA1 | 選用 | 字串 | 檔案的 SHA1 雜湊值。 例如: j5kl6mn7op8qr9st0uv1 |
| 檔案SHA256 | 選用 | 字串 | 檔案的 SHA256 雜湊值。 例如: a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| 檔案MD5 | 選用 | 字串 | 檔案的 MD5 雜湊值。 例如: j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | 選用 | long | 檔案大小以位元組為單位。 例如: 123456 |
網址欄位
如果您的警示包含 URL 實體資訊,以下欄位可擷取與 URL 相關的資料。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Url | 選用 | 字串 | 警示中擷取的網址字串。 例如: https://contoso.com/fo/?k=v&q=u#f |
登錄欄位
如果您的警示包含註冊機構的詳細資訊,請使用以下欄位擷取特定登記相關資訊。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 登錄鑰匙 | 選用 | 字串 | 與警示相關的登錄檔金鑰,並標準化為標準根金鑰命名慣例。 例如: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| 登錄值 | 選用 | 字串 | 登錄值。 例如: ImagePath |
| RegistryValueData | 選用 | 字串 | 登錄檔值的資料。 例如: C:\Windows\system32;C:\Windows; |
| 登錄值類型 | 選用 | 列舉 | 登錄值的類型。 例如: Reg_Expand_Sz |
Email 欄位
如果您的警示包含電子郵件實體資訊,請使用以下欄位擷取特定電子郵件相關細節。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 電子郵件訊息ID | 選用 | 字串 | 電子郵件訊息的唯一識別碼,與警報相關聯。 例如: Request for Invoice Access |
| EmailSubject | 選用 | 字串 | 電子郵件主題。 例如: j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
結構匯報
以下是各種版本結構的變更:
- 版本 0.1:初始發行。