Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Sentinel Asset Entity Schema är utformat för att normalisera tillgångar från olika produkter till ett standardiserat format i Microsoft Advanced Security Information Model (ASIM). Det här schemat fokuserar uteslutande på tillgångar i datakällor som inte kommer från Microsoft, vilket säkerställer konsekvent och effektiv analys.
En tillgång är en dataresurs som en organisation lagrar, bearbetar eller hanterar, till exempel en fil eller plats. Varje tillgång har säkerhetsrelevanskänsliga metadata, inklusive ägarskap, behörigheter, känslighetsklassificeringar och riskindikatorer. Tillgångar kan komma från en mängd olika plattformar, databaser, molnlagringstjänster, SaaS-program och lokala system och samlas in som antingen fullständiga inventeringsögonblicksbilder eller inkrementella ändringsflöden.
Genom att normalisera tillgångsdata till ett gemensamt schema gör Microsoft Sentinel det möjligt för säkerhetsteam att analysera och korrelera tillgångsinformation över olika datakällor på ett konsekvent sätt. Viktiga fält i schemat inkluderar EntityId och EntityName för unikt identifierande tillgångar, AssetType för att skilja mellan tillgångstyper som fil eller webbplats, AssetOwnerId för spårning av ägarskap AssetSensitivityLabel och AssetOriginalDataClassificationType för dataklassificeringskontext och EntityFeedType för att ange om en post är en fullständig ögonblicksbild av inventeringen eller en inkrementell ändring. Den här enhetliga representationen driver nedströmsscenarier som att identifiera överdelade känsliga filer, spåra behörighetsändringar, identifiera oskyddade tillgångar och visa risker i hela datae estate genom integreringar som Hantering av datasäkerhetsstatus i Microsoft Purview (DSPM).
Med hjälp av schemat kan Microsoft Purview-DSPM hantera datasäkerhetsstatus på Microsoft- och partnerplattformar. Mer information finns i Ignite 2025-meddelandet som introducerar DSPM partnerekosystem.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Tolkar
Mer information om ASIM-parsers finns i översikten över ASIM-parsers.
Förena parsrar
Använd parsern om du vill använda parsers som förenar alla ASIM-parsers och ser till att analysen körs över alla konfigurerade källor _Im_AssetEntity .
Lägg till dina egna normaliserade parsers
När du utvecklar anpassade parsers för tillgångsentitetsschemat namnger du KQL-funktionerna med hjälp av följande syntax:
-
vimAssetEntity<vendor><Product>för parametriserade parsers -
ASimAssetEntity<vendor><Product>för vanliga parsers
Läs artikeln Hantera ASIM-parsers för att lära dig hur du lägger till dina anpassade parsers till de enande parsarna.
Filtrera parserparametrar
Tillgångsentitetsparsers stöder olika filtreringsparametrar för att förbättra frågeprestanda. De här parametrarna är valfria men kan förbättra frågeprestandan. Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast tillgångar som matats in vid eller efter den här tiden. Den här parametern filtrerar på EntityIngestionTime fältet, som är standarddesignaren för tillgångens tid. |
| Endtime | Datetime | Filtrera endast tillgångar som matats in vid eller före den här tiden. Den här parametern filtrerar på EntityIngestionTime fältet, som är standarddesignaren för tillgångens tid. |
| entityid_has_any | Dynamisk | Filtrera endast tillgångar för vilka fältet EntityId finns i något av de angivna värdena. |
| entityname_has_any | Dynamisk | Filtrera endast tillgångar för vilka fältet EntityName finns i något av de angivna värdena. |
| assettype_in | sträng | Filtrera endast tillgångar för vilka fältet AssetType är lika med parametervärdet. |
| path_has_any | Dynamisk | Filtrera endast tillgångar för vilka fältet FilePath eller SitePath finns i något av värdena i listan. |
| assetowner_has_any | Dynamisk | Filtrera endast tillgångar för vilka fältet "AssetOwner" eller "AdditionalAssetOwners" finns i något av de angivna värdena. |
| entitysource_has_any | Dynamisk | Filtrera endast tillgångar för vilka fältet EntitySource finns i något av de angivna värdena. |
Schemainformation
Vanliga ASIM-entitetsfält
I följande lista nämns fält för ett entitetsschema tillsammans med deras specifika riktlinjer för tillgångsentiteter:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EntityUpdatedTime | Obligatorisk | Datetime | Tidsstämpeln (UTC) för när entiteten uppdaterades eller samlades in vid källan. |
| EntityIngestionTime | Valfritt | Datetime | Tidsstämpeln (UTC) för när inmatningspipelinen tar emot tillgångsloggen. |
| EntityId | Obligatorisk | sträng | Den unika identifieraren för tillgången. |
| EntityOriginalId | Valfritt | sträng | Den unika identifieraren för tillgången vid källan om den skiljer sig från "EntityId". |
| Entityname | Obligatorisk | sträng | Namnet på entiteten. |
| EntityNameType | Rekommenderas | sträng | Typ av entitetsnamn. |
| EntityVendor | Obligatorisk | sträng | Leverantören eller leverantören som rapporterade entiteten. |
| EntitySource | Obligatorisk | Uppräknade | Datakällan eller anslutningsappen som tillhandahöll entitetsposten. Supportkällor är: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherAnvänd Other om källan inte visas. |
| EntityOriginalSource | Valfritt | sträng | Den ursprungliga datakällan eller anslutningsappen som tillhandahöll entitetsposten, om källan för närvarande inte stöds. |
| EntityProduct | Obligatorisk | sträng | Produktnamnet som är associerat med källan som rapporterade entiteten. |
| EntitySubProduct | Obligatorisk | sträng | Underprodukten eller komponentnamnet som är associerat med källan som rapporterade entiteten. |
| EntityCreatedTime | Obligatorisk | Datetime | Tidsstämpeln (UTC) för när entiteten ursprungligen skapades i källsystemet. |
| EntityLastAccessedTime | Valfritt | Datetime | Tidsstämpeln (UTC) för när entiteten senast användes. |
| EntityLastModifiedTime | Obligatorisk | Datetime | Tidsstämpeln (UTC) för när entiteten senast ändrades i källsystemet. |
| EntityIsDeleted | Valfritt | Bool | Anger om entiteten har tagits bort i källsystemet. |
| EntityFeedType | Obligatorisk | Uppräknade | Typen eller kategorin för dataflödet som tillhandahöll entitetsposten. De tillåtna värdena är: Snapshot eller Changefeed. |
| EntitySchema | Obligatorisk | Uppräknade | Schemat som används för entiteten. Schemat som dokumenteras här är Asset. |
| EntitySchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.0. |
Fält för tillgångsägare
Det här avsnittet definierar information om tillgångsägaren. Om din tillgång har flera ägare fyller du i både fälten AssetOwnerId och AdditionalAssetOwners.
AdditionalAssetOwners ska vara en matris med strängar och strängarna måste ha samma format som AssetOwnerId.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AssetOwnerId | Obligatorisk | sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. Mer information och alternativa fält för andra ID:n finns i Användarentiteten. |
| AssetOwnerIdType | Rekommenderas | sträng | Typ eller format för tillgångens ägaridentifierare. Detta är detsamma UserIdType som i händelsescheman. Mer information och lista över tillåtna värden finns i UserIdType i artikeln Schemaöversikt. |
| AssetOwnerType | Valfritt | sträng | Typ av tillgångsägare. Mer information och lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. |
| AssetOwnerScope | Valfritt | sträng | Det organisations- eller administrationsomfång som tillgångsägaren tillhör. |
| AssetOwnerScopeId | Valfritt | sträng | Identifieraren för det omfång som tillgångsägaren tillhör. |
| AdditionalAssetOwners | Valfritt | Dynamisk | En dynamisk samling med ytterligare ägare eller delägare som är associerade med tillgången. Detta måste vara en matris med strängar. |
Tillgångsmetadatafält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AADTenantId | Obligatorisk | sträng | Den Azure Active Directory-klientidentifierare som är associerad med tillgången eller entiteten. |
| IdentityDirectoryName | Valfritt | sträng | Namnet på identitetskatalogen, till exempel Azure AD, GCP, AWS, som är associerad med entiteten. |
| IdentityDirectoryId | Obligatorisk | sträng | Identifieraren för identitetskatalogen som är associerad med entiteten. |
| AdditionalFields | Valfritt | Dynamisk | Ytterligare information om entiteten som inte fångas av andra fält i schemat. |
Tillgångstypfält
Det här avsnittet definierar information om tillgångstypen. De aktuella typerna som stöds är File och Site. Tillgångens typs ytterligare egenskaper ska fyllas i.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AssetType | Obligatorisk | sträng | Resursens högnivåtyp. De värden som tillåts och stöds är: File, Site. |
| AssetOriginalType | Rekommenderas | sträng | Det ursprungliga namnet på högnivåtypen för tillgången vid källan. |
Tillgångssäkerhetsfält
Det här avsnittet innehåller tillgångs säkerhetsstatus och exponeringskontext, inklusive källbehörigheter, känslighets- och dataklassificeringsinformation, DLP-skyddsstatus, relaterade hotindikatorer och den senaste klassificeringsgenomsökningstiden. Den innehåller också interna och externa användaråtkomstantal för att utvärdera potentiell exponering.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AssetOriginalPermissions | Valfritt | Dynamisk | Den ursprungliga behörighetsuppsättningen som tilldelats tillgången enligt vad som rapporteras av källsystemet. |
| AssetSensitivityLabel | Obligatorisk | sträng | Känslighetsetiketten som tillämpas på tillgången. De tillåtna värdena är: Personal, Public, General, Confidential, . Highly Confidential |
| AssetOriginalSensitivityLevel | Valfritt | sträng | Känslighetsnivån som rapporteras av källsystemet före normalisering. |
| AssetIsProtectedByDlp | Valfritt | Bool | Anger om tillgången skyddas av en princip för dataförlustskydd (DLP). |
| AssetRelatedIndicators | Valfritt | Dynamisk | En dynamisk samling hotindikatorer eller signaler relaterade till tillgången. |
| AssetOriginalDataClassificationType | Obligatorisk | Dynamisk | De ursprungliga dataklassificeringstyperna som tilldelats tillgången enligt vad som rapporteras av källsystemet. Detta måste vara en matris med strängar*. |
| AssetClassificationLastScanDateTime | Obligatorisk | Datetime | Tidsstämpeln (UTC) för när tillgången senast genomsökdes för dataklassificering. |
| InternalUsersCount | Valfritt | int | Antalet interna användare som är associerade med eller har åtkomst till tillgången. |
| ExternalUsersCount | Valfritt | int | Antalet externa användare som är associerade med eller har åtkomst till tillgången. |
Tillgångsriskfält
Det här avsnittet innehåller riskkontext för tillgången, inklusive normaliserade och källrapporterade risknamn och -nivåer, tidsstämplar för första och sista rapporten och providerspecifik riskinformation.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AssetRiskName | Valfritt | sträng | Det normaliserade namnet på den risk eller det hot som är associerat med tillgången. |
| AssetRiskLevel | Valfritt | Uppräknade | Den normaliserade risknivå som tilldelats tillgången. De tillåtna värdena är: Info, Low, Medium, High, Critical, . Other |
| AssetOriginalRiskLevel | Valfritt | sträng | Den risknivå som tilldelats tillgången enligt vad som rapporteras av källsystemet före normaliseringen. |
| AssetRiskFirstReportedTime | Valfritt | Datetime | Tidsstämpeln (UTC) för när den risk som är associerad med tillgången först rapporterades. |
| AssetRiskLastReportedTime | Valfritt | Datetime | Tidsstämpeln (UTC) för när den risk som är associerad med tillgången senast rapporterades. |
| AssetOriginalRiskDetails | Valfritt | Dynamisk | Den fullständiga riskinformationen för tillgången som tillhandahålls av källsystemet. |
Filfält (tillgångstyp)
Det här avsnittet innehåller filspecifika tillgångsegenskaper. Egenskaperna ska fyllas i om AssetType är Fil.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Filepath | Valfritt | sträng | Den fullständiga sökvägen till filen som är associerad med tillgången. |
| Filstorlek | Valfritt | Lång | Storleken på filen i byte. |
| FileMD5 | Valfritt | sträng | MD5-hashen för filen som är associerad med tillgången. |
| FileSHA1 | Valfritt | sträng | SHA-1-hashen för filen som är associerad med tillgången. |
| FileSHA256 | Valfritt | sträng | SHA-256-hashen för filen som är associerad med tillgången. |
| FileSHA512 | Valfritt | sträng | SHA-512-hashen för filen som är associerad med tillgången. |
| FileExtension | Valfritt | sträng | Filnamnstillägget för filen som är associerad med tillgången, till exempel .exe eller .pdf. |
| FileIsSignatureValid | Valfritt | Bool | Anger om filens digitala signatur är giltig. |
| FileSignatureDetails | Valfritt | sträng | Information om den digitala signaturen för filen, till exempel undertecknaren eller certifikatinformationen. |
Webbplatsfält (tillgångstyp)
Det här avsnittet innehåller platsspecifika platsegenskaper för sharepoint-webbplatstillgångar. Egenskaperna ska fyllas i om AssetType är Webbplats.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| SitePath | Valfritt | sträng | Sökvägen till platsen eller lagringsplatsen som är associerad med tillgången. |
| SitePrimaryUri | Valfritt | sträng | Den primära URI:n för platsen eller lagringsplatsen som är associerad med tillgången. |
Alias
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AssetPath | Alias | sträng | Aliaset för antingen FilePath eller SitePath |
| Användare | Alias | sträng | Aliaset för AssetOwnerId. |
Schemauppdateringar
Följande är ändringarna i olika versioner av schemat:
- Version 0.1.0: Första versionen.
Nästa steg
Mer information finns i: