Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Det Microsoft Sentinel beskedskema er designet til at normalisere sikkerhedsrelaterede beskeder fra forskellige produkter til et standardiseret format i Microsoft Advanced Security Information Model (ASIM). Dette skema fokuserer udelukkende på sikkerhedshændelser og sikrer konsekvent og effektiv analyse på tværs af forskellige datakilder.
Beskedskemaet repræsenterer forskellige typer sikkerhedsbeskeder, f.eks. trusler, mistænkelige aktiviteter, uregelmæssigheder i brugeradfærd og overtrædelser af angivne standarder. Disse beskeder rapporteres af forskellige sikkerhedsprodukter og -systemer, herunder, men ikke begrænset til EDR'er, antivirussoftware, systemer til registrering af datatab, værktøjer til forebyggelse af datatab osv.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Parsere
Du kan finde flere oplysninger om ASIM-fortolkninger i oversigten over ASIM-fortolkninger.
Forenende fortolkere
Hvis du vil bruge fortolkere, der forener alle ASIM-fortolkere, der er klar til brug, og sikrer, at din analyse kører på tværs af alle de konfigurerede kilder, skal du bruge fortolkeren _Im_AlertEvent .
Ude af funktion, kildespecifikke fortolkninger
Hvis du vil se en liste over de parsere af beskeder, Microsoft Sentinel viser, er klar til brug, skal du se listen over ASIM-fortolkninger.
Tilføj dine egne normaliserede fortolkninger
Når du udvikler brugerdefinerede fortolkninger for modellen med beskedoplysninger, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks:
-
vimAlertEvent<vendor><Product>for parameteriserede fortolkninger -
ASimAlertEvent<vendor><Product>for almindelige fortolkninger
Se artiklen Administration af ASIM-fortolkere for at få mere at vide om, hvordan du føjer dine brugerdefinerede fortolkere til beskeden forenende fortolkere.
Filtrering af parserparametre
Beskedparserne understøtter forskellige filtreringsparametre for at forbedre forespørgslens ydeevne. Disse parametre er valgfrie, men kan forbedre ydeevnen af din forespørgsel. Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun beskeder, der startede på eller efter dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| slutklokkeslæt | Datetime | Filtrer kun beskeder, der startede på eller før dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| ipaddr_has_any_prefix | Dynamisk | Filtrer kun beskeder, hvor feltet 'DvcIpAddr' findes i en af de angivne værdier. |
| hostname_has_any | Dynamisk | Filtrer kun beskeder, hvor feltet 'DvcHostname' er i en af de angivne værdier. |
| username_has_any | Dynamisk | Filtrer kun beskeder, hvor feltet "Brugernavn" findes i en af de angivne værdier. |
| attacktactics_has_any | Dynamisk | Filtrer kun beskeder, hvor feltet 'AttackTactics' findes i en af de angivne værdier. |
| attacktechniques_has_any | Dynamisk | Filtrer kun beskeder, hvor feltet 'AttackTechniques' findes i en af de angivne værdier. |
| threatcategory_has_any | Dynamisk | Filtrer kun beskeder, hvor feltet 'ThreatCategory' findes i en af de angivne værdier. |
| alertverdict_has_any | Dynamisk | Filtrer kun beskeder, hvor feltet 'AlertVerdict' findes i en af de angivne værdier. |
| eventseverity_has_any | Dynamisk | Filtrer kun beskeder, hvor feltet 'EventSeverity' er i en af de angivne værdier. |
Skemaoversigt
Beskedskemaet serverer flere typer sikkerhedshændelser, som deler de samme felter. Disse hændelser identificeres af feltet EventType:
- Trusselsoplysninger: Beskeder relateret til forskellige typer skadelige aktiviteter, f.eks. malware, phishing, ransomware og andre cybertrusler.
- Mistænkelige aktiviteter: Beskeder om aktiviteter, der ikke nødvendigvis er bekræftede trusler, men som er mistænkelige og kræver yderligere undersøgelse, f.eks. flere mislykkede logonforsøg eller adgang til begrænsede filer.
- Uregelmæssigheder i brugeradfærd: Beskeder, der angiver usædvanlig eller uventet brugeradfærd, der kan foreslå et sikkerhedsproblem, f.eks. unormale logontider eller usædvanlige mønstre for dataadgang.
- Overholdelsesovertrædelser: Beskeder relateret til manglende overholdelse af lovmæssige eller interne politikker. Det kan f.eks. være en VM, der eksponeres med åbne offentlige porte, som er sårbar over for angreb (Cloud Security Alert).
Vigtigt!
Hvis du vil bevare relevansen og effektiviteten af beskedskemaet, er det kun sikkerhedsrelaterede beskeder, der skal tilknyttes.
Beskedskema refererer til følgende enheder for at registrere oplysninger om beskeden:
-
Dvc-felter bruges til at registrere oplysninger om den vært eller IP, der er knyttet til beskeden
-
Brugerfelter bruges til at registrere oplysninger om den bruger, der er knyttet til beskeden.
- På samme måde bruges felterne Proces, Fil, URL-adresse, Registreringsdatabase og Mail til kun at registrere vigtige oplysninger om henholdsvis processen, filen, URL-adressen, registreringsdatabasen og mailen, der er knyttet til beskeden.
Vigtigt!
- Når du opretter en produktspecifik parser, skal du bruge ASIM-beskedskemaet, når beskeden indeholder oplysninger om en sikkerhedshændelse eller en potentiel trussel, og de primære oplysninger kan knyttes direkte til tilgængelige felter i beskedskemaet. Beskedskemaet er ideelt til hentning af oversigtsoplysninger uden omfattende enhedsspecifikke felter.
- Men hvis du finder ud af, at du placerer vigtige felter i 'AdditionalFields' på grund af manglende direkte feltkampe, kan du overveje et mere specialiseret skema. Hvis en besked f.eks. indeholder netværksrelaterede oplysninger, f.eks. flere IP-adresser, f.eks. SrcIpAdr, DstIpAddr, PortNumber osv., kan du vælge NetworkSession-skemaet over beskedskemaet. Specialiserede skemaer indeholder også dedikerede felter til registrering af trusselsrelaterede oplysninger, forbedring af datakvaliteten og facilitering af effektive analyser.
Skemadetaljer
Almindelige ASIM-felter
På følgende liste nævnes felter, der har specifikke retningslinjer for beskedhændelser:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventType | Obligatorisk | Optalt | Hændelsestype. De understøttede værdier er: - Alert |
| EventSubType | Anbefalede | Optalt | Angiver undertypen eller kategorien for beskedhændelsen, hvilket giver flere detaljerede detaljer i den bredere hændelsesklassificering. Dette felt hjælper med at skelne mellem arten af det registrerede problem og forbedre prioriterings- og svarstrategier for hændelser. Understøttede værdier omfatter: - Threat (Repræsenterer en bekræftet eller højst sandsynlig skadelig aktivitet, der kan kompromittere systemet eller netværket)- Suspicious Activity (Flags adfærd eller hændelser, der synes usædvanlig eller mistænkelige, men endnu ikke bekræftet som ondsindede)- Anomaly (Identificerer afvigelser fra normale mønstre, der kan indikere en potentiel sikkerhedsrisiko eller et driftsproblem)- Compliance Violation (Fremhæver aktiviteter, der overtræder lovgivnings-, politik- eller overholdelsesstandarder) |
| Hændelses-UID | Obligatorisk | Streng | En alfanumerisk streng, der kan læses af computeren, og som entydigt identificerer en besked i et system. F.eks. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| Hændelsesmeddelelse | Valgfrit | Streng | Detaljerede oplysninger om beskeden, herunder kontekst, årsag og potentiel indvirkning. F.eks. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias eller fuldt navn på DvcIpAddr feltet. |
|
| Værtsnavn | Alias | Alias eller fuldt navn på DvcHostname feltet. |
|
| EventSchema | Obligatorisk | Optalt | Det skema, der bruges til hændelsen. Skemaet, der er dokumenteret her, er AlertEvent. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.1. |
Alle fælles felter
Felter, der vises i nedenstående tabel, er fælles for alle ASIM-skemaer. Alle retningslinjer, der er angivet ovenfor, tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan finde flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - Hændelses-UID - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Anbefalede |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Valgfrit |
-
Hændelsesmeddelelse - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Kontrolfelter
Følgende tabel dækker felter, der giver kritisk indsigt i de regler og trusler, der er knyttet til beskeder. Tilsammen hjælper de med at forbedre konteksten af beskeden, hvilket gør det nemmere for sikkerhedsanalytikere at forstå dens oprindelse og betydning.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Besked-id | Alias | Streng | Alias eller fuldt navn på EventUid feltet. |
| Beskednavn | Anbefalede | Streng | Titlen på eller navnet på beskeden. F.eks. Possible use of the Rubeus kerberoasting tool |
| Beskeddescription | Alias | Streng | Alias eller fuldt navn på EventMessage feltet. |
| AlertVerdict | Valgfrit | Optalt | Den endelige bestemmelse af eller resultatet af beskeden, der angiver, om beskeden blev bekræftet som en trussel, anses for mistænkelig eller løst som falsk positiv. De understøttede værdier er: - True Positive (Bekræftet som en legitim trussel)- False Positive (Forkert identificeret som en trussel)- Benign Positive (når hændelsen bestemmes for at være harmløs)- Unknown (Usikker eller ubestemt status) |
| Beskedstatus | Valgfrit | Optalt | Angiver den aktuelle tilstand eller status for beskeden. De understøttede værdier er: - Active- Closed |
| AlertOriginalStatus | Valgfrit | Streng | Status for beskeden som rapporteret af det oprindelige system. |
| DetectionMethod | Valgfrit | Optalt | Indeholder detaljerede oplysninger om den specifikke registreringsmetode, teknologi eller datakilde, der har bidraget til oprettelsen af beskeden. Dette felt giver større indsigt i, hvordan beskeden blev registreret eller udløst, og det er med til at forstå konteksten for registrering og pålidelighed. Understøttede værdier omfatter: - EDR: Endpoint Detection- og Response-systemer, der overvåger og analyserer slutpunktsaktiviteter for at identificere trusler.- Behavioral Analytics: Teknikker, der registrerer unormale mønstre i bruger-, enheds- eller systemfunktionsmåde.- Reputation: Trusselsregistrering baseret på omdømmet for IP-adresser, domæner eller filer.- Threat Intelligence: Eksterne eller interne intelligensfeeds, der leverer data om kendte trusler eller modsat fungerende taktikker.- Intrusion Detection: Systemer, der overvåger netværkstrafik eller -aktiviteter for tegn på indtrængen eller angreb.- Automated Investigation: Automatiserede systemer, der analyserer og undersøger beskeder, hvilket reducerer manuel arbejdsbelastning.- Antivirus: Traditionelle antivirusprogrammer, der registrerer malware baseret på signaturer og heuristik.- Data Loss Prevention: Løsninger, der fokuserer på at forhindre uautoriserede dataoverførsler eller -lækager.- User Defined Blocked List: Brugerdefinerede lister, der er defineret af brugere til at blokere bestemte IP-adresser, domæner eller filer.- Cloud Security Posture Management: Værktøjer, der vurderer og administrerer sikkerhedsrisici i cloudmiljøer.- Cloud Application Security: Løsninger, der sikrer cloudprogrammer og -data.- Scheduled Alerts: Beskeder genereres baseret på foruddefinerede tidsplaner eller tærskler.- Other: Alle andre opdagelsesmetoder, der ikke er omfattet af ovenstående kategorier. |
| Regel | Alias | Streng | Enten værdien af RuleName eller værdien af RuleNumber. Hvis værdien af RuleNumber bruges, skal typen konverteres til en streng. |
| Regelnummer | Valgfrit | Int | Nummeret på den regel, der er knyttet til beskeden. F.eks. 123456 |
| RuleName | Valgfrit | Streng | Navnet eller id'et for den regel, der er knyttet til beskeden. F.eks. Server PSEXEC Execution via Remote Access |
| Regelbeskrivelse | Valgfrit | Streng | Beskrivelse af den regel, der er knyttet til beskeden. F.eks. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Valgfrit | Streng | Id'et for den trussel eller malware, der er identificeret i beskeden. F.eks. 1234567891011121314 |
| ThreatName | Valgfrit | Streng | Navnet på den trussel eller malware, der er identificeret i beskeden. F.eks. Init.exe |
| ThreatFirstReportedTime | Valgfrit | Datetime | Dato og klokkeslæt for første gang, hvor truslen blev rapporteret. F.eks. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Valgfrit | Datetime | Dato og klokkeslæt for seneste rapporteret trussel. F.eks. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Anbefalede | Optalt | Kategorien af den trussel eller malware, der er identificeret i beskeden. Understøttede værdier er: Malware, Ransomware, Trojan, Virus, Worm, AdwareSpyware, Rootkit, Cryptominor, , Phishing, Spam, MaliciousUrl, Spoofing, , Security Policy ViolationUnknown |
| ThreatOriginalCategory | Valgfrit | Streng | Kategorien af truslen som rapporteret af det oprindelige system. |
| ThreatIsActive | Valgfrit | Bool | Angiver, om truslen er aktiv i øjeblikket. Understøttede værdier er: True, False |
| ThreatRiskLevel | Valgfrit | RiskLevel (heltal) | Det risikoniveau, der er forbundet med truslen. Niveauet skal være et tal mellem 0 og 100. Bemærk! Værdien kan angives i kildeposten ved hjælp af en anden skala, som skal normaliseres til denne skala. Den oprindelige værdi skal gemmes i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valgfrit | Streng | Risikoniveauet som rapporteret af det oprindelige system. |
| ThreatConfidence | Valgfrit | ConfidenceLevel (heltal) | Konfidensniveauet for den identificerede trussel normaliserede sig til en værdi mellem 0 og 100. |
| ThreatOriginalConfidence | Valgfrit | Streng | Konfidensniveauet som rapporteret af det oprindelige system. |
| Indikatortype | Anbefalede | Optalt | Indikatorens type eller kategori De understøttede værdier er: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| Tilknytning af indikator | Valgfrit | Optalt | Angiver, om indikatoren er knyttet til eller direkte påvirket af truslen. De understøttede værdier er: - Associated- Targeted |
| AttackTactics | Anbefalede | Streng | Angrebstataktik (navn, id eller begge dele), der er knyttet til beskeden. Foretrukkent format: F.eks: Persistence, Privilege Escalation |
| AttackTechniques | Anbefalede | Streng | De angrebsteknikker (navn, id eller begge dele), der er knyttet til beskeden. Foretrukkent format: F.eks: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Anbefalede | Streng | Anbefalede handlinger eller trin til at afhjælpe eller afhjælpe det identificerede angreb eller den identificerede trussel. F.eks. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Brugerfelter
Dette afsnit definerer felter, der er relateret til identifikation og klassificering af brugere, der er tilknyttet en besked, hvilket giver klarhed over den påvirkede bruger og formatet af deres identitet. Hvis beskeden indeholder flere brugerrelaterede felter, der overstiger det, der er tilknyttet her, kan du overveje, om et specialiseret skema, f.eks. skemaet for godkendelseshændelsen, kan være mere passende til fuldt ud at repræsentere dataene.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Userid | Valgfrit | Streng | En computerlæsbar, alfanumerisk, entydig repræsentation af den bruger, der er knyttet til beskeden. F.eks. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Betinget | Optalt | Bruger-id'ets type, f.eks GUID. , SIDeller Email.De understøttede værdier er: - GUID- SID- Email- Username- Phone- Other |
| Brugernavn | Anbefalede | Brugernavn (streng) | Navnet på den bruger, der er knyttet til beskeden, herunder domæneoplysninger, når de er tilgængelige. f.eks. Contoso\JSmith eller john.smith@contoso.com |
| Bruger | Alias | Streng | Alias eller fuldt navn på Username feltet. |
| UsernameType | Betinget | UsernameType | Angiver typen af det brugernavn, der er gemt i feltet Username . Du kan få flere oplysninger og en liste over tilladte værdier i UsernameType i artiklen Skemaoversigt.F.eks. Windows |
| UserType | Valgfrit | UserType | Agentens type. Du kan få flere oplysninger og en liste over tilladte værdier i UserType i artiklen Skemaoversigt. F.eks. Guest |
| OriginalUserType | Valgfrit | Streng | Brugertypen som rapporteret af rapporteringsenheden. |
| UserSessionId | Valgfrit | Streng | Det entydige id for brugerens session, der er knyttet til beskeden. F.eks. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Valgfrit | Streng | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor UserId og Username er defineret. F.eks. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Valgfrit | Streng | Området, f.eks. Microsoft Entra lejer, hvor UserId og Username er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. F.eks. Contoso Directory |
Behandl felter
I dette afsnit kan du hente oplysninger, der er relateret til en procesenhed, der er involveret i en besked, ved hjælp af de angivne felter. Hvis beskeden indeholder yderligere, detaljerede procesrelaterede felter, der overstiger det, der er tilknyttet her, kan du overveje, om et specialiseret skema, f.eks. skemaet for proceshændelse, kan være mere passende til fuldt ud at repræsentere dataene.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Proces-id | Valgfrit | Streng | Det proces-id (PID), der er knyttet til beskeden. F.eks. 12345678 |
| Proceskommandolinje | Valgfrit | Streng | Kommandolinje, der bruges til at starte processen. F.eks. "choco.exe" -v |
| Procesnavn | Valgfrit | Streng | Navnet på processen. F.eks. C:\Windows\explorer.exe |
| ProcessFileCompany | Valgfrit | Streng | Det firma, der oprettede procesbilledfilen. F.eks. Microsoft |
Filfelter
I dette afsnit kan du hente oplysninger, der er relateret til en filenhed, der er involveret i en besked. Hvis beskeden indeholder yderligere, detaljerede filrelaterede felter, der overstiger det, der er tilknyttet her, kan du overveje, om et specialiseret skema, f.eks. filhændelsesskemaet, kan være mere passende til fuldt ud at repræsentere dataene.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Filnavn | Valgfrit | Streng | Navnet på den fil, der er knyttet til beskeden, uden sti eller placering. F.eks. Notepad.exe |
| FilePath | Valgfrit | Streng | Den fulde, normaliserede sti til destinationsfilen, herunder mappen eller placeringen, filnavnet og filtypenavnet. F.eks. C:\Windows\System32\notepad.exe |
| FileSHA1 | Valgfrit | Streng | SHA1-hash for filen. F.eks. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Valgfrit | Streng | SHA256-hash for filen. F.eks. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Valgfrit | Streng | MD5-hash for filen. F.eks. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Filstørrelse | Valgfrit | Lang | Filens størrelse i byte. F.eks. 123456 |
URL-felt
Hvis beskeden indeholder oplysninger om URL-objektet, kan følgende felter hente URL-relaterede data.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Url | Valgfrit | Streng | Den URL-streng, der registreres i beskeden. F.eks. https://contoso.com/fo/?k=v&q=u#f |
Registreringsdatabasefelter
Hvis beskeden indeholder oplysninger om registreringsdatabaseenheden, kan du bruge følgende felter til at registrere specifikke oplysninger, der er relateret til registreringsdatabasen.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Registreringsdatabasenøgle | Valgfrit | Streng | Den registreringsdatabasenøgle, der er knyttet til beskeden, normaliseres til navngivningskonventionerne for standardnøgler. F.eks. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Valgfrit | Streng | Registreringsdatabaseværdi. F.eks. ImagePath |
| RegistryValueData | Valgfrit | Streng | Data for registreringsdatabaseværdien. F.eks. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Valgfrit | Optalt | Registreringsdatabaseværdiens type. F.eks. Reg_Expand_Sz |
Mailfelter
Hvis beskeden indeholder oplysninger om mailobjektet, kan du bruge følgende felter til at registrere specifikke mailrelaterede oplysninger.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Mailmeddelelses-id | Valgfrit | Streng | Entydigt id for den mail, der er knyttet til beskeden. F.eks. Request for Invoice Access |
| Mailemne | Valgfrit | Streng | Mailens emne. F.eks. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Skema Opdateringer
Følgende er ændringerne i forskellige versioner af skemaet:
- Version 0.1: Indledende version.