Microsoft Sentinel 認證架構用於描述與使用者身份驗證、登入及登出相關的事件。驗證事件由許多報告裝置傳送,通常作為事件串流的一部分,與其他事件一同發送。 例如,Windows 會發送多個認證事件,同時也發送其他作業系統活動事件。
認證事件包括來自專注於認證的系統(如 VPN 閘道或網域控制器)的事件,以及直接認證終端系統(如電腦或防火牆)的事件。
欲了解更多關於Microsoft Sentinel正規化的資訊,請參閱 ASIM) 正規化及先進安全資訊模型 (。
解析器
從 Microsoft Sentinel GitHub 倉庫部署 ASIM 認證解析器。 欲了解更多關於 ASIM 解析器的資訊,請參閱文章中的 ASIM 解析器概述。
統一解析器
若要使用統一所有 ASIM 現成解析器,並確保分析能跨越所有設定來源,請使用 imAuthentication 過濾解析器或 ASimAuthentication 無參數解析器。
來源特定解析器
關於 Microsoft Sentinel 提供的認證解析器清單,請參考 ASIM 解析器清單:
加入你自己的正規化解析器
在實作認證資訊模型的自訂解析器時,請使用以下語法來命名你的 KQL 函式:
-
vimAuthentication<vendor><Product>用於過濾解析器 -
ASimAuthentication<vendor><Product>對於無參數解析器
關於如何將自訂解析器加入統一解析器,請參閱 管理 ASIM 解析器。
過濾解析器參數
im和vim*解析器支援過濾參數。 雖然這些解析器是可選的,但它們可以提升你的查詢效能。
以下過濾參數可用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| 開始時間 | datetime | 只過濾在此時間點或之後執行的認證事件。 此參數會在欄位上過濾 TimeGenerated ,欄位是事件時間的標準指示符,無論 EventStartTime 與 EventEndTime 欄位的解析器特定映射為何。 |
| 末日 | datetime | 只過濾在此時間或之前完成的認證事件。 此參數會在欄位上過濾 TimeGenerated ,欄位是事件時間的標準指示符,無論 EventStartTime 與 EventEndTime 欄位的解析器特定映射為何。 |
| targetusername_has | 字串 | 只過濾包含上述任何使用者名稱的認證事件。 |
例如,要只篩選過去一天的認證事件給特定使用者,請使用:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
提示
若要將文字列表傳給預期動態值的參數,請明確使用 動態文字。 例如:dynamic(['192.168.','10.'])。
正規化內容
正規化認證分析規則獨特,因為它們能偵測跨來源的攻擊。 舉例來說,如果使用者登入不同國家或地區的系統,Microsoft Sentinel 現在就能偵測到這個威脅。
有關使用正規化認證事件的完整分析規則清單,請參見 認證結構安全內容。
架構概觀
認證資訊模型與 OSSEM 登入實體架構對齊。
下表列出的欄位是針對認證事件的,但與其他結構中的欄位相似,且遵循類似的命名慣例。
認證事件會參考以下實體:
- TargetUser - 用於向系統認證的使用者資訊。 TargetSystem 是認證事件的主要主體,而別名 User 則是 TargetUser 識別的別名。
- TargetApp - 已認證的應用程式。
- Target - TargetApp* 運行的系統。
- Actor - 發起驗證的使用者,若與 TargetUser 不同。
- ActingApp——演員用來執行認證的應用程式。
- Src - 演員 用來啟動 認證的系統。
這些實體之間的關係可最佳地展示如下:
一個演員在原始碼系統 Src 上執行一個執行中的應用程式 ActingApp,嘗試以 TargetUser 身份驗證目標應用程式 TargetApp 在目標系統 TargetDVC 上的身份。
結構細節
在以下表格中, 型別 指的是一種邏輯型別。 欲了解更多資訊,請參閱 邏輯型別。
常見的ASIM欄位
重要事項
所有結構共有的欄位可參考 ASIM 公共欄位 文章。
具有特定指引的共同領域
以下列表提及具有特定認證事件指引的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventType | 強制性 | 列舉 | 描述了紀錄中報告的行動。 認證紀錄支援的值包括: - Logon - Logoff- Elevate |
| 事件結果詳情 | 建議 | 列舉 | 與事件相關的細節會產生結果。 當結果失敗時,這個欄位通常會被填入。 允許的值包括: - No such user or password. 當原始事件報告沒有此類使用者時,也應使用此值,且不需參考密碼。- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. 當原始事件回報時,例如:需要多重身份驗證(MFA)、非工作時間登入、條件存取限制或嘗試過頻繁,應使用此值。- Session expired- Other該值可在來源記錄中以不同術語提供,並應正規化為這些值。 原始值應該儲存在 EventOriginalResultDetails 這個欄位 |
| 事件子類型 | 選用 | 列舉 | 就是簽到型的。 允許的值包括: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - 當遠端登入類型不明時使用。- AssumeRole - 通常用於事件類型為 Elevate。 該值可在來源記錄中以不同術語提供,並應正規化為這些值。 原始值應該儲存在 EventOriginalSubType 欄位中。 |
| 事件架構版本 | 強制性 | SchemaVersion 的 (字串) | 那個版本的架構。 這裡所記錄的結構版本為 0.1.4 |
| 事件架構 | 強制性 | 列舉 | 此處記錄的結構名稱為 Authentication。 |
| DVC 場 | - | - | 對於認證事件,裝置欄位指的是系統報告事件。 |
所有共同領域
下表中出現的欄位是所有 ASIM 架構共有的。 上述任何指引都凌駕於該領域的一般指引之上。 例如,某個欄位一般可能是可選的,但在特定結構中卻是強制的。 關於每個領域的更多細節,請參閱 ASIM Common Fields 條目。
| Class | Fields |
|---|---|
| 強制性 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 事件結果 - EventProduct - EventVendor - 事件架構 - 事件架構版本 - DVC |
| 建議 |
-
事件結果詳情 - 事件嚴重度 - 最終 - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DVCID - DvcIdType - Dvc行動 |
| 選用 |
-
活動訊息 - 事件子類型 - 事件原創 - 事件原創類型 - 事件原始子類型 - 事件原始結果細節 - 事件原始嚴重度 - 事件產品版本 - 事件報告網址 - 活動擁有者 - DvcZone - DvcMacAddr - DVCOS - DvcOS 版本 - DVC原創行動 - Dvc介面 - 額外欄位 - DVC說明 - DvcScopeID - DvcScope(視覺化器) |
認證專用欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| LogonMethod | 選用 | 字串 | 用於驗證的方法。 允許的值包括:Managed Identity、Service Principal、Username & Password、 OtherMulti factor authenticationPasswordlessPKIPAM和 。 舉例: Managed Identity |
| 登入協議 | 選用 | 字串 | 用於驗證的協定。 範例: NTLM |
演員欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 演員使用者ID | 選用 | 字串 | 一個機器可讀、字母數字、獨特的演員表示法。 欲了解更多資訊及其他 ID 的替代欄位,請參見 使用者實體。 範例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| 演員範圍 | 選用 | 字串 | 範圍,例如 Microsoft Entra 租戶,定義了 ActorUserID 和 ActorUsername。 或更多資訊與允許值清單,請參閱結構概覽文章中的 UserScope。 |
| 演員範圍ID | 選用 | 字串 | 範圍 ID,例如 Microsoft Entra Directory ID,定義了 ActorUserID 和 ActorUsername。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserScopeId。 |
| ActorUserIdType | 條件式 | 使用者IdType | ActorUserId 欄位中儲存的 ID 類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserIdType。 |
| 演員用戶名 | 選用 | 用戶名 (String) | 演員的用戶名,包括網域資訊(如有)。 欲了解更多資訊,請參閱 使用者實體。 範例: AlbertE |
| ActorUsernameType | 條件式 | 使用者名稱類型 | 指定儲存在 ActorUsername 欄位的使用者名稱類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UsernameType。 範例: Windows |
| 演員使用者類型 | 選用 | UserType | 演員的類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserType。 例如: Guest |
| 演員原始使用者類型 | 選用 | 字串 | 使用者類型由報告裝置回報。 |
| 演員會話ID | 選用 | 字串 | 演員登入會話的唯一 ID。 範例: 102pTUgC3p8RIqHvzxLCHnFlg |
行動應用領域
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingAppID | 選用 | 字串 | 代表行為者授權的應用程式識別碼,包括程序、瀏覽器或服務。 例如: 0x12ae8 |
| 代理AppName(代理AppName) | 選用 | 字串 | 代表行為者授權的應用程式名稱,包括程序、瀏覽器或服務。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 選用 | AppType | 表演申請的類型。 欲了解更多資訊及允許的值清單,請參閱結構概覽文章中的 AppType。 |
| ActingOriginalAppType | 選用 | 字串 | 報告裝置所報告的執行應用程式類型。 |
| HttpUserAgent | 選用 | 字串 | 當認證透過 HTTP 或 HTTPS 進行時,此欄位的值即為執行驗證時執行應用程式提供的user_agent HTTP 標頭。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
目標使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 目標使用者ID | 選用 | 字串 | 一個機器可讀、以字母數字組成且獨特的目標使用者表示方式。 欲了解更多資訊及其他 ID 的替代欄位,請參見 使用者實體。 範例: 00urjk4znu3BcncfY0h7 |
| 目標使用者範圍 | 選用 | 字串 | 範圍,例如 Microsoft Entra 租戶,定義了 TargetUserID 和 TargetUsername。 或更多資訊與允許值清單,請參閱結構概覽文章中的 UserScope。 |
| 目標使用者範圍ID | 選用 | 字串 | 範圍 ID,例如 Microsoft Entra Directory ID,其中定義了 TargetUserID 和 TargetUsername。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserScopeId。 |
| TargetUserIdType | 條件式 | 使用者IdType |
TargetUserId 欄位中儲存的使用者 ID 類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserIdType。 範例: SID |
| 目標用戶名稱 | 選用 | 用戶名 (String) | 目標使用者名稱,並在有網域資訊時提供。 欲了解更多資訊,請參閱 使用者實體。 範例: MarieC |
| 目標用戶名類型 | 條件式 | 使用者名稱類型 | 指定儲存在 TargetUsername 欄位的使用者名稱類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UsernameType。 |
| 目標使用者類型 | 選用 | UserType | 目標使用者的類型。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserType。 例如: Member |
| 目標會話ID | 選用 | 字串 | 來源裝置上 TargetUser 的登入會話識別碼。 |
| 目標原始使用者類型 | 選用 | 字串 | 使用者類型由報告裝置回報。 |
| 使用者 | 別名 | 用戶名 (String) |
TargetUsername 或 TargetUserID 的別名(若未定義 TargetUsername)。 範例: CONTOSO\dadmin |
來源系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 原始紀錄 | 建議 | 字串 | 來源裝置的唯一識別碼。 此欄位可別名 SrcDvcId、 SrcHostname 或 SrcIpAddr 欄位。 範例: 192.168.12.1 |
| SrcDvcId | 選用 | 字串 | 來源裝置的 ID。 如果有多個 ID,使用最重要的一個,其他則存於欄位 SrcDvc<DvcIdType>。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選用 | 字串 | 裝置所屬的雲端平台範圍 ID。 SrcDvcScopeId會映射到Azure上的訂閱ID,以及AWS上的帳戶ID。 |
| SrcDvcScope(標準化示波器) | 選用 | 字串 | 裝置所屬的雲端平台範圍。 SrcDvcScope 映射到 Azure 上的訂閱 ID,以及 AWS 上的帳戶 ID。 |
| SrcDvcIdType | 條件式 | DvcIdType |
SrcDvcId的類型。 關於允許的值列表及更多資訊,請參考結構概覽文章中的 DvcIdType。 注意:若使用 SrcDvcId ,則此欄位為必填欄位。 |
| SrcDeviceType | 選用 | 裝置類型 | 來源裝置的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DeviceType。 |
| SrcHostname | 選用 | 主機名稱 | 來源裝置主機名稱,不含網域資訊。 若無法使用裝置名稱,則在此欄位中儲存相關的 IP 位址。 範例: DESKTOP-1282V4D |
| SrcDomain | 選用 | 定義域 (字串) | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 條件式 | 網域類型 |
SrcDomain 的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DomainType。 若使用 SrcDomain 則必須。 |
| SrcFQDN | 選用 | FQDN (字串) | 來源裝置主機名稱,包括網域資訊(若有)。 注意:此欄位支援傳統 FQDN 格式及 Windows 網域/主機名稱格式。 SrcDomainType 欄位反映了所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| 描述 | 選用 | 字串 | 與裝置相關的描述文字。 例如:Primary Domain Controller。 |
| SrcIpAddr | 建議 | IP 位址 | 來源裝置的 IP 位址。 範例: 2.2.2.2 |
| SrcPortNumber | 選用 | 整數 | 連線來源的 IP 埠。 範例: 2335 |
| SrcDvcOs | 選用 | 字串 | 來源裝置的作業系統。 範例: Windows 10 |
| IpAddr | 別名 | SrcIpAddr 的別名 | |
| SrcIsp | 選用 | 字串 | 網際網路服務提供商 (ISP) 來源裝置用來連接網際網路。 範例: corpconnect |
| SrcGeoCountry | 選用 | 國家/地區 | 範例:Canada 欲了解更多資訊,請參閱 邏輯型別。 |
| SrcGeoCity | 選用 | 城市 | 範例:Montreal 欲了解更多資訊,請參閱 邏輯型別。 |
| SrcGeoRegion | 選用 | 區域 | 範例:Quebec 欲了解更多資訊,請參閱 邏輯型別。 |
| 地理經度 | 選用 | 經度 | 範例:-73.614830 欲了解更多資訊,請參閱 邏輯型別。 |
| 地理緯度 | 選用 | 緯度 | 範例:45.505918 欲了解更多資訊,請參閱 邏輯型別。 |
| SrcRiskLevel | 選用 | 整數 | 與來源相關的風險等級。 該值應調整為0至100,良0100性與高風險皆為。範例: 90 |
| SrcOriginalRiskLevel | 選用 | 字串 | 根據報告裝置報告的來源相關風險等級。 範例: Suspicious |
目標應用欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetAppID | 選用 | 字串 | 需要授權的應用程式 ID,通常由報告裝置指派。 範例: 89162 |
| TargetAppName | 選用 | 字串 | 需要授權的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 範例: Saleforce |
| 應用 | 別名 | 別名為 TargetAppName。 | |
| TargetAppType | 條件式 | AppType | 代表行為人授權的申請類型。 欲了解更多資訊及允許的值清單,請參閱結構概覽文章中的 AppType。 |
| TargetOriginalAppType | 選用 | 字串 | 代表行為者授權的應用程式類型,依報告裝置回報。 |
| 目標網址 | 選用 | URL | 與目標應用程式相關的網址。 範例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | 別名 | 別名可設定為 TargetAppName、 TargetUrl 或 TargetHostname,視其最能描述驗證目標的欄位為準。 |
目標系統場
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Dst(夏令時間) | 別名 | 字串 | 認證目標的唯一識別碼。 此欄位可別名 TargetDvcId、 TargetHostname、 TargetIpAddr、 TargetAppID 或 TargetAppName 欄位。 範例: 192.168.12.1 |
| 目標主機名稱 | 建議 | 主機名稱 | 目標裝置主機名稱,不包含網域資訊。 範例: DESKTOP-1282V4D |
| 目標領域 | 建議 | 定義域 (字串) | 目標裝置的網域。 範例: Contoso |
| 目標域類型 | 條件式 | 列舉 | 目標 域的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DomainType。 若使用 TargetDomain 則必須。 |
| 目標FQDN | 選用 | FQDN (字串) | 目標裝置主機名稱,包括網域資訊(若有)。 範例: Contoso\DESKTOP-1282V4D 注意:此欄位支援傳統 FQDN 格式及 Windows 網域/主機名稱格式。 TargetDomainType 反映所使用的格式。 |
| 目標描述 | 選用 | 字串 | 與裝置相關的描述文字。 例如:Primary Domain Controller。 |
| 目標DVCID | 選用 | 字串 | 目標裝置的ID。 如果有多個 ID,使用最重要的一個,其他則存於欄位 TargetDvc<DvcIdType>。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeID | 選用 | 字串 | 裝置所屬的雲端平台範圍 ID。 TargetDvcScopeId會映射到Azure上的訂閱ID,以及AWS上的帳戶ID。 |
| 目標DVC示波器 | 選用 | 字串 | 裝置所屬的雲端平台範圍。 TargetDvcScope 映射到 Azure 上的訂閱 ID 和 AWS 上的帳戶 ID。 |
| 目標DvcIdType | 條件式 | 列舉 |
TargetDvcID 的類型。 關於允許的值列表及更多資訊,請參考結構概覽文章中的 DvcIdType。 若使用 TargetDeviceId ,則必須。 |
| 目標裝置類型 | 選用 | 列舉 | 目標裝置的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DeviceType。 |
| 目標 IpAddr | 選用 | IP 位址 | 目標裝置的 IP 位址。 範例: 2.2.2.2 |
| 目標DVCOS | 選用 | 字串 | 目標裝置的作業系統。 範例: Windows 10 |
| 目標港口編號 | 選用 | 整數 | 目標裝置的埠口。 |
| TargetGeoCountry | 選用 | 國家/地區 | 與目標 IP 位址相關的國家/地區。 範例: USA |
| 目標地理區域 | 選用 | 區域 | 與目標 IP 位址相關的區域。 範例: Vermont |
| TargetGeoCity | 選用 | 城市 | 與目標 IP 位址相關的城市。 範例: Burlington |
| 目標地理緯度 | 選用 | 緯度 | 與目標 IP 位址相關的地理座標緯度。 範例: 44.475833 |
| 目標地經度 | 選用 | 經度 | 與目標 IP 位址相關的地理座標經度。 範例: 73.211944 |
| 目標風險等級 | 選用 | 整數 | 目標的風險等級。 該值應調整為0至100,良0100性與高風險皆為。範例: 90 |
| 目標原始風險等級 | 選用 | 字串 | 目標相關的風險等級,由報告裝置回報。 範例: Suspicious |
檢查場
以下欄位用來表示安全系統所執行的檢查。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 規則名稱 | 選用 | 字串 | 規則名稱或編號與檢查結果相關聯。 |
| 規則編號 | 選用 | 整數 | 與檢查結果相關的規則編號。 |
| Rule | 別名 | 字串 | 要麼是 RuleName 的值,要麼是 RuleNumber 的值。 如果使用 RuleNumber 的值,該型別應轉換為字串。 |
| 威脅本體 | 選用 | 字串 | 審計活動中識別出的威脅或惡意軟體的識別碼。 |
| 威脅名稱 | 選用 | 字串 | 審計活動中識別出的威脅或惡意軟體名稱。 |
| 威脅類別 | 選用 | 字串 | 審計檔案活動中識別出的威脅或惡意軟體類別。 |
| 威脅風險等級 | 選用 | 風險等級 (整數) | 與已識別威脅相關的風險等級。 等級應該是 0 到 100 之間的數字。 注意:該值可能在來源記錄中透過使用不同的刻度來提供,該刻度應被正規化至該刻度。 原始值應該儲存在 ThreatRiskLevelOriginal。 |
| 威脅原始風險等級 | 選用 | 字串 | 報告裝置報告的風險等級。 |
| 威脅信心 | 選用 | 信心水準 (整數) | 所識別威脅的信心等級,標準化為0到100之間的值。 |
| 威脅原創自信 | 選用 | 字串 | 根據報告裝置回報的原始威脅信心等級。 |
| 威脅是活躍的 | 選用 | 布林值 | 如果所識別的威脅被視為活躍威脅,那是正確的。 |
| 威脅首次報告時間 | 選用 | datetime | 第一次識別出 IP 位址或網域為威脅。 |
| 威脅最後報告時間 | 選用 | datetime | 最後一次該 IP 位址或網域被識別為威脅的時間。 |
| 威脅加倍 | 選用 | IP 位址 | 一個識別出威脅的 IP 位址。 ThreatField 欄位包含 ThreatIpAddr 所代表的欄位名稱。 |
| 威脅場 | 條件式 | 列舉 | 該領域被識別為威脅。 其值為SrcIpAddrTargetIpAddr或 。 |
結構更新
以下是結構 0.1.1 版本的變更:
- 更新使用者與裝置實體欄位以與其他結構對齊。
- 分別重新命名
TargetDvc為 和SrcDvc和SrcTarget,以符合現行 ASIM 指引。 重新命名的欄位將以別名形式實作至 2022 年 7 月 1 日。 這些欄位包括:SrcDvcHostname、SrcDvcHostnameType、SrcDvcType、SrcDvcIpAddrTargetDvcHostname、TargetDvcIpAddrTargetDvcHostnameTypeTargetDvcTypeTargetDvc和。 - 加上了別名
Src和Dst。 - 加入了欄位
SrcDvcIdType、SrcDeviceType、TargetDvcIdType、TargetDeviceType、EventSchema和 。
以下是結構 0.1.2 版本的變更:
- 加入了欄位
ActorScope、TargetUserScope、SrcDvcScopeId、DvcScopeSrcDvcScopeTargetDvcScopeIdTargetDvcScopeDvcScopeId和 。
以下是結構 0.1.3 版本的變更:
- 加入欄位
SrcPortNumber、ActorOriginalUserType、ActorScopeId、SrcOriginalRiskLevelSrcDescriptionTargetDescriptionTargetOriginalUserTypeTargetUserScopeIdSrcRiskLevel。 - 新增檢查欄位
- 新增目標系統地理定位欄位。
以下是結構 0.1.4 版本的變更:
- 加上欄位
ActingOriginalAppType和TargetOriginalAppType。 - 加上了別名
Application。
後續步驟
如需詳細資訊,請參閱: