Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Skjemaet for Microsoft Sentinel aktivaenhet er utformet for å normalisere ressurser fra ulike produkter til et standardisert format i Microsoft Advanced Security Information Model (ASIM). Dette skjemaet fokuserer utelukkende på ressurser i ikke-Microsoft-datakilder, noe som sikrer konsekvent og effektiv analyse.
Et aktivum er en hvilken som helst dataressurs som en organisasjon lagrer, behandler eller behandler, for eksempel en fil eller et nettsted. Hver ressurs har sikkerhetsrelevante metadata, inkludert eierskap, tillatelser, følsomhetsklassifiseringer og risikoindikatorer. Ressurser kan komme fra et bredt spekter av plattformer, databaser, skylagringstjenester, SaaS-programmer og lokale systemer, og samles inn som enten fullstendige øyeblikksbilder av lagerbeholdningen eller trinnvise endringsfeeder.
Ved å normalisere aktivadata til et felles skjema, gjør Microsoft Sentinel det mulig for sikkerhetsteam å analysere og koordinere aktivainformasjon på tvers av ulike datakilder på en konsekvent måte. Nøkkelfelt i skjemaet inkluderer EntityId og EntityName for unik identifisering av aktiva, AssetType for å skille mellom aktivatyper som Fil eller Område, AssetOwnerId for sporing av eierskap AssetSensitivityLabel og AssetOriginalDataClassificationType for dataklassifiseringskontekst, og EntityFeedType for å angi om en post er et fullstendig øyeblikksbilde av beholdningen eller en trinnvis endring. Denne enhetlige representasjonen driver nedstrømsscenarioer som å identifisere overdelte sensitive filer, spore tillatelsesendringer, oppdage ubeskyttede ressurser og vise risiko på tvers av hele dataområdet gjennom integreringer som Microsoft Purview administrasjon av datasikkerhetsstatus (DSPM).
Bruk av skjemaet gjør det mulig for Microsoft Purview DSPM å administrere datasikkerhetsstilling på tvers av Microsoft- og partnerplattformer. Hvis du vil ha mer informasjon, kan du se Ignite 2025-kunngjøringen som introduserer DSPM partnerøkosystemet.
Hvis du vil ha mer informasjon om normalisering i Microsoft Sentinel, kan du se Normalisering og ASIM (Advanced Security Information Model).
Parsere
Hvis du vil ha mer informasjon om ASIM-analyser, kan du se ASIM-analyseoversikten.
Samlende analyser
Hvis du vil bruke parsere som forener alle ASIM-parsere som er ferdig brukte, og sikrer at analysen kjører på tvers av alle de konfigurerte kildene, bruker _Im_AssetEntity du analysen.
Legg til dine egne normaliserte analyser
Når du utvikler egendefinerte analyser for aktivaenhetsskjemaet, kan du gi navn til KQL-funksjonene ved hjelp av følgende syntaks:
-
vimAssetEntity<vendor><Product>for parametriserte parsere -
ASimAssetEntity<vendor><Product>for vanlige analyser
Se artikkelen Administrere ASIM-analyser for å lære hvordan du legger til egendefinerte parsere i de samlende parserne.
Parametere for filtreringsanalyse
Ressursenhetsanalysene støtter ulike filtreringsparametere for å forbedre spørringsytelsen. Disse parameterne er valgfrie, men kan forbedre spørringsytelsen. Følgende filtreringsparametere er tilgjengelige:
| Navn | Type: | Beskrivelse |
|---|---|---|
| starttidspunkt | Datetime | Filtrer bare ressurser som ble inntatt på eller etter denne tiden. Denne parameteren EntityIngestionTime filtrerer på feltet, som er standardutformingsverktøyet for aktivatidspunktet. |
| Endtime | Datetime | Filtrer bare ressurser som ble inntatt på eller før dette tidspunktet. Denne parameteren EntityIngestionTime filtrerer på feltet, som er standardutformingsverktøyet for aktivatidspunktet. |
| entityid_has_any | Dynamisk | Filtrer bare ressurser der EntityId-feltet er i én av de oppførte verdiene. |
| entityname_has_any | Dynamisk | Filtrer bare ressurser der EntityName-feltet er i én av de oppførte verdiene. |
| assettype_in | Streng | Filtrer bare aktiva som AssetType-feltet er lik parameterverdien for. |
| path_has_any | Dynamisk | Filtrer bare ressurser der FilePath- eller SitePath-feltet er i én av de oppførte verdiene. |
| assetowner_has_any | Dynamisk | Filtrer bare aktiva der feltet AssetOwner eller AdditionalAssetOwners er i én av de oppførte verdiene. |
| entitysource_has_any | Dynamisk | Filtrer bare ressurser der EntitySource-feltet er i én av de oppførte verdiene. |
Skjemadetaljer
Vanlige ASIM-enhetsfelt
Følgende liste nevner felt for et enhetsskjema sammen med de spesifikke retningslinjene for aktivaenheter:
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| EntityUpdatedTime | Obligatorisk | Datetime | Tidsstempelet (UTC) for når enheten ble oppdatert eller samlet inn i kilden. |
| EntityIngestionTime | Valgfri | Datetime | Tidsstempelet (UTC) for når inntakssamlebåndet mottar aktivaloggen. |
| EntityId | Obligatorisk | Streng | Den unike identifikatoren for aktivumet. |
| EntityOriginalId | Valgfri | Streng | Den unike identifikatoren for aktivumet i kilden hvis det er forskjellig fra EntityId. |
| EntityName | Obligatorisk | Streng | Navnet på enheten. |
| EntityNameType | Anbefalt | Streng | Typen enhetsnavn. |
| EntityVendor | Obligatorisk | Streng | Leverandøren eller leverandøren som rapporterte enheten. |
| EntitySource | Obligatorisk | Nummerert | Datakilden eller koblingen som leverte enhetsposten. Støttekilder inkluderer: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherBrukes Other hvis kilden ikke er oppført. |
| EntityOriginalSource | Valgfri | Streng | Den opprinnelige datakilden eller koblingen som leverte enhetsposten, hvis kilden for øyeblikket ikke støttes. |
| EntityProduct | Obligatorisk | Streng | Produktnavnet som er knyttet til kilden som rapporterte enheten. |
| EntitySubProduct | Obligatorisk | Streng | Navnet på delproduktet eller komponenten som er knyttet til kilden som rapporterte enheten. |
| EntityCreatedTime | Obligatorisk | Datetime | Tidsstempelet (UTC) for når enheten opprinnelig ble opprettet i kildesystemet. |
| EntityLastAccessedTime | Valgfri | Datetime | Tidsstempelet (UTC) for når enheten sist ble åpnet. |
| EntityLastModifiedTime | Obligatorisk | Datetime | Tidsstempelet (UTC) for når enheten sist ble endret i kildesystemet. |
| EntityIsDeleted | Valgfri | Bool | Angir om enheten er slettet i kildesystemet. |
| EntityFeedType | Obligatorisk | Nummerert | Typen eller kategorien for datafeeden som leverte enhetsposten. De tillatte verdiene er: Snapshot eller Changefeed. |
| EntitySchema | Obligatorisk | Nummerert | Skjemaet som brukes for enheten. Skjemaet som er dokumentert her, er Asset. |
| EntitySchemaVersion | Obligatorisk | SchemaVersion (streng) | Versjonen av skjemaet. Versjonen av skjemaet som er dokumentert her, er 0.1.0. |
Aktivaeier, felt
Denne delen definerer informasjon om aktivaeieren. Hvis aktivaet har flere eiere, fyller du ut både feltene AssetOwnerId og AdditionalAssetOwners.
AdditionalAssetOwners må være en matrise med strenger, og strengene må ha samme format som AssetOwnerId.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| AssetOwnerId | Obligatorisk | Streng | En maskinlesbar, alfanumerisk, unik representasjon av aktøren. Hvis du vil ha mer informasjon, og for alternative felt for andre ID-er, kan du se Bruker-enheten. |
| AssetOwnerIdType | Anbefalt | Streng | Typen eller formatet til aktivaeieridentifikatoren. Dette er analogt UserIdType med hendelsesskjemaer. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserIdType i artikkelen Oversikt over skjema. |
| AssetOwnerType | Valgfri | Streng | Typen aktivaeier. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserType i artikkelen Oversikt over skjema. |
| AssetOwnerScope | Valgfri | Streng | Organisasjons- eller administrasjonsomfanget som eieren av aktiva tilhører. |
| AssetOwnerScopeId | Valgfri | Streng | Identifikatoren for omfanget som aktivaeieren tilhører. |
| AdditionalAssetOwners | Valgfri | Dynamisk | En dynamisk samling av flere eiere eller medeiere som er knyttet til aktivumet. Dette må være en matrise med strenger. |
Aktivametadatafelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| AADTenantId | Obligatorisk | Streng | Leieren Azure Active Directory som er knyttet til aktivumet eller enheten. |
| IdentityDirectoryName | Valgfri | Streng | Navnet på identitetskatalogen, for eksempel Azure AD, GCP, AWS, som er knyttet til enheten. |
| IdentityDirectoryId | Obligatorisk | Streng | Identifikatoren for identitetskatalogen som er knyttet til enheten. |
| AdditionalFields | Valgfri | Dynamisk | Tilleggsinformasjon om enheten som ikke er registrert av andre felt i skjemaet. |
Aktivatypefelt
Denne delen definerer informasjon om aktivatypen. De gjeldende typene som støttes, er File og Site. Tilleggsegenskapene for aktivatypen må fylles ut.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| AssetType | Obligatorisk | Streng | Den overordnede typen for aktivumet. De tillatte og støttede verdiene er: File, Site. |
| AssetOriginalType | Anbefalt | Streng | Det opprinnelige navnet på aktivatypen på høyt nivå i kilden. |
Aktivasikkerhetsfelt
Denne delen fanger opp ressursens sikkerhetsstilling og eksponeringskontekst, inkludert kildetillatelser, følsomhets- og dataklassifiseringsdetaljer, DLP-beskyttelsesstatus, relaterte trusselindikatorer og den siste klassifiseringsskanningstiden. Det inkluderer også interne og eksterne brukertilgangsantall for å vurdere potensiell eksponering.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| AssetOriginalPermissions | Valgfri | Dynamisk | Det opprinnelige tillatelsessettet tilordnet til aktivumet som rapportert av kildesystemet. |
| AssetSensitivityLabel | Obligatorisk | Streng | Følsomhetsetiketten som brukes på aktivumet. De tillatte verdiene er: Personal, , PublicGeneral, Confidential, Highly Confidential. |
| AssetOriginalSensitivityLevel | Valgfri | Streng | Følsomhetsnivået som rapportert av kildesystemet, før normalisering. |
| AssetIsProtectedByDlp | Valgfri | Bool | Angir om aktivumet er beskyttet av en DLP-policy (Data Loss Prevention). |
| AssetRelatedIndicators | Valgfri | Dynamisk | En dynamisk samling av trusselindikatorer eller signaler relatert til aktivumet. |
| AssetOriginalDataClassificationType | Obligatorisk | Dynamisk | De opprinnelige dataklassifiseringstypene som er tilordnet til aktivumet som rapportert av kildesystemet. Dette må være en matrise med strenger*. |
| AssetClassificationLastScanDateTime | Obligatorisk | Datetime | Tidsstempelet (UTC) for når aktivumet sist ble skannet for dataklassifisering. |
| InternalUsersCount | Valgfri | Int | Antall interne brukere som er tilknyttet eller har tilgang til aktivumet. |
| ExternalUsersCount | Valgfri | Int | Antall eksterne brukere som er tilknyttet eller har tilgang til aktivumet. |
Aktivarisikofelt
Denne delen fanger opp risikokontekst for aktivumet, inkludert normaliserte og kilderapporterte risikonavn og -nivåer, tidsstempler for første og siste rapport og detaljer om leverandørspesifikk risiko.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| AssetRiskName | Valgfri | Streng | Det normaliserte navnet på risikoen eller trusselen som er knyttet til aktivumet. |
| AssetRiskLevel | Valgfri | Nummerert | Det normaliserte risikonivået som er tilordnet aktivumet. De tillatte verdiene er: Info, , LowMedium, High, . OtherCritical |
| AssetOriginalRiskLevel | Valgfri | Streng | Risikonivået som er tilordnet til aktivumet som rapportert av kildesystemet, før normalisering. |
| AssetRiskFirstReportedTime | Valgfri | Datetime | Tidsstempelet (UTC) for når risikoen knyttet til aktivumet først ble rapportert. |
| AssetRiskLastReportedTime | Valgfri | Datetime | Tidsstempelet (UTC) for når risikoen knyttet til aktivumet sist ble rapportert. |
| AssetOriginalRiskDetails | Valgfri | Dynamisk | Detaljer om full risiko for aktivumet som leveres av kildesystemet. |
Filfelt (aktivatype)
Denne delen registrerer filspesifikke aktivaegenskaper. Egenskapene må fylles ut hvis AssetType er Fil.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| FilePath | Valgfri | Streng | Den fullstendige banen til filen som er knyttet til aktivumet. |
| Filstørrelse | Valgfri | Lang | Størrelsen på filen i byte. |
| FileMD5 | Valgfri | Streng | MD5-hash-koden for filen som er knyttet til aktivumet. |
| FileSHA1 | Valgfri | Streng | SHA-1-hash-koden for filen som er knyttet til aktivumet. |
| FileSHA256 | Valgfri | Streng | SHA-256-hash-koden for filen som er knyttet til aktivumet. |
| FileSHA512 | Valgfri | Streng | SHA-512-hash-koden for filen som er knyttet til aktivumet. |
| FileExtension | Valgfri | Streng | Filtypen til filen som er knyttet til ressursen, for eksempel .exe eller .pdf. |
| FileIsSignatureValid | Valgfri | Bool | Angir om den digitale signaturen til filen er gyldig. |
| FileSignatureDetails | Valgfri | Streng | Detaljer om filens digitale signatur, for eksempel signataren eller sertifikatinformasjonen. |
Områdefelt (aktivatype)
Denne delen registrerer områdespesifikke plasseringsegenskaper for sharepoint-områderessurser. Egenskapene må fylles ut hvis AssetType det er området.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| SitePath | Valgfri | Streng | Banen til området eller lagringsplasseringen som er knyttet til aktivumet. |
| SitePrimaryUri | Valgfri | Streng | Den primære URI-en for området eller lagringsplasseringen som er knyttet til aktivumet. |
Aliaser
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| AssetPath | Alias | Streng | Aliaset for én FilePath av dem eller SitePath |
| Bruker | Alias | Streng | Aliaset for AssetOwnerId. |
Skjemaoppdateringer
Følgende er endringene i ulike versjoner av skjemaet:
- Versjon 0.1.0: Første utgivelse.
Neste trinn
Hvis du vil ha mer informasjon, kan du se: