Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
ASIM (Advanced Security Information Model) -rakenne on joukko kenttiä, jotka edustavat toimintoa tai entiteettiä. Käyttämällä normalisoidun rakenteen kenttiä kyselyssä varmistat, että kysely toimii jokaisen normalisoidun lähteen kanssa.
Lisätietoja siitä, miten rakenteet mahtuvat ASIM-arkkitehtuuriin, on ASIM-arkkitehtuurikaaviossa.
Aktiviteetti- ja tapahtumarakenteet
Rakenneviittaukset kuvaavat kenttiä, jotka koostuvat kustakin rakenteesta. ASIM määrittää tällä hetkellä seuraavat rakenteet tapahtumille:
| Rakenteen | Rakenteen nimi testeille | Versio | Tila |
|---|---|---|---|
| Ilmoitustapahtuma | AlertEvent |
0.1 | GA |
| Valvontatapahtuma | AuditEvent |
0.1.2 | GA |
| Todennustapahtuma | Authentication |
0.1.4 | GA |
| DHCP-toiminta | DhcpEvent |
0.1.1 | GA |
| DNS-toiminta | Dns |
0.1.7 | GA |
| Tiedoston toiminta | FileEvent |
0.2.2 | GA |
| Verkkoistunto | NetworkSession |
0.2.7 | GA |
| Prosessitapahtuma | ProcessEvent |
0.1.4 | GA |
| Rekisteritapahtuma | RegistryEvent |
0.1.3 | GA |
| Käyttäjien hallinta | UserManagement |
0.1.2 | GA |
| WWW-istunto | WebSession |
0.2.7 | GA |
Entiteettirakenteet
ASIM määrittää tällä hetkellä seuraavat entiteettien rakenteet:
| Rakenteen | Rakenteen nimi testeille | Versio | Tila |
|---|---|---|---|
| Kohteen kohde | AssetEntity |
0.1.0 | GA |
Katso entiteetit, jotka ovat osa muita ASIM-rakenteita, kohdasta Tapahtuman entiteetit.
Kenttien nimeäminen
Kunkin rakenteen ytimessä ovat sen kenttien nimet. Kenttien nimet kuuluvat seuraaviin ryhmiin:
- Kaikkien rakenteiden yhteiset kentät.
- Rakenteen kentät.
- Kentät, jotka edustavat entiteettejä, kuten käyttäjiä, jotka osallistuvat rakenteeseen. Entiteettejä edustavat kentät ovat samanlaisia eri rakenteissa.
Kun lähteissä on kenttiä, joita ei esitetä dokumentoidussa rakenteessa, ne normalisoidaan johdonmukaisuuden säilyttämiseksi. Jos ylimääräiset kentät edustavat entiteettiä, ne normalisoidaan entiteettikentän ohjeiden mukaisesti. Muussa tapauksessa rakenteet pyrkivät säilyttämään johdonmukaisuuden kaikissa rakenteissa.
Vaikka DNS-palvelimen toimintolokit eivät esimerkiksi anna käyttäjätietoja, päätepisteen DNS-toimintolokit saattavat sisältää käyttäjätietoja, jotka voidaan normalisoida käyttäjän entiteetin ohjeiden mukaisesti.
Yleiset kentät
Jotkin kentät ovat yhteisiä kaikille ASIM-rakenteille. Kukin rakenne saattaa lisätä ohjeita joidenkin yleisten kenttien käyttämiseen tietyn rakenteen kontekstissa. Esimerkiksi EventType-kentän sallitut arvot saattavat vaihdella rakenteen mukaan, samoin kuin EventSchemaVersion-kentän arvo.
Kenttäluokat
Kentissä voi olla useita luokkia, jotka määrittävät, milloin jäsennin ottaa kentät käyttöön:
- Pakollisten kenttien on oltava näkyvissä jokaisessa jäsennystilassa. Jos lähde ei anna tietoja tästä arvosta tai tietoja ei voi muuten lisätä, se ei tue useimpia sisältökohteita, jotka viittaavat normalisoituun rakenteeseen.
- Suositellut kentät tulee normalisoida, jos ne ovat käytettävissä. Ne eivät kuitenkaan välttämättä ole käytettävissä kaikissa lähteissä. Kaikkien sisältökohteiden, jotka viittaavat normalisoituun rakenteeseen, tulee ottaa käytettävyys huomioon.
- Valinnaiset kentät, jos ne ovat käytettävissä, voidaan normalisoida tai jättää alkuperäiseen lomakkeeseensa. Yleensä minimaalinen jäsennin ei normalisoi niitä suorituskykysyistä.
- Ehdolliset kentät ovat pakollisia, jos niiden seuraama kenttä on täytetty. Ehdollisia kenttiä käytetään yleensä kuvaamaan arvoa toisessa kentässä. Esimerkiksi yleinen kenttä DvcIdType kuvaa arvoa kokonaislukuna yleisessä kentässä DvcId ja on siksi pakollinen, jos viimeksi mainittu täytetään.
- Alias on ehdollisen kentän erityinen tyyppi, ja se on pakollinen, jos tunnuskenttä täyttyy.
Tapahtuman entiteetit
Tapahtumat kehittyvät entiteettien, kuten käyttäjien, isäntien, prosessien tai tiedostojen, ympärillä. Jokainen entiteetti saattaa vaatia useita kenttiä sen kuvaamiseen. Esimerkiksi isännällä voi olla nimi ja IP-osoite.
Yksi tietue voi sisältää useita samantyyppisiä entiteettejä, kuten sekä lähde- että kohdeisännän.
ASIM määrittää, miten entiteettejä kuvataan yhdenmukaisesti, ja entiteetit mahdollistavat rakenteiden laajentamisen.
Vaikka esimerkiksi verkkoistunnon rakenne ei sisällä prosessitietoja, jotkin tapahtumalähteet tarjoavat prosessitietoja, jotka voidaan lisätä. Lisätietoja on kohdassa Entiteetit.
Jotta entiteettitoiminnot voidaan ottaa käyttöön, entiteettiedustusten ohjeissa on seuraavat ohjeet:
| Suuntaviivat | Kuvaus |
|---|---|
| Etuliitteet ja alias | Koska yksittäinen tapahtuma sisältää usein useamman kuin yhden samantyyppisen entiteetin, kuten lähde- ja kohdeisännät, etuliitteitä käytetään tunnistamaan entiteetti, johon kenttä liittyy. Normalisoinnin ylläpitämiseksi ASIM käyttää pientä vakioetuliitteiden joukkoa poimien sopivimmat entiteettien tiettyä roolia varten. Jos yksittäinen entiteetti on merkityksellinen tapahtumalle, etuliitettä ei tarvitse käyttää. Lisäksi joukko kenttiä, joissa ei ole etuliitettä, määrittää kunkin tyypin eniten käytetyn entiteetin. |
| Tunnisteet ja tyypit | Normalisoitu rakenne sallii kullekin entiteetille useita tunnisteita, joiden odotetaan olevan käytössä tapahtumissa. Jos lähdetapahtumalla on muita entiteetin tunnisteita, joita ei voi yhdistää normalisoituun rakenteeseen, säilytä ne lähdelomakkeessa tai käytä dynaamisessa AdditionalFields-kentässä . Jos haluat säilyttää tunnisteiden tyyppitiedot, tallenna tyyppi tarvittaessa kenttään, jolla on sama nimi ja tyypin jälkiliite. Esimerkiksi UserIdType. |
| Määritteet | Entiteeteissä on usein muita määritteitä, joita ei voi käyttää tunnisteena ja jotka voidaan myös liittää kuvaajaan. Jos lähdekäyttäjällä on esimerkiksi toimialuetietoja, normalisoitu kenttä on SrcUserDomain. |
Lisätietoja tietyistä entiteettityypeistä on kohteissa:
Lisätietoja täydellisestä entiteettirakenteista on kohteissa:
Aliaksia
Aliakset sallivat useita nimiä määritetylle arvolle. Joissakin tapauksissa eri käyttäjät odottavat, että kentällä on eri nimet. Esimerkiksi DNS-terminologiassa voi odottaa kenttää nimeltä DnsQuery, kun taas yleisemmin sillä on toimialuenimi. Aliastoimialue auttaa käyttäjää sallimalla molempien nimien käytön.
Huomautus
Aliakset on tarkoitettu auttamaan analyytikkoa vuorovaikutteisten kyselyiden käytössä. Kun käytät kyselyitä uudelleenkäytettävässä sisällössä, kuten mukautetuissa tunnistamisessa, analyysisäännöissä tai työkirjoissa, käytä aliaskenttää aliaksen sijaan. Aliaskentän käyttö varmistaa paremman suorituskyvyn, vähemmän virheitä ja paremman kyselyn luettavuuden.
Joissakin tapauksissa alias voi sisältää yhden useista kentistä sen mukaan, mitkä arvot ovat käytettävissä tapahtumassa. Esimerkiksi Dvc-alias , alias joko DvcFQDN, DvcId, DvcHostname tai DvcIpAddr tai Event Product -kentät. Kun alias voi sisältää useita arvoja, sen tyypin on oltava merkkijono, jotta kaikki mahdolliset aliasarvot mahtuvat siihen. Kun määrität arvoa tällaiselle aliakseen, muista muuntaa tyyppi merkkijonoksi KQL-funktion tostringin avulla.
Alkuperäiset normalisoidut taulukot eivät sisällä aliaksia, koska ne merkitsevät tietojen tallennuksen kaksoiskappaleita. Sen sijaan kanta jäsentäjät lisäävät aliakset. Jos haluat ottaa aliakset käyttöön jäsennyksissä, luo kopio alkuperäisestä arvosta -operaattorin extend avulla.
Loogiset tyypit
Jokaisella rakenteen kentällä on tyyppi. Log Analytics -työtilassa on rajoitettu joukko tietotyyppejä. Tästä syystä Microsoft Sentinel käyttää loogista tyyppiä monille rakennekentille, mitä Log Analytics ei pakota, mutta jota tarvitaan rakenteen yhteensopivuuteen. Loogiset kenttätyypit varmistavat, että sekä arvot että kenttien nimet ovat yhdenmukaisia eri lähteissä.
| Tietotyyppi | Fyysinen tyyppi | Muoto ja arvo |
|---|---|---|
| Boolean | Bool | Käytä sisäistä KQL-tietotyyppiä bool totuusarvojen numeerisen esityksen tai merkkijonoesityksen sijaan. |
| Lueteltu | Merkkijono | Kentälle eksplisiittisesti määritettyjen arvojen luettelo. Rakenteen määrityksessä luetellaan hyväksytyt arvot. |
| Päivämäärä ja kellonaika | Käytä käsittelymenetelmän ominaisuudesta riippuen mitä tahansa seuraavista fyysisistä esityksistä laskevassa prioriteetissa: - Log Analyticsin sisäinen datetime-tyyppi – Kokonaislukukenttä, joka käyttää Log Analyticsin datetime-numeerista esitystä. – Merkkijonokenttä, joka käyttää Log Analyticsin datetime-numeroesitystä - Merkkijonokenttä, johon tallennetaan tuettu Log Analyticsin päivämäärän ja kellonajan muoto. |
Log Analyticsin päivämäärä ja aikaesitys on samanlainen mutta erilainen kuin Unix-aikaesitys. Lisätietoja on muunto-ohjeissa. Huomautus: Ajan tulee olla tarvittaessa aikavyöhykkeen mukainen. |
| MAC-osoite | Merkkijono | Colon-Hexadecimal merkintätapa. |
| IP-osoite | Merkkijono | Microsoft Sentinel rakenteissa ei ole erillisiä IPv4- ja IPv6-osoitteita. Mikä tahansa IP-osoitekenttä voi sisältää joko IPv4-osoitteen tai IPv6-osoitteen seuraavasti: - IPv4 piste-desimaalimerkinnässä. - IPv6 8-hekstet-muodossa, jolloin lyhyt muoto on käytössä. Esimerkki: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6:n lyhyt lomake: 1080::8:800:200C:417A |
| FQDN | Merkkijono | Täydellinen toimialuenimi, joka käyttää pistemerkintää, esimerkiksi learn.microsoft.com. Lisätietoja on kohdassa Laitteen entiteetti. |
| Hostname | Merkkijono | Isäntänimi, joka ei ole FQDN, sisältää enintään 63 merkkiä, mukaan lukien kirjaimia, numeroita ja väliviivoja. Lisätietoja on kohdassa Laitteen entiteetti. |
| Toimialue | Merkkijono | toimialueosa FQDN:stä ilman isäntänimeä, esimerkiksi learn.microsoft.com. Lisätietoja on kohdassa Laitteen entiteetti. |
| Toimialueen tyyppi | Lueteltu | Toimialue- ja FQDN-kenttiin tallennetun toimialueen tyyppi. Luettelo arvoista ja lisätietoja on kohdassa Laite-entiteetti. |
| DvcIdType | Lueteltu | DvcId-kenttiin tallennetun laitetunnuksen tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa DvcIdType. |
| Laitteen tyyppi | Lueteltu | DeviceType-kenttiin tallennetun laitteen tyyppi. Mahdollisia arvoja ovat esimerkiksi seuraavat: - Computer- Mobile Device- IOT Device- Other. Lisätietoja on kohdassa Laitteen entiteetti. |
| Käyttäjätunnus | Merkkijono | Kelvollinen käyttäjänimi jossakin tuetuista tyypeistä. Lisätietoja on kohdassa Käyttäjä-entiteetti. |
| Käyttäjänimityyppi | Lueteltu | Käyttäjänimen kenttiin tallennetun käyttäjänimen tyyppi. Lisätietoja ja luettelo tuetuista arvoista on kohdassa Käyttäjä-entiteetti. |
| UserIdType | Lueteltu | Käyttäjätunnuskenttiin tallennetun tunnuksen tyyppi. Tuetut arvot ovat SID, UIS, AADID, OktaId, AWSId, ja PUID. Lisätietoja on kohdassa Käyttäjä-entiteetti. |
| Käyttäjätyyppi | Lueteltu | Käyttäjän tyyppi. Lisätietoja ja luettelo sallitut arvot ovat kohdassa Käyttäjä-entiteetti. |
| AppType | Lueteltu | Sovelluksen tyyppi. Luettelo tuetuista arvoista on kohdassa Sovellusentiteetti. |
| Maa | Merkkijono | Merkkijono, joka käyttää ISO 3166-1 -standardia seuraavan prioriteetin mukaisesti: - Alfa-2-koodit, kuten US Yhdysvallat. - Alfa-3-koodit, kuten USA Yhdysvallat. - Lyhyt nimi. Koodiluettelo löytyy International Standards Organization (ISO) -verkkosivustosta. |
| Alue | Merkkijono | Maan tai alueen alijakonimi iso-standardilla 3166-2. Koodiluettelo löytyy International Standards Organization (ISO) -verkkosivustosta. |
| Kaupunki | Merkkijono | |
| Pituusaste | Tupla | ISO 6709 -koordinaattiesitys (allekirjoitettu desimaali). |
| Latitude | Tupla | ISO 6709 -koordinaattiesitys (allekirjoitettu desimaali). |
| MD5 | Merkkijono | 32 heksaa merkkiä. |
| SHA1 | Merkkijono | 40 heksaa hahmoa. |
| SHA256 | Merkkijono | 64 heksaa hahmoa. |
| SHA512 | Merkkijono | 128 heksaa hahmoa. |
| Luotettavuustaso | Kokonaisluku | Luottamustaso normalisoitu väliltä 0 - 100. |
| Riskin tasaaminen | Kokonaisluku | Riskitaso normalisoitu 0:n ja 100:n välille. |
| SchemaVersion | Merkkijono | ASIM-rakenneversio muodossa <major>.<minor>.<sub-minor> |
| DnsQueryClassName | Merkkijono | DNS-luokan nimi. |
| Käyttäjänimi | Merkkijono | Yksinkertainen tai toimialueen täydellinen käyttäjänimi |
Entiteetin yhdistämismääritysmalli
Tässä osiossa käytetään esimerkkinä Windowsin tapahtumaa 4624, joka kuvaa, miten tapahtumatiedot normalisoidaan Microsoft Sentinel.
Tällä tapahtumalla on seuraavat entiteetit:
| Microsoftin terminologia | Alkuperäisen tapahtumakentän etuliite | ASIM-kentän etuliite | Kuvaus |
|---|---|---|---|
| Aihe | Subject |
Actor |
Käyttäjä, joka on ilmoittanut tietoja onnistuneesta sisäänkirjautumisesta. |
| Uusi kirjautuminen | Target |
TargetUser |
Käyttäjä, jolle sisäänkirjautuminen suoritettiin. |
| Prosessi | - | ActingProcess |
Sisäänkirjautumista yrittänyt prosessi. |
| Verkon tiedot | - | Src |
Tietokone, josta sisäänkirjautumisyritys suoritettiin. |
Näiden entiteettien perusteella Windows-tapahtuma 4624 normalisoidaan seuraavasti (jotkin kentät ovat valinnaisia):
| Normalisoitu kenttä | Alkuperäinen kenttä | Arvo esimerkissä | Huomautuksia |
|---|---|---|---|
| ActorUserId | Aiheenkäyttäjäsid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Rakennettu yhdistämällä kaksi kenttää |
| ActorUserNameType | - | Windows | |
| ActorSessionId | Aiheen tunnus | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| Käyttäjätunnus | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Rakennettu yhdistämällä kaksi kenttää |
| Käyttäjänimi | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | Prosessin nimi | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | Työaseman nimi | Windows | |
| SrcIpAddr | Ip | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Tietokone | WIN-GG82ULGC9GO | |
| Hostname (Isäntänimi) | Tietokone | Alias |
Seuraavat vaiheet
Tässä artikkelissa on yleiskatsaus Microsoft Sentinel ja ASIM:n normalisointiin.
Lisätietoja on seuraavissa artikkeleissa: