Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Et ASIM-skjema (Advanced Security Information Model) er et sett med felt som representerer en aktivitet eller enhet. Bruk av feltene fra et normalisert skjema i en spørring sikrer at spørringen fungerer med alle normaliserte kilder.
Hvis du vil forstå hvordan skjemaer passer inn i ASIM-arkitekturen, kan du se ASIM-arkitekturdiagrammet.
Aktivitets-/hendelsesskjemaer
Skjemareferanser beskriver feltene som utgjør hvert skjema. ASIM definerer for øyeblikket følgende skjemaer for hendelser:
| Skjemaet | Skjemanavn for tester | Versjon | Status |
|---|---|---|---|
| Varselhendelse | AlertEvent |
0.1 | GA |
| Overvåkingshendelse | AuditEvent |
0.1.2 | GA |
| Godkjenningshendelse | Authentication |
0.1.4 | GA |
| DHCP-aktivitet | DhcpEvent |
0.1.1 | GA |
| DNS-aktivitet | Dns |
0.1.7 | GA |
| Filaktivitet | FileEvent |
0.2.2 | GA |
| Nettverksøkt | NetworkSession |
0.2.7 | GA |
| Prosesshendelse | ProcessEvent |
0.1.4 | GA |
| Registerhendelse | RegistryEvent |
0.1.3 | GA |
| Brukeradministrasjon | UserManagement |
0.1.2 | GA |
| Webøkt | WebSession |
0.2.7 | GA |
Enhetsskjemaer
ASIM definerer for øyeblikket følgende skjemaer for enheter:
| Skjemaet | Skjemanavn for tester | Versjon | Status |
|---|---|---|---|
| Aktivaenhet | AssetEntity |
0.1.0 | GA |
For enheter som er en del av andre ASIM-skjemaer, kan du se Hendelsesenheter.
Feltnavn
Kjernen i hvert skjema er feltnavnene. Feltnavn tilhører følgende grupper:
- Felt som er felles for alle skjemaer.
- Felt som er spesifikke for et skjema.
- Felt som representerer enheter, for eksempel brukere, som deltar i skjemaet. Felt som representerer enheter , er like på tvers av skjemaer.
Når kilder har felt som ikke vises i det dokumenterte skjemaet, normaliseres de for å opprettholde konsekvens. Hvis de ekstra feltene representerer en enhet, normaliseres de basert på retningslinjene for enhetsfeltet. Ellers forsøker skjemaene å holde konsekvens på tvers av alle skjemaer.
Selv om for eksempel dns-serveraktivitetslogger ikke gir brukerinformasjon, kan DNS-aktivitetslogger fra et endepunkt inneholde brukerinformasjon, som kan normaliseres i henhold til retningslinjene for brukerenheten.
Vanlige felt
Noen felt er felles for alle ASIM-skjemaer. Hvert skjema kan legge til retningslinjer for bruk av noen av fellesfeltene i konteksten til det bestemte skjemaet. Tillatte verdier for EventType-feltet kan for eksempel variere per skjema, i likhet med verdien i EventSchemaVersion-feltet .
Feltklasser
Felt kan ha flere klasser, som definerer når feltene skal implementeres av en analyse:
- Obligatoriske felt må vises i hver parser. Hvis kilden ikke oppgir informasjon for denne verdien, eller hvis ikke dataene kan legges til, støttes ikke de fleste innholdselementene som refererer til det normaliserte skjemaet.
- Anbefalte felt bør normaliseres hvis tilgjengelige. Det kan imidlertid hende at de ikke er tilgjengelige i alle kilder. Alle innholdselementer som refererer til det normaliserte skjemaet, bør ta hensyn til tilgjengelighet.
- Valgfrie felt, hvis de er tilgjengelige, kan normaliseres eller beholdes i sin opprinnelige form. Vanligvis ville ikke en minimal analyse normalisere dem av ytelsesårsaker.
- Betingede felt er obligatoriske hvis feltet de følger er fylt ut. Betingede felt brukes vanligvis til å beskrive verdien i et annet felt. For eksempel beskriver fellesfeltet DvcIdType verdien i fellesfeltet DvcId og er derfor obligatorisk hvis sistnevnte fylles ut.
- Alias er en spesiell type for et betinget felt, og er obligatorisk hvis aliasfeltet fylles ut.
Hendelsesenheter
Hendelser utvikler seg rundt enheter, for eksempel brukere, verter, prosesser eller filer. Hver enhet kan kreve flere felt for å beskrive den. En vert kan for eksempel ha et navn og en IP-adresse.
Én enkelt post kan inneholde flere enheter av samme type, for eksempel både en kilde- og målvert.
ASIM definerer hvordan du beskriver enheter konsekvent, og enheter tillater utvidelse av skjemaene.
Selv om for eksempel nettverksøktskjemaet ikke inneholder prosessinformasjon, gir noen hendelseskilder prosessinformasjon som kan legges til. Hvis du vil ha mer informasjon, kan du se Enheter.
For å aktivere enhetsfunksjonalitet har enhetsrepresentasjon følgende retningslinjer:
| Retningslinje | Beskrivelse |
|---|---|
| Prefikser og aliaser | Siden én enkelt hendelse ofte inneholder mer enn én enhet av samme type, for eksempel kilde- og målverter, brukes prefikser til å identifisere enheten som et felt er tilknyttet. For å opprettholde normalisering bruker ASIM et lite sett med standardprefikser, og velger de mest relevante for den spesifikke rollen til enhetene. Hvis én enkelt enhet av en type er relevant for en hendelse, er det ikke nødvendig å bruke et prefiks. Et sett med felt uten prefiksaliaserer også den mest brukte enheten for hver type. |
| Identifikatorer og typer | Et normalisert skjema muliggjør flere identifikatorer for hver enhet, som vi forventer å eksistere sammen i hendelser. Hvis kildehendelsen har andre enhetsidentifikatorer som ikke kan tilordnes til det normaliserte skjemaet, beholder du dem i kildeskjemaet eller bruker det dynamiske feltet AdditionalFields . Hvis du vil beholde typeinformasjonen for identifikatorene, lagrer du typen, når det er aktuelt, i et felt med samme navn og et suffiks av type. For eksempel UserIdType. |
| Attributter | Enheter har ofte andre attributter som ikke fungerer som en identifikator, og kan også kvalifiseres med en beskrivelse. Hvis kildebrukeren for eksempel har domeneinformasjon, er det normaliserte feltet SrcUserDomain. |
Hvis du vil ha mer informasjon om bestemte enhetstyper, kan du se:
Hvis du vil ha mer informasjon om fullstendige enhetsskjemaer, kan du se:
Aliaser
Aliaser tillater flere navn for en angitt verdi. I noen tilfeller forventer forskjellige brukere at et felt har forskjellige navn. I DNS-terminologi kan du for eksempel forvente et felt kalt DnsQuery, mens det generelt sett inneholder et domenenavn. Aliasdomenet hjelper brukeren ved å tillate bruk av begge navnene.
Obs!
Aliaser er ment å hjelpe en analytiker med interaktive spørringer. Når du bruker spørringer i innhold som kan brukes på nytt, for eksempel egendefinerte gjenkjenninger, analyseregler eller arbeidsbøker, bruker du aliasfeltet i stedet for aliaset. Bruk av aliasfeltet sikrer bedre ytelse, mindre feil og bedre lesbarhet for spørringer.
I noen tilfeller kan et alias ha verdien til ett av flere felt, avhengig av hvilke verdier som er tilgjengelige i hendelsen.
Dvc-aliaset, aliasene enten DvcFQDN-, DvcId-, DvcHostname- eller DvcIpAddr- eller Event Product-feltene. Når et alias kan ha flere verdier, må typen være en streng for å få plass til alle mulige aliasverdier. Som et resultat, når du tilordner en verdi til et slikt alias, må du sørge for å konvertere typen til streng ved hjelp av KQL-funksjonen tilstrenging.
Opprinnelige normaliserte tabeller inkluderer ikke aliaser, da de innebærer duplisert datalagring. I stedet legger stub-parserne til aliasene. Hvis du vil implementere aliaser i analyser, oppretter du en kopi av den opprinnelige verdien ved hjelp av operatoren extend .
Logiske typer
Hvert skjemafelt har en type. Log Analytics-arbeidsområdet har et begrenset sett med datatyper. Derfor bruker Microsoft Sentinel en logisk type for mange skjemafelt, som Log Analytics ikke fremtvinger, men som kreves for skjemakompatibilitet. Logiske felttyper sikrer at både verdier og feltnavn er konsekvente på tvers av kilder.
| Datatype | Fysisk type | Format og verdi |
|---|---|---|
| Boolsk | Bool | Bruk den innebygde KQL-datatypen bool i stedet for en numerisk eller strengrepresentasjon av boolske verdier. |
| Nummerert | Streng | En liste over verdier som eksplisitt er definert for feltet. Skjemadefinisjonen viser de godtatte verdiene. |
| Dato/klokkeslett | Avhengig av inntaksmetodefunksjonen, kan du bruke følgende fysiske representasjoner i synkende prioritet: – Innebygd datetime-type for Log Analytics – Et heltallsfelt ved hjelp av log analytics datetime numerisk representasjon. – Et strengfelt som bruker log analytics datetime numerisk representasjon – Et strengfelt som lagrer et støttet dato/klokkeslettformat for logganalyse. |
Log Analytics-dato og klokkeslettrepresentasjon er lik, men forskjellig fra Unix-tidsrepresentasjon. Hvis du vil ha mer informasjon, kan du se retningslinjene for konvertering. Obs! Når det er aktuelt, bør klokkeslettet justeres. |
| MAC-adresse | Streng | Colon-Hexadecimal notasjon. |
| IP-adresse | Streng | Microsoft Sentinel skjemaer har ikke separate IPv4- og IPv6-adresser. Alle IP-adressefelt kan inneholde enten en IPv4-adresse eller en IPv6-adresse, som følger: - IPv4 i en punkt-desimal-notasjon. - IPv6 i 8-hextets notasjon, som tillater kortform. Eksempel: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Kort IPv6-skjema: 1080::8:800:200C:417A |
| FQDN | Streng | Et fullstendig domenenavn ved hjelp av en punkt notasjon, for eksempel learn.microsoft.com. Hvis du vil ha mer informasjon, kan du se Enhetens enhet. |
| Vertsnavn | Streng | Et vertsnavn som ikke er en FQDN, inneholder opptil 63 tegn, inkludert bokstaver, tall og bindestreker. Hvis du vil ha mer informasjon, kan du se Enhetens enhet. |
| Domene | Streng | domenedelen av en FQDN, for eksempel learn.microsoft.comuten vertsnavnet. Hvis du vil ha mer informasjon, kan du se Enhetens enhet. |
| DomainType | Nummerert | Domenetypen som er lagret i domene- og FQDN-felt. Hvis du vil ha en liste over verdier og mer informasjon, kan du se Enhetens enhet. |
| DvcIdType | Nummerert | Typen enhets-ID som er lagret i DvcId-felt. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DvcIdType. |
| DeviceType | Nummerert | Enhetstypen som er lagret i DeviceType-felt. Mulige verdier inkluderer: - Computer- Mobile Device- IOT Device- Other. Hvis du vil ha mer informasjon, kan du se Enhetens enhet. |
| Brukernavn | Streng | Et gyldig brukernavn i en av de støttede typene. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. |
| UsernameType | Nummerert | Typen brukernavn som er lagret i brukernavnfelt. Hvis du vil ha mer informasjon og en liste over støttede verdier, kan du se Bruker-enheten. |
| UserIdType | Nummerert | Typen ID som er lagret i bruker-ID-felt. Verdier som støttes, er SID, UIS, AADIDOktaId, AWSIdog PUID. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. |
| UserType | Nummerert | Typen bruker. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se Bruker-enheten. |
| AppType | Nummerert | Programtypen. Hvis du vil ha en liste over støttede verdier, kan du se Programenheten. |
| Land | Streng | En streng som bruker ISO 3166-1, i henhold til følgende prioritet: - Alfa-2-koder, for eksempel US for USA. - Alfa-3-koder, for eksempel USA for USA. - Kort navn. Listen over koder finner du på nettstedet til International Standards Organization (ISO). |
| Regionen | Streng | Navnet på underinndelingen for land/område ved hjelp av ISO 3166-2. Listen over koder finner du på nettstedet til International Standards Organization (ISO). |
| By | Streng | |
| Lengdegrad | Dobbel | ISO 6709-koordinat representasjon (signert desimal). |
| Latitude | Dobbel | ISO 6709-koordinat representasjon (signert desimal). |
| MD5 | Streng | 32 heksadesimale tegn. |
| SHA1 | Streng | 40 heksadesimale tegn. |
| SHA256 | Streng | 64-heksadesimale tegn. |
| SHA512 | Streng | 128 heksadesimale tegn. |
| Konfidensnivå | Heltall | Et konfidensnivå normalisert til området 0 til 100. |
| RiskLevel | Heltall | Et risikonivå normalisert til området 0 til 100. |
| SchemaVersion | Streng | En ASIM-skjemaversjon i formatet <major>.<minor>.<sub-minor> |
| DnsQueryClassName | Streng | DNS-klassenavnet. |
| Brukernavn | Streng | Et enkelt eller domenekvalifisert brukernavn |
Eksempel på enhetstilordning
Denne delen bruker Windows-hendelsen 4624 som et eksempel for å beskrive hvordan hendelsesdataene normaliseres for Microsoft Sentinel.
Denne hendelsen har følgende enheter:
| Microsoft-terminologi | Opprinnelig prefiks for hendelsesfelt | Prefiks for ASIM-felt | Beskrivelse |
|---|---|---|---|
| Emne | Subject |
Actor |
Brukeren som rapporterte informasjon om en vellykket pålogging. |
| Ny pålogging | Target |
TargetUser |
Brukeren som påloggingen ble utført for. |
| Prosessen | - | ActingProcess |
Prosessen som forsøkte påloggingen. |
| Nettverksinformasjon | - | Src |
Maskinen som et påloggingsforsøk ble utført fra. |
Basert på disse enhetene normaliseres Windows-hendelse 4624 som følger (noen felt er valgfrie):
| Normalisert felt | Opprinnelig felt | Verdi i eksempel | Merknader |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | ARBEIDSGRUPPE\WIN-GG82ULGC9GO$ | Bygd ved å sette sammen de to feltene |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| Brukerid | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Bygd ved å sette sammen de to feltene |
| Brukernavn | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | Ipaddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Datamaskinen | WIN-GG82ULGC9GO | |
| Vertsnavn | Datamaskinen | Alias |
Neste trinn
Denne artikkelen gir en oversikt over normalisering i Microsoft Sentinel og ASIM.
Hvis du vil ha mer informasjon, kan du se: