Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel Asset Entity -rakenne on suunniteltu normalisoimaan eri tuotteiden resurssit standardoituun muotoon Microsoft Advanced Security Information Modelissa (ASIM). Tämä rakenne keskittyy yksinomaan muiden kuin Microsoftin tietolähteiden resursseihin, mikä varmistaa johdonmukaisen ja tehokkaan analyysin.
Resurssi on mikä tahansa tietoresurssi, jonka organisaatio tallentaa, käsittelee tai hallitsee, kuten tiedosto tai sivusto. Kullakin resurssilla on suojaukseen liittyvät metatiedot, kuten omistajuus, käyttöoikeudet, luottamuksellisuusluokitukset ja riski-indikaattorit. Resurssit voivat olla peräisin monista eri ympäristöistä, tietokannoista, pilvitallennuspalveluista, SaaS-sovelluksista ja paikallisista järjestelmistä, ja ne kerätään joko täydellisinä varastotilannevedoksina tai lisäävinä muutossyötteinä.
Normalisoimalla resurssitiedot yleiseen rakenteeseen Microsoft Sentinel avulla suojaustiimit voivat analysoida ja korreloida resurssitietoja eri tietolähteissä yhdenmukaisesti. Rakenteen avainkenttiä ovat EntityIdEntityName resurssien yksilöivä tunnistaminen, resurssien tyyppien, kuten tiedoston tai sivuston, AssetTypeAssetOwnerId erottaminen omistajuuden AssetSensitivityLabel seuraamista ja AssetOriginalDataClassificationType tietojen luokittelukontekstia varten sekä EntityFeedType sen ilmaiseminen, onko tietue täydellinen varastotilannevedos vai lisäävä muutos. Tämä yhtenäinen esittäminen tarjoaa jatkoskenaarioita, kuten ylijakavien luottamuksellisten tiedostojen tunnistamisen, käyttöoikeuksien muutosten seurannan, suojaamattomien resurssien havaitsemisen ja riskin leviämisen koko tietoalueelle integrointeja, kuten Microsoft Purview -tietojen suojaustason hallinta (DSPM).
Rakenteen käytön avulla Microsoft Purview DSPM hallita tietoturva-asentoa Microsoft- ja kumppaniympäristöissä. Lisätietoja on Ignite 2025 -ilmoituksessa, jossa esitellään DSPM kumppaniekosysteemi.
Lisätietoja Microsoft Sentinel normalisoinnista on kohdassa Normalisointi ja ASIM (Advanced Security Information Model).
Jäsentimet
Lisätietoja ASIM-jäsennyksistä on ASIM-jäsennysten yleiskatsauksessa.
Jäsennysten yhtenäistäminen
Jos haluat käyttää jäsentimiä, jotka yhdistävät kaikki valmiit ASIM-jäsennykset, ja varmista, että analyysisi suoritetaan kaikissa määritetyissä lähteissä, käytä jäsennintä _Im_AssetEntity .
Omien normalisoitujen jäsennysten lisääminen
Kun kehität mukautettuja jäsennyksiä Asset Entity -rakenteelle, anna KQL-funktioille nimeksi seuraava syntaksi:
-
vimAssetEntity<vendor><Product>parametrisoiduille jäsennyksille -
ASimAssetEntity<vendor><Product>tavallisille jäsennyksille
Katso artikkelista ASIM-jäsennysten hallinta ohjeet mukautettujen jäsennysten lisäämiseen yhtenäistämiseen jäsennykseen.
Jäsennysparametrien suodattaminen
Kohde-entiteetin jäsennykset tukevat erilaisia suodatusparametreja kyselyn suorituskyvyn parantamiseksi. Nämä parametrit ovat valinnaisia, mutta ne voivat parantaa kyselyn suorituskykyä. Seuraavat suodatusparametrit ovat käytettävissä:
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| aloitusaika | Datetime | Suodata vain resurssit, joita on kulutettu tähän aikaan tai sen jälkeen. Tämä parametri suodattaa EntityIngestionTime kentän, joka on resurssin ajan vakiomääritys. |
| päättymisaika | Datetime | Suodata vain resurssit, jotka on otettu käyttöön tähän aikaan tai sitä ennen. Tämä parametri suodattaa EntityIngestionTime kentän, joka on resurssin ajan vakiomääritys. |
| entityid_has_any | Dynaaminen | Suodata vain resurssit, joiden EntityId-kenttä on jossakin luetelluista arvoista. |
| entityname_has_any | Dynaaminen | Suodata vain resurssit, joiden EntityName-kenttä on jossakin luetelluista arvoista. |
| assettype_in | Merkkijono | Suodata vain resurssit, joiden AssetType-kenttä vastaa parametrin arvoa. |
| path_has_any | Dynaaminen | Suodata vain resurssit, joiden FilePath- tai SitePath-kenttä on jossakin luetelluista arvoista. |
| assetowner_has_any | Dynaaminen | Suodata vain resurssit, joiden AssetOwner- tai AdditionalAssetOwners-kenttä on jossakin luetelluista arvoista. |
| entitysource_has_any | Dynaaminen | Suodata vain resurssit, joiden EntitySource-kenttä on jossakin luetelluista arvoista. |
Rakenteen tiedot
Yleiset ASIM-entiteettikentät
Seuraavassa luettelossa mainitaan entiteettirakenteen kentät sekä niiden erityiset ohjeet resurssientiteeteille:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| EntityUpdatedTime | Pakollinen | Datetime | Kohteen päivityksen tai keräämisen aikaleima (UTC). |
| EntityIngestionTime | Valinnainen | Datetime | Aikaleima (UTC), jonka mukaan käsittelyjakso vastaanottaa resurssilokin. |
| EntityId | Pakollinen | Merkkijono | Resurssin yksilöllinen tunnus. |
| EntityOriginalId | Valinnainen | Merkkijono | Lähteen resurssin yksilöllinen tunnus, jos se on eri kuin EntityId. |
| Entiteetin nimi | Pakollinen | Merkkijono | Entiteetin nimi. |
| EntityNameType | Suositellut | Merkkijono | Entiteetin nimen tyyppi. |
| EntityVendor | Pakollinen | Merkkijono | Entiteetin ilmoittanut toimittaja tai toimittaja. |
| Entiteettilähde | Pakollinen | Lueteltu | Entiteettitietueen antanut tietolähde tai liitin. Tukilähteitä ovat muun muassa seuraavat: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherKäytä Other tätä, jos lähdettä ei ole luettelossa. |
| EntityOriginalSource | Valinnainen | Merkkijono | Alkuperäinen tietolähde tai liitin, joka toimitti entiteettitietueen, jos lähdettä ei tällä hetkellä tueta. |
| Entiteetin tuote | Pakollinen | Merkkijono | Entiteetin raportoineen lähteen tuotenimi. |
| EntitySubProduct | Pakollinen | Merkkijono | Entiteetin raportoineen lähteen alituotteen tai osan nimi. |
| EntityCreatedTime | Pakollinen | Datetime | Entiteetin alunperin lähdejärjestelmässä luomisen aikaleima (UTC). |
| EntityLastAccessedTime | Valinnainen | Datetime | Entiteetin edellisen käytön aikaleima (UTC). |
| EntityLastModifiedTime | Pakollinen | Datetime | Entiteetin viimeisimmän muokkaamisen aikaleima (UTC) lähdejärjestelmässä. |
| EntityIsDeleted | Valinnainen | Bool | Ilmaisee, onko entiteetti poistettu lähdejärjestelmästä. |
| EntityFeedType | Pakollinen | Lueteltu | Entiteettitietueen toimittaneen tietosyötteen tyyppi tai luokka. Sallitut arvot ovat: Snapshot tai Changefeed. |
| EntitySchema | Pakollinen | Lueteltu | Entiteetissä käytettävä rakenne. Tässä dokumentoitu rakenne on Asset. |
| EntitySchemaVersion | Pakollinen | SchemaVersion (merkkijono) | Rakenteen versio. Tässä dokumentoitu rakenteen versio on 0.1.0. |
Resurssin omistaja -kentät
Tässä osiossa määritetään tietoja käyttöomaisuuden omistajasta. Jos resurssillasi on useita omistajia, täytä sekä kentät AssetOwnerIdAdditionalAssetOwnersettä .
AdditionalAssetOwners on oltava merkkijonomatriisi, ja merkkijonojen on oltava samassa muodossa kuin AssetOwnerId.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Resurssin omistajan tunnus | Pakollinen | Merkkijono | Koneluettava, aakkosnumeerinen, toimijan ainutlaatuinen esitys. Lisätietoja ja vaihtoehtoisia kenttiä muille tunnuksille on kohdassa Käyttäjä-entiteetti. |
| Resurssin omistajan tunnustyyppi | Suositellut | Merkkijono | Käyttöomaisuuden omistajan tunnuksen tyyppi tai muoto. Tämä vastaa UserIdType tapahtumarakenteita. Lisätietoja ja luettelo sallitut arvot on kohdassa UserIdTypeRakenteen yleiskatsaus -artikkelissa. |
| Resurssin omistajan tyyppi | Valinnainen | Merkkijono | Kohteen omistajan tyyppi. Lisätietoja ja sallittujen arvojen luettelo on kohdassa KäyttäjätyyppiRakenteen yleiskatsaus -artikkelissa. |
| AssetOwnerScope | Valinnainen | Merkkijono | Organisaation tai järjestelmänvalvojan laajuus, johon omaisuuden omistaja kuuluu. |
| AssetOwnerScopeId | Valinnainen | Merkkijono | Sen alueen tunnus, johon omaisuuden omistaja kuuluu. |
| AdditionalAssetOwners | Valinnainen | Dynaaminen | Dynaaminen kokoelma muita omistajia tai yhteisomistajia, jotka liittyvät resurssiin. Tämän on oltava merkkijonomatriisi. |
Resurssin metatietokentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| AADTenantId | Pakollinen | Merkkijono | Resurssiin tai entiteettiin liittyvä Azure Active Directory -vuokraajan tunnus. |
| IdentityDirectoryName | Valinnainen | Merkkijono | Entiteettiin liittyvän käyttäjätietohakemiston nimi, kuten Azure AD, GCP tai AWS. |
| IdentityDirectoryId | Pakollinen | Merkkijono | Entiteettiin liittyvän käyttäjätietohakemiston tunnus. |
| Lisäkentät | Valinnainen | Dynaaminen | Lisätietoja entiteetistä, jota muut rakenteen kentät eivät ole tallentaneet. |
Resurssityypin kentät
Tässä osiossa määritetään tietoja resurssityypistä. Tuetut nykyiset tyypit ovat File ja Site. Resurssin tyypin lisäominaisuudet on täytettävä.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Kohteen tyyppi | Pakollinen | Merkkijono | Resurssin ylätason tyyppi. Sallitut ja tuetut arvot ovat: File, Site. |
| AssetOriginalType | Suositellut | Merkkijono | Lähteessä olevan resurssin korkean tason tyypin alkuperäinen nimi. |
Kohteen suojauskentät
Tässä osiossa kerätään omaisuuden suojausasento ja altistumiskonteksti, mukaan lukien lähdeoikeudet, luottamuksellisuus- ja tietojen luokittelutiedot, DLP-suojauksen tila, liittyvät uhkailmaisimet ja viimeinen luokituksen tarkistusaika. Se sisältää myös sisäisiä ja ulkoisia käyttöoikeuksia, joiden avulla voidaan arvioida mahdollista altistumista.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| AssetOriginalPermissions | Valinnainen | Dynaaminen | Alkuperäinen käyttöoikeusjoukko, joka on määritetty resurssille lähdejärjestelmän raportoimana. |
| AssetSensitivityLabel | Pakollinen | Merkkijono | Resurssissa käytetty luottamuksellisuustunniste. Sallitut arvot ovat: Personal, Public, General, , Confidential, Highly Confidential. |
| AssetOriginalSensitivityLevel | Valinnainen | Merkkijono | Lähdejärjestelmän ilmoittama luottamuksellisuustaso ennen normalisointia. |
| AssetIsProtectedByDlp | Valinnainen | Bool | Ilmaisee, onko kohde suojattu tietojen menetyksen estämiskäytännöllä ( Data Loss Prevention). |
| AssetRelatedIndicators | Valinnainen | Dynaaminen | Resurssiin liittyvien uhkailmaisimien tai -signaalien dynaaminen kokoelma. |
| AssetOriginalDataClassificationType | Pakollinen | Dynaaminen | Alkuperäiset tietojen luokitustyypit, jotka on määritetty resurssille lähdejärjestelmän ilmoittamana. Tämän on oltava merkkijonojen matriisi*. |
| AssetClassificationLastScanDateTime | Pakollinen | Datetime | Aikaleima (UTC), jonka mukaan resurssi on viimeksi skannattu tietojen luokitusta varten. |
| InternalUsersCount | Valinnainen | Int | Resurssiin liittyvien tai siihen käyttöoikeuden saaneiden sisäisten käyttäjien määrä. |
| ExternalUsersCount | Valinnainen | Int | Resurssiin liittyvien tai siihen käyttöoikeuden saaneiden ulkoisten käyttäjien määrä. |
Resurssin riskikentät
Tässä osassa kerätään resurssin riskikonteksti, mukaan lukien normalisoidut ja lähderaportoidut riskinimet ja -tasot, ensimmäisen ja viimeisen raportin aikaleimat sekä toimittajakohtaiset riskitiedot.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Resurssin nimi | Valinnainen | Merkkijono | Resurssiin liittyvän riskin tai uhan normalisoitu nimi. |
| Resurssin risklevel | Valinnainen | Lueteltu | Resurssille määritetty normalisoitu riskitaso. Sallitut arvot ovat: Info, Low, Medium, , High, Critical, Other. |
| AssetOriginalRiskLevel | Valinnainen | Merkkijono | Resurssille määritetty riskitaso lähdejärjestelmän raportoimana ennen normalisointia. |
| AssetRiskFirstReportedTime | Valinnainen | Datetime | Resurssiin liittyvän riskin ensimmäisen raportoimisen aikaleima (UTC). |
| Resurssin riskLastReportedTime | Valinnainen | Datetime | Aikaleima (UTC), jonka mukaan resurssiin liittyvä riski raportoitiin viimeksi. |
| AssetOriginalRiskDetails | Valinnainen | Dynaaminen | Lähdejärjestelmän toimittamat omaisuuden täydelliset riskitiedot. |
Tiedostokentät (resurssityyppi)
Tässä osassa kerätään tiedostokohtaiset resurssiominaisuudet. Ominaisuudet on täytettävä, jos AssetType on Tiedosto.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Filepath | Valinnainen | Merkkijono | Resurssiin liittyvän tiedoston koko polku. |
| Tiedostokoko | Valinnainen | Pitkä | Tiedoston koko tavuina. |
| FileMD5 | Valinnainen | Merkkijono | Resurssiin liittyvän tiedoston MD5-hajautusarvo. |
| TiedostonSHA1 | Valinnainen | Merkkijono | Resurssiin liittyvän tiedoston SHA-1-hajautusarvo. |
| TiedostoSHA256 | Valinnainen | Merkkijono | Resurssiin liittyvän tiedoston SHA-256-hajautusarvo. |
| TiedostoSHA512 | Valinnainen | Merkkijono | Resurssiin liittyvän tiedoston SHA-512-hajautusarvo. |
| Tiedoston laajennus | Valinnainen | Merkkijono | Resurssiin liittyvän tiedoston tiedostotunniste, kuten .exe tai .pdf. |
| FileIsSignatureValid | Valinnainen | Bool | Ilmaisee, onko tiedoston digitaalinen allekirjoitus kelvollinen. |
| FileSignatureDetails | Valinnainen | Merkkijono | Tiedoston digitaalisen allekirjoituksen tiedot, kuten allekirjoittajan tai varmenteen tiedot. |
Sivuston (resurssityypin) kentät
Tässä osassa kerätään sharepoint-sivustoresurssien sivustokohtaiset sijaintiominaisuudet. Ominaisuudet tulee täyttää, jos AssetType on Sivusto.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| SitePath | Valinnainen | Merkkijono | Resurssiin liittyvän sivuston tai tallennussijainnin polku. |
| SitePrimaryUri | Valinnainen | Merkkijono | Resurssiin liittyvän sivuston tai tallennussijainnin ensisijainen URI. |
Aliaksia
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| AssetPath | Alias | Merkkijono | Alias joko FilePath tai SitePath |
| Käyttäjä | Alias | Merkkijono | Kohteen alias AssetOwnerId. |
Rakennepäivitykset
Rakenteen eri versioissa tehdyt muutokset ovat seuraavat:
- Versio 0.1.0: Ensimmäinen julkaisu.
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: