Microsoft Sentinel 審計事件正規化架構代表與資訊系統稽核軌跡相關的事件。 稽核軌跡會記錄系統設定活動與政策變更。 這類變更通常由系統管理員執行,但使用者也可以在設定自己應用程式的設定時執行。
每個系統都會記錄稽核事件與核心活動日誌一同記錄。 例如,防火牆會記錄關於網路會話的事件,並稽核對防火牆本身所施加的設定變更事件。
欲了解更多關於Microsoft Sentinel正規化的資訊,請參閱 ASIM) 正規化及先進安全資訊模型 (。
架構概觀
審計事件的主要領域包括:
- 該物件,例如事件聚焦的受管理資源或政策規則,由欄位 Object 表示。 欄位 ObjectType 指定物件的類型。
- 物件的應用上下文,以 欄位 TargetAppName 表示,並以 Application 別名表示。
- 對物件執行的操作,以 EventType 和 Operation 這兩個欄位表示。 雖然 Operation 是來源報告的值,而 EventType 則是標準化版本,在不同來源間更為一致。
- 物件的舊值與新值(如適用)分別以 OldValue 與 NewValue 表示。
稽核事件也會參考以下參與配置操作的實體:
- 演員(Actor )-執行設定操作的使用者。
- TargetApp - 該設定操作適用的應用程式或系統。
- Target - TargetApp* 運行的系統。
- ActingApp - 演員用來執行設定操作的應用程式。
- Src - 演員 用來啟動 設定操作的系統,若與 目標不同。
描述符 Dvc 用於報告裝置,該裝置是終端點報告會話的本地系統,以及其他情況下的中介或安全裝置。
解析器
部署與使用 審計事件解析器
部署來自 Microsoft Sentinel GitHub 倉庫的 ASIM 稽核事件解析器。 要跨所有稽核事件來源查詢,請使用統一解析器 imAuditEvent 作為查詢中的資料表名稱。
欲了解更多使用 ASIM 解析器,請參閱 ASIM 解析器概述。 關於 Microsoft Sentinel 提供的稽核事件解析器清單,請參考 ASIM 解析器清單
加入你自己的正規化解析器
在實作檔案事件資訊模型的自訂解析器時,請使用以下語法命名你的 KQL 函式: imAuditEvent<vendor><Product>。 請參閱文章 《管理 ASIM 解析器 》,了解如何將自訂解析器加入審計事件統一解析器中。
過濾解析器參數
稽核事件解析器支援 過濾參數。 雖然這些參數是可選的,但它們能提升你的查詢效能。
以下過濾參數可用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| 開始時間 | datetime | 只篩選在此時間點或之後發生的事件。 此參數以欄位 TimeGenerated 作為事件的時間指示符。 |
| 末日 | datetime | 只篩選在此時間點或之前完成的事件查詢。 此參數以欄位 TimeGenerated 作為事件的時間指示符。 |
| srcipaddr_has_any_prefix | 動態 | 僅過濾來自此來源 IP 位址的事件,如 SrcIpAddr 欄位所示。 |
| eventtype_in | 字串 | 僅過濾事件類型中事件類型(如 EventType 欄位所示)為上述任何術語的事件。 |
| 事件結果 | 字串 | 僅過濾事件結果(如 EventResult 欄位所示)等於參數值的事件。 |
| actorusername_has_any | 動態/弦樂 | 僅篩選 ActorUsername 包含上述任何詞彙的事件。 |
| operation_has_any | 動態/弦樂 | 僅 過濾操作欄位 包含上述任何術語的事件。 |
| object_has_any | 動態/弦樂 | 僅 篩選物件欄位 包含上述任何術語的事件。 |
| newvalue_has_any | 動態/弦樂 | 僅篩選 NewValue 欄位包含所提供任何詞彙的事件。 |
某些參數可以接受 type 的 dynamic 值列表或單一字串值。 若要將文字列表傳給預期動態值的參數,請明確使用 動態文字。 例如:dynamic(['192.168.','10.'])
例如,若要僅篩選包含 installOperation 欄位 或 update 的稽核事件,從最後一天起,請使用:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
結構細節
常見的ASIM欄位
重要事項
所有結構共有的欄位可參考 ASIM 公共欄位 文章。
具有特定指引的共同領域
以下列表提及有特定審計事件指引的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 事件類型 | 強制性 | 列舉 | 描述事件所稽核的操作,使用正規化值。 使用 EventSubType 提供更多細節,但正規化值無法傳達這些細節,以及 Operation。 以儲存報告裝置所報告的操作。 對於稽核事件紀錄,允許的值為: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other 稽核事件代表了各種操作,而這個 Other 值使得對應的操作能夠映射出沒有對應 EventType的操作。 然而,使用該 Other 事件會限制事件的可用性,若可能應避免使用。 |
| 事件子類型 | 選用 | 字串 | 提供更多細節,而 EventType 的正規化值無法呈現這些。 |
| 事件架構 | 強制性 | 列舉 | 此處記錄的結構名稱為 AuditEvent。 |
| 事件架構版本 | 強制性 | SchemaVersion 的 (字串) | 那個版本的架構。 此處所記錄的結構版本為 0.1.2。 |
所有共同領域
表格中出現的欄位是所有 ASIM 結構共有的欄位。 本文件中所列的任何指導方針,均凌駕於該領域的一般指導方針之上。 例如,某個欄位一般可能是可選的,但在特定結構中卻是強制的。 欲了解更多相關資訊,請參閱 ASIM共同領域 文章。
| Class | Fields |
|---|---|
| 強制性 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 事件結果 - EventProduct - EventVendor - 事件架構 - 事件架構版本 - DVC |
| 建議 |
-
事件結果詳情 - 事件嚴重度 - 最終 - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DVCID - DvcIdType - Dvc行動 |
| 選用 |
-
活動訊息 - 事件子類型 - 事件原創 - 事件原創類型 - 事件原始子類型 - 事件原始結果細節 - 事件原始嚴重度 - 事件產品版本 - 事件報告網址 - 活動擁有者 - DvcZone - DvcMacAddr - DVCOS - DvcOS 版本 - DVC原創行動 - Dvc介面 - 額外欄位 - DVC說明 - DvcScopeID - DvcScope(視覺化器) |
審計領域
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 運作 | 強制性 | 字串 | 該作業依據報告裝置的報告進行稽核。 |
| 目的 | 強制性 | 字串 | EventType 所識別操作所執行的物件名稱。 |
| 物件識別 | 選用 | 字串 | EventType 所識別操作所執行物件的 ID。 |
| 物件類型 | 條件式 | 列舉 | 物件 的類型。 允許的值為: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| 原始物件類型 | 選用 | 字串 | 回報系統所回報的 物件 類型 |
| 舊價值 | 選用 | 字串 | 操作前的 舊 物件值(如適用)。 |
| 新價值 | 建議 | 字串 | 操作完成後的新 物件 值(如適用)。 |
| 價值 | 別名 | 新價值別名 | |
| 價值類型 | 條件式 | 列舉 | 舊價值觀與新價值觀的類型。 允許的值為 - 其他 |
演員欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 演員使用者ID | 選用 | 字串 | 一個機器可讀、字母數字、獨特的演員表示法。 欲了解更多資訊及其他 ID 的替代欄位,請參閱 使用者實體。 範例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| 演員範圍 | 選用 | 字串 | 範圍,例如 Microsoft Entra 網域名稱,定義了 ActorUserID 和 ActorUsername。 或更多資訊與允許值清單,請參閱結構概覽文章中的 UserScope。 |
| 演員範圍ID | 選用 | 字串 | 範圍 ID,例如 Microsoft Entra Directory ID,定義了 ActorUserID 和 ActorUsername。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserScopeId。 |
| ActorUserIdType | 條件式 | 列舉 | ActorUserId 欄位中儲存的 ID 類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserIdType。 |
| 演員用戶名 | 建議 | 用戶名 (String) | 演員的用戶名,包括網域資訊(如有)。 欲了解更多資訊,請參閱 使用者實體。 範例: AlbertE |
| 使用者 | 別名 | Alias to ActorUsername | |
| ActorUsernameType | 條件式 | 使用者名稱類型 | 指定儲存在 ActorUsername 欄位的使用者名稱類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UsernameType。 範例: Windows |
| 演員使用者類型 | 選用 | UserType | 演員的類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserType。 例如: Guest |
| 演員原始使用者類型 | 選用 | 字串 | 使用者類型由報告裝置回報。 |
| 演員會話ID | 選用 | 字串 | 演員登入會話的唯一 ID。 範例: 102pTUgC3p8RIqHvzxLCHnFlg |
目標應用欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetAppID | 選用 | 字串 | 事件所適用的應用程式識別碼,包括程序、瀏覽器或服務。 範例: 89162 |
| TargetAppName | 選用 | 字串 | 該事件所適用的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 範例: Exchange 365 |
| 應用 | 別名 | TargetAppName 的別名 | |
| TargetAppType | 條件式 | AppType | 代表行為人授權的申請類型。 欲了解更多資訊及允許的值清單,請參閱結構概覽文章中的 AppType。 |
| TargetOriginalAppType | 選用 | 字串 | 報告裝置報告所涵蓋事件的應用程式類型。 |
| 目標網址 | 選用 | URL | 與目標應用程式相關的網址。 範例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
目標系統場
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Dst(夏令時間) | 別名 | 字串 | 認證目標的唯一識別碼。 此欄位可別名 TargetDvcId、 TargetHostname、 TargetIpAddr、 TargetAppID 或 TargetAppName 欄位。 範例: 192.168.12.1 |
| 目標主機名稱 | 建議 | 主機名稱 | 目標裝置主機名稱,不包含網域資訊。 範例: DESKTOP-1282V4D |
| 目標領域 | 選用 | (字串) 域 | 目標裝置的網域。 範例: Contoso |
| 目標域類型 | 條件式 | 列舉 | 目標 域的類型。 關於允許的值列表及更多資訊,請參閱結構概覽文章中的 DomainType。 若使用 TargetDomain 則必須。 |
| 目標FQDN | 選用 | FQDN (字串) | 目標裝置主機名稱,包括網域資訊(若有)。 範例: Contoso\DESKTOP-1282V4D 注意:此欄位支援傳統 FQDN 格式及 Windows 網域/主機名稱格式。 TargetDomainType 反映所使用的格式。 |
| 目標描述 | 選用 | 字串 | 與裝置相關的描述文字。 例如:Primary Domain Controller。 |
| 目標DVCID | 選用 | 字串 | 目標裝置的ID。 如果有多個 ID,使用最重要的一個,其他則存於欄位 TargetDvc<DvcIdType>。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeID | 選用 | 字串 | 裝置所屬的雲端平台範圍 ID。 TargetDvcScopeId會映射到Azure上的訂閱ID,以及AWS上的帳戶ID。 |
| 目標DVC示波器 | 選用 | 字串 | 裝置所屬的雲端平台範圍。 TargetDvcScope 映射到 Azure 上的訂閱 ID 和 AWS 上的帳戶 ID。 |
| 目標DvcIdType | 條件式 | 列舉 |
TargetDvcID 的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DvcIdType。 若使用 TargetDeviceId ,則必須。 |
| 目標裝置類型 | 選用 | 列舉 | 目標裝置的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DeviceType。 |
| 目標 IpAddr | 建議 | IP 位址 | 目標裝置的 IP 位址。 範例: 2.2.2.2 |
| 目標DVCOS | 選用 | 字串 | 目標裝置的作業系統。 範例: Windows 10 |
| 目標港口編號 | 選用 | 整數 | 目標裝置的埠口。 |
| TargetGeoCountry | 選用 | 國家/地區 | 與目標 IP 位址相關的國家/地區。 範例: USA |
| 目標地理區域 | 選用 | 區域 | 與目標 IP 位址相關的國家/地區區域。 範例: Vermont |
| TargetGeoCity | 選用 | 城市 | 與目標 IP 位址相關的城市。 範例: Burlington |
| 目標地理緯度 | 選用 | 緯度 | 與目標 IP 位址相關的地理座標緯度。 範例: 44.475833 |
| 目標地經度 | 選用 | 經度 | 與目標 IP 位址相關的地理座標經度。 範例: 73.211944 |
| 目標風險等級 | 選用 | 整數 | 目標的風險等級。 該值應調整為0至100,良0100性與高風險皆為。範例: 90 |
| 目標原始風險等級 | 選用 | 字串 | 目標相關的風險等級,由報告裝置回報。 範例: Suspicious |
行動應用領域
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingAppID | 選用 | 字串 | 報告的啟動活動的應用程式 ID,包括程序、瀏覽器或服務。 例如: 0x12ae8 |
| 代理AppName(代理AppName) | 選用 | 字串 | 報告中會顯示發起活動的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 選用 | AppType | 表演申請的類型。 欲了解更多資訊及允許的值清單,請參閱結構概覽文章中的 AppType。 |
| ActingOriginalAppType | 選用 | 字串 | 根據報告裝置回報,啟動活動的應用程式類型。 |
| HttpUserAgent | 選用 | 字串 | 當認證透過 HTTP 或 HTTPS 進行時,此欄位的值即為執行驗證時執行應用程式提供的user_agent HTTP 標頭。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
來源系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 原始紀錄 | 別名 | 字串 | 來源裝置的唯一識別碼。 此欄位可能作為 SrcDvcId、 SrcHostname 或 SrcIpAddr 欄位的別名。 範例: 192.168.12.1 |
| SrcIpAddr | 建議 | IP 位址 | 連線或會話來源的 IP 位址。 範例: 77.138.103.108 |
| IpAddr | 別名 | 別名為 SrcIpAddr,或若未提供 SrcIpAddr 則為 TargetIpAddr。 | |
| SrcPortNumber | 選用 | 整數 | 連線來源的 IP 埠。 對於包含多個連線的會話來說,可能不適用。 範例: 2335 |
| SrcHostname | 選用 | 主機名稱 | 來源裝置主機名稱,不含網域資訊。 若無法使用裝置名稱,則在此欄位中儲存相關的 IP 位址。 範例: DESKTOP-1282V4D |
| SrcDomain | 選用 | 定義域 (字串) | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 條件式 | 網域類型 |
SrcDomain 的類型。 關於允許的值列表及更多資訊,請參閱結構概覽文章中的 DomainType。 若使用 SrcDomain 則必須。 |
| SrcFQDN | 選用 | FQDN (字串) | 來源裝置主機名稱,包括網域資訊(若有)。 注意:此欄位支援傳統 FQDN 格式及 Windows 網域/主機名稱格式。 SrcDomainType 欄位反映了所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| 描述 | 選用 | 字串 | 與裝置相關的描述文字。 例如:Primary Domain Controller。 |
| SrcDvcId | 選用 | 字串 | 來源裝置的 ID。 如果有多個 ID,使用最重要的一個,其他則存於欄位 SrcDvc<DvcIdType>。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選用 | 字串 | 裝置所屬的雲端平台範圍 ID。 SrcDvcScopeId會映射到Azure上的訂閱ID,以及AWS上的帳戶ID。 |
| SrcDvcScope(標準化示波器) | 選用 | 字串 | 裝置所屬的雲端平台範圍。 SrcDvcScope 映射到 Azure 上的訂閱 ID,以及 AWS 上的帳戶 ID。 |
| SrcDvcIdType | 條件式 | DvcIdType |
SrcDvcId的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DvcIdType。 注意:若使用 SrcDvcId ,則此欄位為必填欄位。 |
| SrcDeviceType | 選用 | 裝置類型 | 來源裝置的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DeviceType。 |
| SrcGeoCountry | 選用 | 國家/地區 | 與來源 IP 位址相關的國家/地區。 範例: USA |
| SrcGeoRegion | 選用 | 區域 | 與來源 IP 位址相關的國家/地區內的區域。 範例: Vermont |
| SrcGeoCity | 選用 | 城市 | 與來源 IP 位址相關的城市。 範例: Burlington |
| 地理緯度 | 選用 | 緯度 | 與來源 IP 位址相關的地理座標緯度。 範例: 44.475833 |
| 地理經度 | 選用 | 經度 | 與來源 IP 位址相關的地理座標經度。 範例: 73.211944 |
| SrcRiskLevel | 選用 | 整數 | 與來源相關的風險等級。 該值應調整為0至100,良0100性與高風險皆為。範例: 90 |
| SrcOriginalRiskLevel | 選用 | 字串 | 根據報告裝置報告的來源相關風險等級。 範例: Suspicious |
檢查場
以下欄位用來表示安全系統所執行的檢查。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 規則名稱 | 選用 | 字串 | 規則名稱或編號與檢查結果相關聯。 |
| 規則編號 | 選用 | 整數 | 與檢查結果相關的規則編號。 |
| Rule | 別名 | 字串 | 要麼是 RuleName 的值,要麼是 RuleNumber 的值。 如果使用 RuleNumber 的值,該型別應轉換為字串。 |
| 威脅本體 | 選用 | 字串 | 審計活動中識別出的威脅或惡意軟體的識別碼。 |
| 威脅名稱 | 選用 | 字串 | 審計活動中識別出的威脅或惡意軟體名稱。 |
| 威脅類別 | 選用 | 字串 | 審計檔案活動中識別出的威脅或惡意軟體類別。 |
| 威脅風險等級 | 選用 | 風險等級 (整數) | 與已識別威脅相關的風險等級。 等級應該是 0 到 100 之間的數字。 注意:該值可能在來源記錄中透過使用不同的刻度來提供,該刻度應被正規化至該刻度。 原始值應該儲存在 ThreatRiskLevelOriginal。 |
| 威脅原始風險等級 | 選用 | 字串 | 報告裝置報告的風險等級。 |
| 威脅信心 | 選用 | 信心水準 (整數) | 所識別威脅的信心等級,標準化為0到100之間的值。 |
| 威脅原創自信 | 選用 | 字串 | 根據報告裝置回報的原始威脅信心等級。 |
| 威脅是活躍的 | 選用 | 布林值 | 如果所識別的威脅被視為活躍威脅,那是正確的。 |
| 威脅首次報告時間 | 選用 | datetime | 第一次識別出 IP 位址或網域為威脅。 |
| 威脅最後報告時間 | 選用 | datetime | 最後一次該 IP 位址或網域被識別為威脅的時間。 |
| 威脅加倍 | 選用 | IP 位址 | 一個識別出威脅的 IP 位址。 ThreatField 欄位包含 ThreatIpAddr 所代表的欄位名稱。 |
| 威脅場 | 條件式 | 列舉 | 該領域被識別為威脅。 其值為SrcIpAddrTargetIpAddr或 。 |
結構更新
0.1.1 版本架構的變更包括:
- 加上域
ObjectId和OriginalObjectType。
結構 0.1.2 版本的變更包括:
- 加入欄位
ActingOriginalAppType、OriginalObjectType、SrcRiskLevelSrcOriginalRiskLevel,TargetGeoCity,,TargetGeoCountry,,TargetGeoLatitude,TargetGeoRegionTargetGeoLongitudeTargetOriginalAppType,,,TargetOriginalRiskLevelTargetRiskLevel
後續步驟
如需詳細資訊,請參閱: