Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma d’entité de ressource Microsoft Sentinel est conçu pour normaliser les ressources de différents produits dans un format standardisé dans le modèle ASIM (Microsoft Advanced Security Information Model). Ce schéma se concentre exclusivement sur les ressources dans des sources de données non-Microsoft, garantissant ainsi une analyse cohérente et efficace.
Une ressource est toute ressource de données qu’un organization stocke, traite ou gère, comme un fichier ou un site. Chaque ressource contient des métadonnées relatives à la sécurité, notamment la propriété, les autorisations, les classifications de confidentialité et les indicateurs de risque. Les ressources peuvent provenir d’un large éventail de plateformes, de bases de données, de services de stockage cloud, d’applications SaaS et de systèmes locaux et sont collectées sous la forme d’instantanés d’inventaire complets ou de flux de modification incrémentiels.
En normalisant les données des ressources dans un schéma commun, Microsoft Sentinel permet aux équipes de sécurité d’analyser et de mettre en corrélation les informations sur les ressources dans diverses sources de données de manière cohérente. Les champs clés du schéma incluent EntityId et EntityName pour identifier de manière unique les ressources, AssetType pour distinguer les types de ressources tels que Fichier ou Site, AssetOwnerId pour le suivi de la propriété AssetSensitivityLabel et AssetOriginalDataClassificationType pour le contexte de classification des données, et EntityFeedType pour indiquer si un enregistrement est un inventaire complet instantané ou une modification incrémentielle. Cette représentation unifiée alimente les scénarios en aval tels que l’identification des fichiers sensibles surpartagés, le suivi des modifications d’autorisation, la détection des ressources non protégées et la détection des risques dans l’ensemble du patrimoine de données par le biais d’intégrations telles que Gestion de la posture de sécurité des données Microsoft Purview (DSPM).
L’utilisation du schéma permet à Microsoft Purview DSPM de gérer la posture de sécurité des données sur les plateformes Microsoft et partenaires. Pour plus d’informations, consultez l’annonce Ignite 2025 présentant l’écosystème de partenaires DSPM.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et le modèle ASIM (Advanced Security Information Model).
Analyseurs
Pour plus d’informations sur les analyseurs ASIM, consultez la vue d’ensemble des analyseurs ASIM.
Analyseurs d’unification
Pour utiliser des analyseurs qui unifient tous les analyseurs ASIM prêtes à l’emploi et vous assurer que votre analyse s’exécute sur toutes les sources configurées, utilisez l’analyseur _Im_AssetEntity .
Ajouter vos propres analyseurs normalisés
Lorsque vous développez des analyseurs personnalisés pour le schéma d’entité de ressources, nommez vos fonctions KQL à l’aide de la syntaxe suivante :
-
vimAssetEntity<vendor><Product>pour les analyseurs paramétrables -
ASimAssetEntity<vendor><Product>pour les analyseurs standard
Reportez-vous à l’article Gestion des analyseurs ASIM pour savoir comment ajouter vos analyseurs personnalisés aux analyseurs d’unification.
Filtrage des paramètres de l’analyseur
Les analyseurs d’entité de ressources prennent en charge différents paramètres de filtrage pour améliorer les performances des requêtes. Ces paramètres sont facultatifs, mais peuvent améliorer les performances de vos requêtes. Les paramètres de filtrage suivants sont disponibles :
| Nom | Type | Description |
|---|---|---|
| Starttime | DateHeure | Filtrez uniquement les ressources qui ont été ingérées à ce moment ou après cette date. Ce paramètre filtre sur le EntityIngestionTime champ, qui est l’indicateur standard pour l’heure de la ressource. |
| heure de fin | DateHeure | Filtrez uniquement les ressources qui ont été ingérées à cette heure ou avant. Ce paramètre filtre sur le EntityIngestionTime champ, qui est l’indicateur standard pour l’heure de la ressource. |
| entityid_has_any | Dynamique | Filtrez uniquement les ressources pour lesquelles le champ « EntityId » se trouve dans l’une des valeurs répertoriées. |
| entityname_has_any | Dynamique | Filtrez uniquement les ressources pour lesquelles le champ « EntityName » se trouve dans l’une des valeurs répertoriées. |
| assettype_in | string | Filtrez uniquement les ressources pour lesquelles le champ « AssetType » est égal à la valeur du paramètre. |
| path_has_any | Dynamique | Filtrez uniquement les ressources pour lesquelles le champ « FilePath » ou « SitePath » se trouve dans l’une des valeurs répertoriées. |
| assetowner_has_any | Dynamique | Filtrez uniquement les ressources pour lesquelles le champ « AssetOwner » ou « AdditionalAssetOwners » se trouve dans l’une des valeurs répertoriées. |
| entitysource_has_any | Dynamique | Filtrez uniquement les ressources pour lesquelles le champ « EntitySource » se trouve dans l’une des valeurs répertoriées. |
Détails du schéma
Champs d’entité ASIM courants
La liste suivante mentionne les champs d’un schéma d’entité, ainsi que leurs instructions spécifiques pour les entités asset :
| Field | Classe | Type | Description |
|---|---|---|---|
| EntityUpdatedTime | Obligatoire | DateHeure | Horodatage (UTC) de quand l’entité a été mise à jour ou collectée à la source. |
| EntityIngestionTime | Facultatif | DateHeure | Horodatage (UTC) du moment où le pipeline d’ingestion reçoit le journal des ressources. |
| EntityId | Obligatoire | string | Identificateur unique de la ressource. |
| EntityOriginalId | Facultatif | string | Identificateur unique de la ressource à la source s’il est différent de « EntityId ». |
| EntityName | Obligatoire | string | Le nom de l’entité. |
| EntityNameType | Recommandé | string | Type du nom de l’entité. |
| EntityVendor | Obligatoire | string | Fournisseur ou fournisseur qui a signalé l’entité. |
| EntitySource | Obligatoire | Énumérés | Source de données ou connecteur qui a fourni l’enregistrement d’entité. Les sources de support sont les suivantes : - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherUtilisez Other si la source n’est pas répertoriée. |
| EntityOriginalSource | Facultatif | string | Source de données ou connecteur d’origine qui a fourni l’enregistrement d’entité, si la source n’est actuellement pas prise en charge. |
| EntityProduct | Obligatoire | string | Nom du produit associé à la source qui a signalé l’entité. |
| EntitySubProduct | Obligatoire | string | Nom du sous-produit ou du composant associé à la source qui a signalé l’entité. |
| EntityCreatedTime | Obligatoire | DateHeure | Horodatage (UTC) du moment où l’entité a été créée à l’origine dans le système source. |
| EntityLastAccessedTime | Facultatif | DateHeure | Horodatage (UTC) de la date du dernier accès à l’entité. |
| EntityLastModifiedTime | Obligatoire | DateHeure | Horodatage (UTC) de la dernière modification de l’entité dans le système source. |
| EntityIsDeleted | Facultatif | bool | Indique si l’entité a été supprimée dans le système source. |
| EntityFeedType | Obligatoire | Énumérés | Type ou catégorie du flux de données qui a fourni l’enregistrement d’entité. Les valeurs autorisées sont : Snapshot ou Changefeed. |
| EntitySchema | Obligatoire | Énumérés | Schéma utilisé pour l’entité. Le schéma documenté ici est Asset. |
| EntitySchemaVersion | Obligatoire | SchemaVersion (String) | Version du schéma. La version du schéma documentée ici est 0.1.0. |
Champs du propriétaire de la ressource
Cette section définit des informations sur le propriétaire de la ressource. Si votre ressource a plusieurs propriétaires, renseignez les champs AssetOwnerId et AdditionalAssetOwners.
AdditionalAssetOwners doit être un tableau de chaînes et les chaînes doivent être au même format que AssetOwnerId.
| Field | Classe | Type | Description |
|---|---|---|---|
| AssetOwnerId | Obligatoire | string | Représentation unique, alphanumérique et lisible par ordinateur de l’acteur. Pour plus d’informations et pour obtenir d’autres champs pour d’autres ID, consultez L’entité Utilisateur. |
| AssetOwnerIdType | Recommandé | string | Type ou format de l’identificateur du propriétaire de la ressource. Cela est analogue à UserIdType dans les schémas d’événement. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l’article Vue d’ensemble du schéma. |
| AssetOwnerType | Facultatif | string | Type du propriétaire de la ressource. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserType dans l’article Vue d’ensemble du schéma. |
| AssetOwnerScope | Facultatif | string | Étendue organisationnelle ou administrative à laquelle appartient le propriétaire de la ressource. |
| AssetOwnerScopeId | Facultatif | string | Identificateur de l’étendue à laquelle appartient le propriétaire de la ressource. |
| AdditionalAssetOwners | Facultatif | Dynamique | Collection dynamique de propriétaires ou de copropriétaires supplémentaires associés à la ressource. Il doit s’agir d’un tableau de chaînes. |
Champs de métadonnées de ressource
| Field | Classe | Type | Description |
|---|---|---|---|
| AADTenantId | Obligatoire | string | Le Azure identificateur de locataire Active Directory associé à la ressource ou à l’entité. |
| IdentityDirectoryName | Facultatif | string | Nom du répertoire d’identité, tel que Azure AD, GCP, AWS, associé à l’entité. |
| IdentityDirectoryId | Obligatoire | string | Identificateur du répertoire d’identité associé à l’entité. |
| AdditionalFields | Facultatif | Dynamique | Informations supplémentaires sur l’entité qui n’est pas capturée par d’autres champs dans le schéma. |
Champs de type de ressource
Cette section définit des informations sur le type de ressource. Les types actuels pris en charge sont File et Site. Les propriétés supplémentaires du type de ressource doivent être renseignées.
| Field | Classe | Type | Description |
|---|---|---|---|
| AssetType | Obligatoire | string | Type de haut niveau de la ressource. Les valeurs autorisées et prises en charge sont : File, Site. |
| AssetOriginalType | Recommandé | string | Nom d’origine du type de niveau supérieur de la ressource à la source. |
Champs de sécurité des ressources
Cette section capture la posture de sécurité et le contexte d’exposition de la ressource, y compris les autorisations de la source, les détails de confidentialité et de classification des données, les status de protection DLP, les indicateurs de menace associés et l’heure de la dernière analyse de classification. Il inclut également le nombre d’accès des utilisateurs internes et externes pour aider à évaluer l’exposition potentielle.
| Field | Classe | Type | Description |
|---|---|---|---|
| AssetOriginalPermissions | Facultatif | Dynamique | Jeu d’autorisations d’origine affecté à la ressource comme indiqué par le système source. |
| AssetSensitivityLabel | Obligatoire | string | Étiquette de confidentialité appliquée à la ressource. Les valeurs autorisées sont les suivantes : Personal, Public, General, Confidential, Highly Confidential. |
| AssetOriginalSensitivityLevel | Facultatif | string | Niveau de sensibilité tel que signalé par le système source, avant la normalisation. |
| AssetIsProtectedByDlp | Facultatif | bool | Indique si la ressource est protégée par une stratégie de protection contre la perte de données (DLP). |
| AssetRelatedIndicators | Facultatif | Dynamique | Collection dynamique d’indicateurs de menace ou de signaux liés à la ressource. |
| AssetOriginalDataClassificationType | Obligatoire | Dynamique | Type(s) de classification de données d’origine attribué(s) à la ressource comme indiqué par le système source. Il doit s’agir d’un tableau de chaînes*. |
| AssetClassificationLastScanDateTime | Obligatoire | DateHeure | Horodatage (UTC) de la dernière analyse de la ressource pour la dernière classification des données. |
| InternalUsersCount | Facultatif | int | Nombre d’utilisateurs internes associés à la ressource ou ayant accès à la ressource. |
| ExternalUsersCount | Facultatif | int | Nombre d’utilisateurs externes associés à la ressource ou ayant accès à celui-ci. |
Champs de risque d’actif
Cette section capture le contexte de risque de la ressource, y compris les noms et niveaux de risque normalisés et signalés à la source, les horodatages du premier et du dernier rapport et les détails des risques spécifiques au fournisseur.
| Field | Classe | Type | Description |
|---|---|---|---|
| AssetRiskName | Facultatif | string | Nom normalisé du risque ou de la menace associé à la ressource. |
| AssetRiskLevel | Facultatif | Énumérés | Niveau de risque normalisé affecté à la ressource. Les valeurs autorisées sont : Info, Low, Medium, High, Critical, Other. |
| AssetOriginalRiskLevel | Facultatif | string | Niveau de risque affecté à la ressource tel qu’il a été signalé par le système source, avant la normalisation. |
| AssetRiskFirstReportedTime | Facultatif | DateHeure | Horodatage (UTC) du moment où le risque associé à la ressource a été signalé pour la première fois. |
| AssetRiskLastReportedTime | Facultatif | DateHeure | Horodatage (UTC) du moment où le risque associé à la ressource a été signalé le plus récemment. |
| AssetOriginalRiskDetails | Facultatif | Dynamique | Les détails complets des risques pour la ressource, tels qu’ils sont fournis par le système source. |
Champs de fichier (type de ressource)
Cette section capture les propriétés de la ressource spécifique au fichier. Les propriétés doivent être renseignées si est AssetTypeFile.
| Field | Classe | Type | Description |
|---|---|---|---|
| FilePath | Facultatif | string | Chemin d’accès complet du fichier associé à la ressource. |
| FileSize | Facultatif | long | Taille du fichier en octets. |
| FileMD5 | Facultatif | string | Hachage MD5 du fichier associé à la ressource. |
| FileSHA1 | Facultatif | string | Hachage SHA-1 du fichier associé à la ressource. |
| FileSHA256 | Facultatif | string | Hachage SHA-256 du fichier associé à la ressource. |
| FileSHA512 | Facultatif | string | Hachage SHA-512 du fichier associé à la ressource. |
| FileExtension | Facultatif | string | Extension de fichier du fichier associé à la ressource, par exemple .exe ou .pdf. |
| FileIsSignatureValid | Facultatif | bool | Indique si la signature numérique du fichier est valide. |
| FileSignatureDetails | Facultatif | string | Détails sur la signature numérique du fichier, tels que les informations du signataire ou du certificat. |
Champs de site (type de ressource)
Cette section capture les propriétés d’emplacement spécifiques au site pour les ressources de site sharepoint. Les propriétés doivent être renseignées si est AssetTypeSite.
| Field | Classe | Type | Description |
|---|---|---|---|
| SitePath | Facultatif | string | Chemin d’accès du site ou de l’emplacement de stockage associé à la ressource. |
| SitePrimaryUri | Facultatif | string | URI principal du site ou de l’emplacement de stockage associé à la ressource. |
Alias
| Field | Classe | Type | Description |
|---|---|---|---|
| AssetPath | Alias | string | Alias pour FilePath ou SitePath |
| Utilisateur | Alias | string | Alias pour AssetOwnerId. |
Mises à jour de schéma
Voici les modifications apportées aux différentes versions du schéma :
- Version 0.1.0 : version initiale.
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :