Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het Microsoft Sentinel Asset Entity Schema is ontworpen om assets van verschillende producten te normaliseren in een gestandaardiseerde indeling binnen Microsoft Advanced Security Information Model (ASIM). Dit schema is uitsluitend gericht op assets in niet-Microsoft-gegevensbronnen, waardoor een consistente en efficiënte analyse wordt gegarandeerd.
Een asset is een gegevensresource die een organisatie opslaat, verwerkt of beheert, zoals een bestand of site. Elke asset bevat beveiligingsgerelateerde metagegevens, waaronder eigendom, machtigingen, vertrouwelijkheidsclassificaties en risico-indicatoren. Assets kunnen afkomstig zijn van een breed scala aan platforms, databases, cloudopslagservices, SaaS-toepassingen en on-premises systemen en worden verzameld als momentopnamen van volledige inventaris of incrementele wijzigingsfeeds.
Door assetgegevens te normaliseren in een gemeenschappelijk schema, stelt Microsoft Sentinel beveiligingsteams in staat om assetinformatie over verschillende gegevensbronnen op een consistente manier te analyseren en te correleren. Belangrijke velden in het schema zijn EntityId en EntityName voor het uniek identificeren van assets, AssetType voor het onderscheiden van assettypen zoals Bestand of Site, AssetOwnerId voor het bijhouden van eigendom AssetSensitivityLabel en AssetOriginalDataClassificationType voor de context van gegevensclassificatie, en EntityFeedType voor het aangeven of een record een momentopname van een volledige inventaris of een incrementele wijziging is. Deze geïntegreerde weergave zorgt voor downstreamscenario's, zoals het identificeren van overshared gevoelige bestanden, het bijhouden van machtigingswijzigingen, het detecteren van niet-beveiligde assets en het blootstellen van risico's voor het hele gegevensdomein via integraties zoals Microsoft Purview Data Security Posture Management (DSPM).
Met het gebruik van het schema kunnen Microsoft Purview-DSPM gegevensbeveiligingspostuur beheren op microsoft- en partnerplatforms. Zie de aankondiging van Ignite 2025 over de introductie van het DSPM partnerecosysteem voor meer informatie.
Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Parsers
Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.
Parseerfuncties samenvoegen
Als u parsers wilt gebruiken waarmee alle out-of-the-box ASIM-parsers worden samengevoegd en ervoor wilt zorgen dat uw analyse wordt uitgevoerd in alle geconfigureerde bronnen, gebruikt u de _Im_AssetEntity parser.
Uw eigen genormaliseerde parsers toevoegen
Bij het ontwikkelen van aangepaste parsers voor het assetentiteitsschema geeft u de KQL-functies een naam met behulp van de volgende syntaxis:
-
vimAssetEntity<vendor><Product>voor geparameteriseerde parsers -
ASimAssetEntity<vendor><Product>voor normale parsers
Raadpleeg het artikel ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de samenvoegingsparseer.
Parameters voor filteren van parser
De parsers van de assetentiteit ondersteunen verschillende filterparameters om de queryprestaties te verbeteren. Deze parameters zijn optioneel, maar kunnen uw queryprestaties verbeteren. De volgende filterparameters zijn beschikbaar:
| Naam | Type | Beschrijving |
|---|---|---|
| Starttime | Datetime | Filter alleen assets die op of na deze tijd zijn opgenomen. Met deze parameter filtert u op het EntityIngestionTime veld, dat de standaardinstelling is voor de tijd van de asset. |
| Eindtijd | Datetime | Filter alleen assets die op of vóór deze tijd zijn opgenomen. Met deze parameter filtert u op het EntityIngestionTime veld, dat de standaardinstelling is voor de tijd van de asset. |
| entityid_has_any | Dynamische | Filter alleen assets waarvoor het veld EntityId zich in een van de vermelde waarden bevindt. |
| entityname_has_any | Dynamische | Filter alleen assets waarvoor het veld 'EntityName' zich in een van de vermelde waarden bevindt. |
| assettype_in | tekenreeks | Filter alleen assets waarvoor het veld AssetType gelijk is aan de parameterwaarde. |
| path_has_any | Dynamische | Filter alleen assets waarvoor het veld 'FilePath' of 'SitePath' zich in een van de vermelde waarden bevindt. |
| assetowner_has_any | Dynamische | Filter alleen assets waarvoor het veld 'AssetOwner' of 'AdditionalAssetOwners' zich in een van de vermelde waarden bevindt. |
| entitysource_has_any | Dynamische | Filter alleen assets waarvoor het veld EntitySource zich in een van de vermelde waarden bevindt. |
Schemadetails
Algemene ASIM-entiteitsvelden
In de volgende lijst worden velden voor een entiteitsschema vermeld naast de specifieke richtlijnen voor activatiteiten:
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EntityUpdatedTime | Verplicht | Datetime | De tijdstempel (UTC) van wanneer de entiteit is bijgewerkt of verzameld bij de bron. |
| EntityIngestionTime | Optioneel | Datetime | De tijdstempel (UTC) van wanneer de opnamepijplijn het assetlogboek ontvangt. |
| EntityId | Verplicht | tekenreeks | De unieke id van de asset. |
| EntityOriginalId | Optioneel | tekenreeks | De unieke id van de asset bij de bron als deze verschilt van 'EntityId'. |
| EntityName | Verplicht | tekenreeks | De naam van de entiteit. |
| EntityNameType | Aanbevolen | tekenreeks | Het type van de entiteitsnaam. |
| EntityVendor | Verplicht | tekenreeks | De leverancier of provider die de entiteit heeft gerapporteerd. |
| EntitySource | Verplicht | Opgesomde | De gegevensbron of connector die de entiteitsrecord heeft geleverd. Ondersteuningsbronnen zijn onder andere: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherGebruik Other als de bron niet wordt vermeld. |
| EntityOriginalSource | Optioneel | tekenreeks | De oorspronkelijke gegevensbron of connector die de entiteitsrecord heeft geleverd, als de bron momenteel niet wordt ondersteund. |
| EntityProduct | Verplicht | tekenreeks | De productnaam die is gekoppeld aan de bron die de entiteit heeft gerapporteerd. |
| EntitySubProduct | Verplicht | tekenreeks | De naam van het subproduct of onderdeel dat is gekoppeld aan de bron die de entiteit heeft gerapporteerd. |
| EntityCreatedTime | Verplicht | Datetime | De tijdstempel (UTC) van wanneer de entiteit oorspronkelijk is gemaakt in het bronsysteem. |
| EntityLastAccessedTime | Optioneel | Datetime | De tijdstempel (UTC) van wanneer de entiteit voor het laatst is geopend. |
| EntityLastModifiedTime | Verplicht | Datetime | De tijdstempel (UTC) van wanneer de entiteit voor het laatst is gewijzigd in het bronsysteem. |
| EntityIsDeleted | Optioneel | Bool | Geeft aan of de entiteit is verwijderd in het bronsysteem. |
| EntityFeedType | Verplicht | Opgesomde | Het type of de categorie van de gegevensfeed die de entiteitsrecord heeft geleverd. De toegestane waarden zijn: Snapshot of Changefeed. |
| EntitySchema | Verplicht | Opgesomde | Het schema dat wordt gebruikt voor de entiteit. Het schema dat hier wordt beschreven, is Asset. |
| EntitySchemaVersion | Verplicht | SchemaVersion (tekenreeks) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.0. |
Velden van asseteigenaar
In deze sectie wordt informatie over de eigenaar van het asset gedefinieerd. Als uw asset meerdere eigenaren heeft, vult u beide velden AssetOwnerId en AdditionalAssetOwnersin.
AdditionalAssetOwners moet een matrix met tekenreeksen zijn en de tekenreeksen moeten dezelfde indeling hebben als AssetOwnerId.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| AssetOwnerId | Verplicht | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de Actor. Zie De entiteit Gebruiker voor meer informatie en voor alternatieve velden voor andere id's. |
| AssetOwnerIdType | Aanbevolen | tekenreeks | Het type of de indeling van de id van de asseteigenaar. Dit is vergelijkbaar UserIdType met in gebeurtenisschema's. Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| AssetOwnerType | Optioneel | tekenreeks | Het type asseteigenaar. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| AssetOwnerScope | Optioneel | tekenreeks | Het organisatie- of beheerbereik waartoe de eigenaar van het asset behoort. |
| AssetOwnerScopeId | Optioneel | tekenreeks | De id van het bereik waartoe de asseteigenaar behoort. |
| AdditionalAssetOwners | Optioneel | Dynamische | Een dynamische verzameling van extra eigenaren of mede-eigenaren die aan het asset zijn gekoppeld. Dit moet een matrix met tekenreeksen zijn. |
Velden met metagegevens van activa
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| AADTenantId | Verplicht | tekenreeks | De Azure Active Directory-tenant-id die is gekoppeld aan de asset of entiteit. |
| IdentityDirectoryName | Optioneel | tekenreeks | De naam van de identiteitsmap, zoals Azure AD, GCP, AWS, die is gekoppeld aan de entiteit. |
| IdentityDirectoryId | Verplicht | tekenreeks | De id van de identiteitsmap die is gekoppeld aan de entiteit. |
| AdditionalFields | Optioneel | Dynamische | Aanvullende informatie over de entiteit die niet is vastgelegd door andere velden in het schema. |
Velden voor assettype
In deze sectie wordt informatie over het assettype gedefinieerd. De huidige typen die worden ondersteund, zijn File en Site. De aanvullende eigenschappen van het assettype moeten worden ingevuld.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| AssetType | Verplicht | tekenreeks | Het type asset op hoog niveau. De toegestane en ondersteunde waarden zijn: File, Site. |
| AssetOriginalType | Aanbevolen | tekenreeks | De oorspronkelijke naam van het type asset op hoog niveau bij de bron. |
Velden voor activabeveiliging
In deze sectie worden de beveiligingspostuur en blootstellingscontext van de asset vastgelegd, waaronder bronmachtigingen, vertrouwelijkheid en gegevensclassificatiedetails, DLP-beveiligingsstatus, gerelateerde bedreigingsindicatoren en de laatste scantijd van de classificatie. Het bevat ook interne en externe gebruikerstoegangsaantallen om potentiële blootstelling te helpen beoordelen.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| AssetOriginalPermissions | Optioneel | Dynamische | De oorspronkelijke machtigingenset die is toegewezen aan de asset zoals gerapporteerd door het bronsysteem. |
| AssetSensitivityLabel | Verplicht | tekenreeks | Het vertrouwelijkheidslabel dat is toegepast op de asset. De toegestane waarden zijn: Personal, Public, General, Confidential, . Highly Confidential |
| AssetOriginalSensitivityLevel | Optioneel | tekenreeks | Het gevoeligheidsniveau zoals gerapporteerd door het bronsysteem, vóór normalisatie. |
| AssetIsProtectedByDlp | Optioneel | Bool | Geeft aan of de asset wordt beveiligd door een DLP-beleid (Preventie van gegevensverlies). |
| AssetRelatedIndicators | Optioneel | Dynamische | Een dynamische verzameling bedreigingsindicatoren of -signalen met betrekking tot de asset. |
| AssetOriginalDataClassificationType | Verplicht | Dynamische | De oorspronkelijke gegevensclassificatietypen die zijn toegewezen aan de asset, zoals gerapporteerd door het bronsysteem. Dit moet een matrix met tekenreeksen* zijn. |
| AssetClassificationLastScanDateTime | Verplicht | Datetime | De tijdstempel (UTC) van wanneer de asset voor het laatst is gescand voor gegevensclassificatie. |
| InternalUsersCount | Optioneel | int | Het aantal interne gebruikers dat is gekoppeld aan of toegang heeft tot de asset. |
| ExternalUsersCount | Optioneel | int | Het aantal externe gebruikers dat is gekoppeld aan of toegang heeft tot de asset. |
Velden activarisico
In deze sectie wordt de risicocontext voor de asset vastgelegd, met inbegrip van genormaliseerde en brongerapporteerde risiconamen en -niveaus, tijdstempels voor het eerste en laatste rapport en providerspecifieke risicodetails.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| AssetRiskName | Optioneel | tekenreeks | De genormaliseerde naam van het risico of de bedreiging die aan de asset is gekoppeld. |
| AssetRiskLevel | Optioneel | Opgesomde | Het genormaliseerde risiconiveau dat aan het activum is toegewezen. De toegestane waarden zijn: Info, MediumLow, , High, Critical, . Other |
| AssetOriginalRiskLevel | Optioneel | tekenreeks | Het risiconiveau dat is toegewezen aan de asset zoals gerapporteerd door het bronsysteem, vóór normalisatie. |
| AssetRiskFirstReportedTime | Optioneel | Datetime | De tijdstempel (UTC) van wanneer het risico dat aan de asset is gekoppeld voor het eerst is gerapporteerd. |
| AssetRiskLastReportedTime | Optioneel | Datetime | De tijdstempel (UTC) van wanneer het risico dat aan de asset is gekoppeld, het laatst is gerapporteerd. |
| AssetOriginalRiskDetails | Optioneel | Dynamische | De volledige risicodetails voor de asset zoals verstrekt door het bronsysteem. |
Bestandsvelden (assettype)
In deze sectie worden bestandsspecifieke eigenschappen van assets vastgelegd. De eigenschappen moeten worden ingevuld als bestand AssetTypeis.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Filepath | Optioneel | tekenreeks | Het volledige pad van het bestand dat is gekoppeld aan de asset. |
| Bestandsgrootte | Optioneel | Lange | De grootte van het bestand in bytes. |
| FileMD5 | Optioneel | tekenreeks | De MD5-hash van het bestand dat is gekoppeld aan de asset. |
| FileSHA1 | Optioneel | tekenreeks | De SHA-1-hash van het bestand dat is gekoppeld aan de asset. |
| BestandSHA256 | Optioneel | tekenreeks | De SHA-256-hash van het bestand dat is gekoppeld aan de asset. |
| BestandSHA512 | Optioneel | tekenreeks | De SHA-512-hash van het bestand dat is gekoppeld aan de asset. |
| FileExtension | Optioneel | tekenreeks | De bestandsextensie van het bestand dat is gekoppeld aan de asset, zoals .exe of .pdf. |
| FileIsSignatureValid | Optioneel | Bool | Geeft aan of de digitale handtekening van het bestand geldig is. |
| FileSignatureDetails | Optioneel | tekenreeks | Details over de digitale handtekening van het bestand, zoals de gegevens van de ondertekenaar of het certificaat. |
Sitevelden (assettype)
In deze sectie worden sitespecifieke locatie-eigenschappen voor sharepoint-siteassets vastgelegd. De eigenschappen moeten worden ingevuld als de AssetTypesite is.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| SitePath | Optioneel | tekenreeks | Het pad van de site of opslaglocatie die is gekoppeld aan de asset. |
| SitePrimaryUri | Optioneel | tekenreeks | De primaire URI van de site of opslaglocatie die is gekoppeld aan de asset. |
Aliassen
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| AssetPath | Alias | tekenreeks | De alias voor of FilePathSitePath |
| Gebruiker | Alias | tekenreeks | De alias voor AssetOwnerId. |
Schema-updates
Hier volgen de wijzigingen in verschillende versies van het schema:
- Versie 0.1.0: Eerste release.
Volgende stappen
Zie voor meer informatie: