Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O esquema de normalização de Eventos do Agente Microsoft Sentinel representa eventos associados às atividades e telemetria dos agentes de IA que operam em ambientes empresariais. Estes eventos capturam todo o espectro de interações do agente, incluindo invocações de modelos, utilização de ferramentas, consumo de tokens, processos de pensamento e comunicação entre agentes de origem e de destino. Estas atividades são geradas por uma vasta gama de arquiteturas e plataformas de agentes de IA, cada uma produzindo telemetria no seu próprio formato.
Cada plataforma de agente de IA regista eventos do agente como parte da telemetria operacional. Normalizar estes eventos com o esquema ASIM permite que os analistas de segurança correlacionem os comportamentos dos agentes entre plataformas, detetem padrões anómalos e investiguem incidentes sem terem de aprender o formato proprietário de cada origem.
Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Analisadores
Implementar e utilizar analisadores de eventos do agente
Implemente os analisadores de Eventos do Agente ASIM a partir do Microsoft Sentinel repositório do GitHub. Para consultar todas as origens de eventos _Im_AgentEvent do agente, utilize o analisador unificador como o nome da tabela na consulta.
Para obter mais informações sobre a utilização de analisadores ASIM, veja Descrição geral dos analisadores asIM.
Adicionar os seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações do Evento do Agente, atribua um nome às funções KQL com a seguinte sintaxe:
-
ASimAgentEvent<vendor><Product>para analisadores regulares -
vimAgentEvent<vendor><Product>para analisadores parametrizados
Para adicionar analisadores personalizados ao analisador unificador unificador do Evento do Agente, veja Managing ASIM parsers (Gerir analisadores ASIM).
Filtrar parâmetros do analisador
Os analisadores de eventos do agente suportam parâmetros de filtragem. Embora estes parâmetros sejam opcionais, podem melhorar o desempenho da consulta.
Estão disponíveis os seguintes parâmetros de filtragem:
| Nome | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtre apenas os eventos que foram executados em ou depois desta hora. Este parâmetro utiliza o TimeGenerated campo como o designador de hora do evento. |
| endtime | datetime | Filtre apenas os eventos que terminaram de ser executados em ou antes desta hora. Este parâmetro utiliza o TimeGenerated campo como o designador de hora do evento. |
| agentid_has_any | dinâmico | Filtre apenas eventos que tenham qualquer um dos IDs do agente, conforme representado no campo SrcAgentId, TargetAgentId ou PlatformTargetAgentId . |
| agentname_has_any | dinâmico | Filtre apenas eventos que tenham qualquer um dos nomes dos agentes, conforme representado no campo SrcAgentName, TargetAgentName ou PlatformTargetAgentName . |
| username_has_any | dinâmico | Filtre apenas eventos que tenham qualquer um dos nomes de utilizador listados, conforme representado no campo ActorUsername . |
Alguns parâmetros podem aceitar a lista de valores do tipo dynamic ou um único valor de cadeia. Para transmitir uma lista literal para parâmetros que esperam um valor dinâmico, utilize explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])
Por exemplo, para filtrar apenas eventos do agente com os nomes M365Planner dos agentes do último dia, utilize:
_Im_AgentEvent (agentname_has_any=dynamic(['M365Planner']), starttime = ago(1d), endtime=now())
Detalhes do esquema
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhe no artigo Campos Comuns do ASIM .
Campos comuns com diretrizes específicas
A lista seguinte menciona campos que têm diretrizes específicas para eventos de agentes:
Todos os campos comuns
Os campos nesta tabela são comuns a todos os esquemas ASIM. Todas as diretrizes especificadas neste documento substituem as diretrizes gerais de cada campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, veja o artigo Campos Comuns do ASIM .
| Classe | Fields |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Recomendado |
-
EventUid |
| Opcional |
-
EventOriginalUid - EventOriginalType - EventOriginalResultDetails - Campos Adicionais |
Informações do agente de origem
Campos do agente de destino
Campos do agente de destino da plataforma
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Opcional | Cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível por computador do Ator. Para obter mais informações e campos alternativos para outros IDs, veja A entidade Utilizador. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorUserIdType | Opcional | Cadeia de caracteres | O tipo do ID armazenado no campo ActorUserId . Para obter mais informações e lista de valores permitidos, veja UserIdType no artigo Descrição Geral do Esquema. |
| ActorUserScope | Opcional | Cadeia de caracteres | O âmbito, como Microsoft Entra Nome de Domínio, no qual ActorUserId e ActorUsername estão definidos. Para obter mais informações e uma lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| ActorUserScopeId | Opcional | Cadeia de caracteres | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual ActorUserId e ActorUsername estão definidos. Para obter mais informações e uma lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema. |
| ActorUsername | Opcional | Nome de utilizador (Cadeia) | O nome de utilizador do Ator, incluindo informações de domínio quando disponível. Para obter mais informações, veja A entidade Utilizador. Exemplo: AlbertE |
| ActorUsernameType | Opcional | Cadeia de caracteres | Especifica o tipo do nome de utilizador armazenado no campo ActorUsername . Para obter mais informações e lista de valores permitidos, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: Windows |
| ActingAppId | Opcional | Cadeia de caracteres | O ID da aplicação que iniciou a atividade reportada, incluindo um processo, browser ou serviço. Por exemplo: 0x12ae8 |
| ActingAppName | Opcional | Cadeia de caracteres | O nome da aplicação que iniciou a atividade reportada, incluindo um serviço, um URL ou uma aplicação SaaS. Por exemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | AppType | O tipo de aplicação em ação. Para obter mais informações e a lista de valores permitida, veja AppType no artigo Descrição Geral do Esquema. |
| ActingOriginalAppType | Opcional | Cadeia de caracteres | O tipo da aplicação que iniciou a atividade conforme comunicado pelo dispositivo de relatório. |
Campos de modelo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ModelProviderName | Opcional | Cadeia de caracteres | O nome do fornecedor de modelos. |
| ModelName | Opcional | Cadeia de caracteres | O nome do modelo. |
Campos de token
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| InputTokensUsed | Opcional | long | O número de tokens de entrada utilizados. |
| OutputTokensUsed | Opcional | long | O número de tokens de saída utilizados. |
Campos de ferramentas
Campos específicos do evento
Conteúdo relacionado
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)
- Webinar do ASIM – Introdução ao ASIM e ao esquema de normalização