Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Det Microsoft Sentinel asset entity schema er designet til at normalisere aktiver fra forskellige produkter til et standardiseret format i ASIM (Microsoft Advanced Security Information Model). I dette skema fokuseres der udelukkende på aktiver i datakilder, der ikke er fra Microsoft, for at sikre en ensartet og effektiv analyse.
Et aktiv er en hvilken som helst dataressource, som en organisation gemmer, behandler eller administrerer, f.eks. en fil eller et websted. Hvert aktiv indeholder sikkerhedsrelevante metadata, herunder ejerskab, tilladelser, følsomhedsklassifikationer og risikoindikatorer. Aktiver kan stamme fra en lang række platforme, databaser, cloudlagertjenester, SaaS-programmer og systemer i det lokale miljø og indsamles som enten komplette lagersnapshots eller trinvise ændringsfeeds.
Ved at normalisere aktivdata til et fælles skema gør Microsoft Sentinel det muligt for sikkerhedsteams at analysere og korrelere oplysninger om aktiver på tværs af forskellige datakilder på en ensartet måde. Nøglefelter i skemaet omfatter EntityId og EntityName til entydig identifikation af aktiver, AssetType til at skelne mellem aktivtyper som f.eks. Fil eller Websted, AssetOwnerId til sporing af ejerskab AssetSensitivityLabel og AssetOriginalDataClassificationType til kontekst for dataklassificering og EntityFeedType til at angive, om en post er et fuldt lagersnapshot eller en trinvis ændring. Denne samlede repræsentation driver downstream-scenarier, f.eks. identificering af overdelte følsomme filer, sporing af ændringer af tilladelser, registrering af ubeskyttede aktiver og risiko på tværs af hele dataområdet gennem integrationer som Administration af niveau for Microsoft Purview-datasikkerhed (DSPM).
Brug af skemaet gør det muligt for Microsoft Purview DSPM at administrere datasikkerhedsholdning på tværs af Microsoft- og partnerplatforme. Du kan få flere oplysninger i Ignite 2025-meddelelsen om indførelse af det DSPM partnerøkosystem.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Parsere
Du kan finde flere oplysninger om ASIM-fortolkninger i oversigten over ASIM-fortolkninger.
Forenende fortolkere
Hvis du vil bruge fortolkere, der forener alle ASIM-fortolkere, der er klar til brug, og sikrer, at din analyse kører på tværs af alle de konfigurerede kilder, skal du bruge fortolkeren _Im_AssetEntity .
Tilføj dine egne normaliserede fortolkere
Når du udvikler brugerdefinerede fortolkninger for asset entity-skemaet, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks:
-
vimAssetEntity<vendor><Product>for parameteriserede fortolkninger -
ASimAssetEntity<vendor><Product>for almindelige fortolkninger
Se artiklen Administration af ASIM-fortolkere for at få mere at vide om, hvordan du føjer dine brugerdefinerede fortolkere til de samlende fortolkere.
Filtreringsparserparametre
Fortolkningerne af asset entity understøtter forskellige filtreringsparametre for at forbedre forespørgslens ydeevne. Disse parametre er valgfrie, men kan forbedre ydeevnen af din forespørgsel. Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun aktiver, der blev indtaget på eller efter dette tidspunkt. Denne parameter filtrerer feltet EntityIngestionTime , som er standarddesigneren for aktivets tid. |
| slutklokkeslæt | Datetime | Filtrer kun aktiver, der blev indtaget på eller før dette tidspunkt. Denne parameter filtrerer feltet EntityIngestionTime , som er standarddesigneren for aktivets tid. |
| entityid_has_any | Dynamisk | Filtrer kun aktiver, hvor feltet 'EntityId' findes i en af de angivne værdier. |
| entityname_has_any | Dynamisk | Filtrer kun aktiver, hvor feltet 'EntityName' findes i en af de angivne værdier. |
| assettype_in | Streng | Filtrer kun aktiver, hvor feltet 'AssetType' er lig med parameterværdien. |
| path_has_any | Dynamisk | Filtrer kun aktiver, hvor feltet 'FilePath' eller 'SitePath' findes i en af de angivne værdier. |
| assetowner_has_any | Dynamisk | Filtrer kun aktiver, hvor feltet 'AssetOwner' eller 'AdditionalAssetOwners' findes i en af de angivne værdier. |
| entitysource_has_any | Dynamisk | Filtrer kun aktiver, hvor feltet 'EntitySource' findes i en af de angivne værdier. |
Skemadetaljer
Almindelige ASIM-objektfelter
På følgende liste nævnes felter for et enhedsskema sammen med deres specifikke retningslinjer for aktivobjekter:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EntityUpdatedTime | Obligatorisk | Datetime | Tidsstemplet (UTC) for, hvornår enheden blev opdateret eller indsamlet ved kilden. |
| EntityIngestionTime | Valgfrit | Datetime | Tidsstemplet (UTC) for, hvornår indtagelsespipelinen modtager aktivloggen. |
| EntityId | Obligatorisk | Streng | Aktivets entydige id. |
| EntityOriginalId | Valgfrit | Streng | Det entydige id for aktivet i kilden, hvis det er forskelligt fra 'EntityId'. |
| Entityname | Obligatorisk | Streng | Navnet på objektet. |
| EntityNameType | Anbefalede | Streng | Objektnavnets type. |
| EntityVendor | Obligatorisk | Streng | Den leverandør eller provider, der rapporterede enheden. |
| EntitySource | Obligatorisk | Optalt | Den datakilde eller connector, der har leveret objektposten. Supportkilder omfatter: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherBruges Other , hvis kilden ikke er angivet. |
| EntityOriginalSource | Valgfrit | Streng | Den oprindelige datakilde eller connector, der leverede objektposten, hvis kilden i øjeblikket ikke understøttes. |
| EntityProduct | Obligatorisk | Streng | Det produktnavn, der er knyttet til den kilde, der rapporterede enheden. |
| EntitySubProduct | Obligatorisk | Streng | Det underprodukt- eller komponentnavn, der er knyttet til den kilde, der rapporterede enheden. |
| EntityCreatedTime | Obligatorisk | Datetime | Tidsstemplet (UTC) for, hvornår enheden oprindeligt blev oprettet i kildesystemet. |
| EntityLastAccessedTime | Valgfrit | Datetime | Tidsstemplet (UTC) for, hvornår enheden sidst blev åbnet. |
| EntityLastModifiedTime | Obligatorisk | Datetime | Tidsstemplet (UTC) for, hvornår enheden sidst blev ændret i kildesystemet. |
| EntityIsDeleted | Valgfrit | Bool | Angiver, om enheden er blevet slettet i kildesystemet. |
| EntityFeedType | Obligatorisk | Optalt | Typen eller kategorien for det datafeed, der har leveret objektposten. De tilladte værdier er: Snapshot eller Changefeed. |
| EntitySchema | Obligatorisk | Optalt | Det skema, der bruges til objektet. Skemaet, der er dokumenteret her, er Asset. |
| EntitySchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.1.0. |
Felter for aktivejer
I dette afsnit defineres oplysninger om ejeren af aktivet. Hvis dit aktiv har flere ejere, skal du udfylde både felterne AssetOwnerId og AdditionalAssetOwners.
AdditionalAssetOwners skal være en matrix af strenge, og strengene skal være i samme format som AssetOwnerId.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Ejer-id for aktiv | Obligatorisk | Streng | En computerlæsbar, alfanumerisk, entydig repræsentation af agenten. Du kan finde flere oplysninger og alternative felter til andre id'er i Objektet Bruger. |
| AssetOwnerIdType | Anbefalede | Streng | Typen eller formatet af aktivejerens id. Dette er analogt med UserIdType i hændelsesskemaer. Du kan få flere oplysninger og en liste over tilladte værdier i UserIdType i artiklen Skemaoversigt. |
| Ejertype for aktiv | Valgfrit | Streng | Aktivejerens type. Du kan få flere oplysninger og en liste over tilladte værdier i UserType i artiklen Skemaoversigt. |
| AssetOwnerScope | Valgfrit | Streng | Det organisatoriske eller administrative omfang, som aktivejeren tilhører. |
| AssetOwnerScopeId | Valgfrit | Streng | Id'et for det område, som ejeren af aktivet tilhører. |
| AdditionalAssetOwners | Valgfrit | Dynamisk | En dynamisk samling af yderligere ejere eller medejere, der er knyttet til aktivet. Dette skal være en matrix af strenge. |
Felter med aktivmetadata
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| AADTenantId | Obligatorisk | Streng | Det Azure Active Directory-lejer-id, der er knyttet til aktivet eller objektet. |
| IdentityDirectoryName | Valgfrit | Streng | Navnet på identitetsmappen, f.eks. Azure AD, GCP, AWS, der er knyttet til objektet. |
| IdentityDirectoryId | Obligatorisk | Streng | Id'et for den identitetsmappe, der er knyttet til enheden. |
| AdditionalFields | Valgfrit | Dynamisk | Yderligere oplysninger om det objekt, der ikke registreres af andre felter i skemaet. |
Felter af typen Aktiv
I dette afsnit defineres oplysninger om aktivtypen. De aktuelle understøttede typer er File og Site. Aktivets types yderligere egenskaber skal udfyldes.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Aktivtype | Obligatorisk | Streng | Aktivets type på højt niveau. De tilladte og understøttede værdier er: File, Site. |
| AssetOriginalType | Anbefalede | Streng | Det oprindelige navn på aktivets type på højt niveau i kilden. |
Sikkerhedsfelter for aktiver
I dette afsnit registreres aktivets sikkerhedsholdning og eksponeringskontekst, herunder kildetilladelser, oplysninger om følsomhed og dataklassificering, status for DLP-beskyttelse, relaterede trusselsindikatorer og den seneste klassificeringsscanningstid. Det omfatter også interne og eksterne brugeradgangsantal for at hjælpe med at vurdere potentiel eksponering.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| AssetOriginalPermissions | Valgfrit | Dynamisk | Det oprindelige tilladelsessæt, der er tildelt til aktivet, som rapporteret af kildesystemet. |
| AssetSensitivityLabel | Obligatorisk | Streng | Den følsomhedsmærkat, der anvendes på aktivet. De tilladte værdier er: Personal, Public, General, Confidential, Highly Confidential. |
| AssetOriginalSensitivityLevel | Valgfrit | Streng | Følsomhedsniveauet som rapporteret af kildesystemet før normalisering. |
| AssetIsProtectedByDlp | Valgfrit | Bool | Angiver, om aktivet er beskyttet af en DLP-politik (Data Loss Prevention). |
| Aktivrelaterede indikatorer | Valgfrit | Dynamisk | En dynamisk samling af trusselsindikatorer eller signaler, der er relateret til aktivet. |
| AssetOriginalDataClassificationType | Obligatorisk | Dynamisk | Den eller de oprindelige dataklassificeringstyper, der er tildelt til aktivet som rapporteret af kildesystemet. Dette skal være en matrix af strenge*. |
| AssetClassificationLastScanDateTime | Obligatorisk | Datetime | Tidsstemplet (UTC) for, hvornår aktivet sidst blev scannet for dataklassificering. |
| InternalUsersCount | Valgfrit | Int | Antallet af interne brugere, der er knyttet til eller har adgang til aktivet. |
| Antal eksterne brugere | Valgfrit | Int | Antallet af eksterne brugere, der er knyttet til eller har adgang til aktivet. |
Felter for aktivrisiko
I dette afsnit registreres risikokonteksten for aktivet, herunder navne og niveauer for normaliserede og kilderapporterede risici, tidsstempler for første og sidste rapport samt oplysninger om providerspecifikke risici.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| AssetRiskName | Valgfrit | Streng | Det normaliserede navn på den risiko eller trussel, der er knyttet til aktivet. |
| AssetRiskLevel | Valgfrit | Optalt | Det normaliserede risikoniveau, der er tildelt til aktivet. De tilladte værdier er: Info, Low, Medium, High, Critical, Other. |
| AssetOriginalRiskLevel | Valgfrit | Streng | Det risikoniveau, der er tildelt til aktivet som rapporteret af kildesystemet, før normalisering. |
| AssetRiskFirstReportedTime | Valgfrit | Datetime | Tidsstemplet (UTC) for, hvornår den risiko, der er knyttet til aktivet, første gang blev rapporteret. |
| AssetRiskLastReportedTime | Valgfrit | Datetime | Tidsstemplet (UTC) for, hvornår den risiko, der er knyttet til aktivet, senest blev rapporteret. |
| AssetOriginalRiskDetails | Valgfrit | Dynamisk | De fulde risikooplysninger for aktivet som angivet af kildesystemet. |
Filfelter (aktivtype)
I denne sektion registreres filspecifikke aktivegenskaber. Egenskaberne skal udfyldes, hvis AssetType er Fil.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| FilePath | Valgfrit | Streng | Den fulde sti til den fil, der er knyttet til aktivet. |
| Filstørrelse | Valgfrit | Lang | Filens størrelse i byte. |
| FileMD5 | Valgfrit | Streng | MD5-hashen for den fil, der er knyttet til aktivet. |
| FileSHA1 | Valgfrit | Streng | SHA-1-hashen for den fil, der er knyttet til aktivet. |
| FileSHA256 | Valgfrit | Streng | SHA-256-hashen for den fil, der er knyttet til aktivet. |
| FileSHA512 | Valgfrit | Streng | SHA-512-hashen for den fil, der er knyttet til aktivet. |
| Filudvidelse | Valgfrit | Streng | Filtypenavnet for den fil, der er knyttet til aktivet, f.eks. .exe eller .pdf. |
| FilenIsSignatureValid | Valgfrit | Bool | Angiver, om filens digitale signatur er gyldig. |
| FileSignatureDetails | Valgfrit | Streng | Oplysninger om filens digitale signatur, f.eks. underskriveren eller certifikatoplysningerne. |
Webstedsfelter (aktivtype)
I denne sektion registreres webstedsspecifikke placeringsegenskaber for sharepoint-webstedsaktiver. Egenskaberne skal udfyldes, hvis AssetType er Websted.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| SitePath | Valgfrit | Streng | Stien til det websted eller den lagerplacering, der er knyttet til aktivet. |
| SitePrimaryUri | Valgfrit | Streng | Den primære URI for det websted eller den lagerplacering, der er knyttet til aktivet. |
Aliaser
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| AssetPath | Alias | Streng | Aliasset for enten FilePath eller SitePath |
| Bruger | Alias | Streng | Aliasset for AssetOwnerId. |
Skemaopdateringer
Følgende er ændringerne i forskellige versioner af skemaet:
- Version 0.1.0: Indledende version.
Næste trin
Du kan finde flere oplysninger under: