Sdílet prostřednictvím


Referenční dokumentace schématu upozornění Advanced Security Information Model (ASIM)

Schéma upozornění služby Microsoft Sentinel je navržené tak, aby normalizovalo výstrahy související se zabezpečením z různých produktů do standardizovaného formátu v rámci modelu ASIM (Microsoft Advanced Security Information Model). Toto schéma se zaměřuje výhradně na události zabezpečení, které zajišťují konzistentní a efektivní analýzu napříč různými zdroji dat.

Schéma výstrah představuje různé typy výstrah zabezpečení, jako jsou hrozby, podezřelé aktivity, anomálie chování uživatelů a porušení dodržování předpisů. Tyto výstrahy hlásí různé produkty a systémy zabezpečení, včetně EDR, antivirového softwaru, systémů detekce neoprávněných vniknutí, nástrojů ochrany před únikem informací atd.

Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).

Důležité

Schéma normalizace výstrah je aktuálně ve verzi Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb. Nedoporučujeme ho pro produkční úlohy.

Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Analyzátory

Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.

Sjednocení analyzátorů

Pokud chcete použít analyzátory, které sjednocují všechny předdefinované analyzátory ASIM a zajišťují, aby se analýza spouštěla ve všech nakonfigurovaných zdrojích, použijte _Im_AlertEvent analyzátor filtrování nebo _ASim_AlertEvent analyzátor bez parametrů. Nasazené imAlertEvent pracovní prostory a ASimAlertEvent analyzátory můžete použít také tak, že je nasadíte z úložiště Microsoft Sentinel na GitHubu.

Další informace najdete v integrovaných analyzátorech ASIM a analyzátorech nasazených v pracovním prostoru.

Předefinované analyzátory specifické pro zdroj

Seznam analyzátorů výstrah, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.

Přidání vlastních normalizovaných analyzátorů

Při vývoji vlastních analyzátorů pro informační model výstrah pojmenujte funkce KQL pomocí následující syntaxe:

  • vimAlertEvent<vendor><Product> pro parametrizované analyzátory
  • ASimAlertEvent<vendor><Product> pro pravidelné analyzátory

Informace o přidání vlastních analyzátorů do analyzátorů výstrah najdete v článku Správa analyzátorů ASIM.

Filtrování parametrů analyzátoru

Analyzátory výstrah podporují různé parametry filtrování za účelem zlepšení výkonu dotazů. Tyto parametry jsou volitelné, ale můžou zvýšit výkon dotazů. K dispozici jsou následující parametry filtrování:

Name Typ Popis
čas zahájení datetime Vyfiltrujte pouze výstrahy, které se v tuto chvíli spustily.
endtime datetime Vyfiltrujte pouze výstrahy, které se v této době spustily nebo dříve.
ipaddr_has_any_prefix dynamic Vyfiltrujte pouze výstrahy, pro které je pole DvcIpAddr v jedné z uvedených hodnot.
hostname_has_any dynamic Vyfiltrujte pouze výstrahy, pro které je pole DvcHostname v jedné z uvedených hodnot.
username_has_any dynamic Vyfiltrujte pouze výstrahy, pro které je pole Uživatelské jméno v jedné z uvedených hodnot.
attacktactics_has_any dynamic Vyfiltrujte pouze výstrahy, pro které je pole AttackTactics v jedné z uvedených hodnot.
attacktechniques_has_any dynamic Vyfiltrujte pouze výstrahy, pro které je pole AttackTechniques v jedné z uvedených hodnot.
threatcategory_has_any dynamic Vyfiltrujte pouze výstrahy, pro které je pole ThreatCategory v jedné z uvedených hodnot.
alertverdict_has_any dynamic Vyfiltrujte pouze výstrahy, pro které je pole AlertVerdict v jedné z uvedených hodnot.
eventseverity_has_any dynamic Vyfiltrujte pouze výstrahy, pro které je pole EventSeverity v jedné z uvedených hodnot.

Přehled schématu

Schéma výstrah slouží k několika typům událostí zabezpečení, které sdílejí stejná pole. Tyto události jsou identifikovány polem EventType:

  • Informace o hrozbách: Výstrahy související s různými typy škodlivých aktivit, jako jsou malware, phishing, ransomware a další kybernetické hrozby.
  • Podezřelé aktivity: Výstrahy pro aktivity, které nemusí nutně potvrdit hrozby, ale jsou podezřelé, a zaručují další šetření, například několik neúspěšných pokusů o přihlášení nebo přístup k omezeným souborům.
  • Anomálie chování uživatelů: Výstrahy označující neobvyklé nebo neočekávané chování uživatele, které můžou naznačovat problém se zabezpečením, například neobvyklé časy přihlášení nebo neobvyklé vzory přístupu k datům.
  • Porušení dodržování předpisů: Výstrahy související s nedodržením právních předpisů nebo interními zásadami Například virtuální počítač vystavený s otevřenými veřejnými porty ohroženými útoky (Výstraha zabezpečení cloudu).

Důležité

Aby se zachovala relevance a efektivita schématu výstrah, měly by se mapovat pouze výstrahy související se zabezpečením.

Schéma upozornění odkazuje na následující entity, které zaznamenávají podrobnosti o výstraze:

  • Pole Dvc slouží k zaznamenání podrobností o hostiteli nebo IP adrese přidružené k upozornění.
  • Uživatelská pole slouží k zaznamenání podrobností o uživateli přidruženém k upozornění.
  • Podobně se pole Proces, Adresa URL, Registr a E-mail používají k zaznamenání pouze podrobností o procesu, souboru, adrese URL, registru a e-mailu přidruženém k upozornění.

Důležité

  • Při vytváření analyzátoru specifického pro produkt použijte schéma upozornění ASIM, pokud výstraha obsahuje informace o incidentu zabezpečení nebo potenciální hrozbě a primární podrobnosti lze mapovat přímo na dostupná pole schématu výstrah. Schéma výstrah je ideální pro zaznamenávání souhrnných informací bez rozsáhlých polí specifických pro entity.
  • Pokud ale zjistíte, že umísťujete důležitá pole do "AdditionalFields", protože chybí přímé shody polí, zvažte specializovanější schéma. Pokud například výstraha obsahuje podrobnosti související se sítí, například několik IP adres, například SrcIpAdr, DstIpAddr, PortNumber atd., můžete se rozhodnout pro schéma NetworkSession přes schéma upozornění. Specializovaná schémata také poskytují vyhrazená pole pro zachycení informací souvisejících s hrozbami, zvýšení kvality dat a usnadnění efektivní analýzy.

Podrobnosti schématu

Běžná pole ASIM

V následujícím seznamu jsou uvedena pole s konkrétními pokyny pro události upozornění:

Pole Třída Typ Popis
Typ události Povinné Enumerated Typ události

Podporované hodnoty jsou:
-Alert
EventSubType Doporučené Enumerated Určuje podtyp nebo kategorii události výstrahy a poskytuje podrobnější podrobnosti v rámci širší klasifikace událostí. Toto pole pomáhá rozlišovat povahu zjištěného problému a zlepšit prioritu incidentů a strategie reakce.

Mezi podporované hodnoty patří:
- Threat (Představuje potvrzenou nebo vysoce pravděpodobnou škodlivou aktivitu, která by mohla ohrozit systém nebo síť).
- Suspicious Activity (Příznaky chování nebo události, které se zobrazují neobvykle nebo podezřele, i když ještě nejsou potvrzeny jako škodlivé)
- Anomaly (Identifikuje odchylky od normálních vzorů, které by mohly znamenat potenciální bezpečnostní riziko nebo provozní problém).
- Compliance Violation (Zvýrazní aktivity, které porušují regulační, zásady nebo standardy dodržování předpisů)
Id události Povinné string Strojově čitelný alfanumerický řetězec, který jednoznačně identifikuje výstrahu v systému.
Například A1bC2dE3fH4iJ5kL6mN7oP8qR9s
EventMessage Volitelné string Podrobné informace o upozornění, včetně jeho kontextu, příčiny a potenciálního dopadu.
Například Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets.
IpAddr Alias Alias nebo popisný název DvcIpAddr pole
Název hostitele Alias Alias nebo popisný název DvcHostname pole
EventSchema Povinné string Schéma použité pro událost. Schéma, které je zde zdokumentované, je AlertEvent.
EventSchemaVersion Povinné string Verze schématu. Verze zde popsaného schématu je 0.1.

Všechna společná pole

Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další informace o jednotlivých polích najdete v článku o společných polích ASIM.

Třída Pole
Povinné - EventCount
- EventStartTime
- EventEndTime
- Typ události
- Id události
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
Doporučené - EventSubType
- EventSeverity
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
Volitelné - EventMessage
- EventOriginalType
- EventOriginalSubType
- UdálostOriginalSeverity
- EventProductVersion
- EventOriginalUid
- EventReportUrl
- EventResult
- Vlastník události
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcAction
- DvcOriginalAction
- DvcInterface
- Další pole
- Popis dvcDescription
- DvcScopeId
- DvcScope

Kontrolní pole

Následující tabulka obsahuje pole, která poskytují kritické přehledy o pravidlech a hrozbách spojených s výstrahami. Společně pomáhají rozšířit kontext výstrahy, což usnadňuje analytikům zabezpečení pochopení jeho původu a významu.

Pole Třída Typ Popis
AlertId Alias string Alias nebo popisný název EventUid pole
AlertName Doporučené string Název nebo název výstrahy
Například Possible use of the Rubeus kerberoasting tool
Popis upozornění Alias string Alias nebo popisný název EventMessage pole
AlertVerdict Volitelné Enumerated Konečné určení nebo výsledek výstrahy označující, jestli byla výstraha potvrzena jako hrozba, považována za podezřelá nebo vyřešená jako falešně pozitivní.

Podporované hodnoty jsou:
- True Positive (Potvrzeno jako legitimní hrozba)
- False Positive (Nesprávně identifikovaný jako hrozba)
- Benign Positive (pokud je událost určena jako neškodná)
- Unknown (Nejisté nebo nedevidovaný stav)
AlertStatus Volitelné Enumerated Označuje aktuální stav nebo průběh výstrahy.

Podporované hodnoty jsou:
- Active
- Closed
AlertOriginalStatus Volitelné string Stav výstrahy hlášený původním systémem.
DetectionMethod Volitelné Enumerated Poskytuje podrobné informace o konkrétní metodě detekce, technologii nebo zdroji dat, které přispěly ke generování výstrahy. Toto pole nabízí lepší přehled o tom, jak byla výstraha zjištěna nebo aktivována, což pomáhá porozumět kontextu detekce a spolehlivosti.

Mezi podporované hodnoty patří:
- EDR: Systémy detekce koncových bodů a reakce, které monitorují a analyzují aktivity koncových bodů za účelem identifikace hrozeb.
- Behavioral Analytics: Techniky, které detekují neobvyklé vzory v chování uživatele, zařízení nebo systému.
- Reputation: Detekce hrozeb na základě pověsti IP adres, domén nebo souborů.
- Threat Intelligence: Externí nebo interní informační kanály poskytující data o známých hrozbách nebo nežádoucí taktikě.
- Intrusion Detection: Systémy, které monitorují síťový provoz nebo aktivity pro známky neoprávněných vniknutí nebo útoků.
- Automated Investigation: Automatizované systémy, které analyzují a prošetřují výstrahy, snižují ruční úlohy.
- Antivirus: Tradiční antivirové moduly, které detekují malware na základě podpisů a heuristiky.
- Data Loss Prevention: Řešení zaměřená na zabránění neoprávněným přenosům nebo únikům dat.
- User Defined Blocked List: Vlastní seznamy definované uživateli, které blokují konkrétní IP adresy, domény nebo soubory.
- Cloud Security Posture Management: Nástroje, které v cloudových prostředích vyhodnocuje a spravuje rizika zabezpečení.
- Cloud Application Security: Řešení, která zajišťují cloudové aplikace a data.
- Scheduled Alerts: Výstrahy generované na základě předdefinovaných plánů nebo prahových hodnot.
- Other: Jakákoli jiná metoda detekce, kterou výše uvedené kategorie nepokrýval.
Pravidlo Alias string Buď hodnota RuleName, nebo hodnota RuleNumber. Pokud se použije hodnota RuleNumber, typ by měl být převeden na řetězec.
RuleNumber Volitelné int Číslo pravidla přidruženého k upozornění.

Například 123456
RuleName Volitelné string Název nebo ID pravidla přidruženého k upozornění.

Například Server PSEXEC Execution via Remote Access
RuleDescription Volitelné string Popis pravidla přidruženého k upozornění

Například This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network
ThreatId Volitelné string ID hrozby nebo malwaru zjištěného v upozornění.

Například 1234567891011121314
ThreatName Volitelné string Název hrozby nebo malwaru zjištěného v upozornění.

Například Init.exe
ThreatFirstReportedTime Volitelné datetime Datum a čas prvního nahlášení hrozby

Například 2024-09-19T10:12:10.0000000Z
ThreatLastReportedTime Volitelné datetime Datum a čas posledního nahlášení hrozby

Například 2024-09-19T10:12:10.0000000Z
ThreatCategory Doporučené Enumerated Kategorie hrozby nebo malwaru zjištěného v upozornění.

Podporované hodnoty jsou: Malware, Ransomware, , VirusRootkitTrojanWormSpywareAdware, Cryptominor, PhishingSpam, MaliciousUrl, , Spoofing, , Security Policy ViolationUnknown
ThreatOriginalCategory Volitelné string Kategorie hrozby hlášená původním systémem.
ThreatIsActive Volitelné bool Určuje, jestli je hrozba aktuálně aktivní.

Podporované hodnoty jsou: True, False
ThreatRiskLevel Volitelné int Úroveň rizika spojená s hrozbou. Úroveň by měla být číslo od 0 do 100.

Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Volitelné string Úroveň rizika hlášená systémem původu.
ThreatConfidence Volitelné int Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100.
ThreatOriginalConfidence Volitelné string Úroveň spolehlivosti hlášená původním systémem.
IndicatorType Doporučené Enumerated Typ nebo kategorie ukazatele

Podporované hodnoty jsou:
-Ip
-User
-Process
-Registry
-Url
-Host
-Cloud Resource
-Application
-File
-Email
-Mailbox
-Logon Session
Přidružení ukazatele Volitelné Enumerated Určuje, jestli je indikátor propojený s hrozbou nebo přímo ovlivněn.

Podporované hodnoty jsou:
-Associated
-Targeted
AttackTactics Doporučené string Taktika útoku (název, ID nebo obojí) přidružená k upozornění.
Upřednostňovaný formát:

např: Persistence, Privilege Escalation
AttackTechniques Doporučené string Techniky útoku (název, ID nebo obojí) přidružené k upozornění.
Upřednostňovaný formát:

např: Local Groups (T1069.001), Domain Groups (T1069.002)
AttackRemediationSteps Doporučené string Doporučené akce nebo kroky pro zmírnění nebo nápravu zjištěného útoku nebo hrozby
Příklady:
1. Make sure the machine is completely updated and all your software has the latest patch.
2. Contact your incident response team.

Uživatelská pole

Tato část definuje pole související s identifikací a klasifikací uživatelů přidružených k upozornění a poskytuje přehled o ovlivněných uživatelích a formátu jejich identity. Pokud výstraha obsahuje další pole související s uživatelem, která překračují mapovaná data, můžete zvážit, jestli je vhodnější použít specializované schéma, jako je schéma událostí ověřování.

Pole Třída Typ Popis
UserId Volitelné string Strojově čitelná alfanumerická, jedinečná reprezentace uživatele přidruženého k upozornění.

Například A1bC2dE3fH4iJ5kL6mN7o
UserIdType Podmíněné Enumerated Typ ID uživatele, například GUID, SIDnebo Email.

Podporované hodnoty jsou:
- GUID
- SID
- Email
- Username
- Phone
- Other
Uživatelské jméno Doporučené string Jméno uživatele přidruženého k upozornění, včetně informací o doméně, pokud jsou k dispozici.

např. Contoso\JSmithjohn.smith@contoso.com
Uživatel Alias string Alias nebo popisný název Username pole
UsernameType Podmíněné UsernameType Určuje typ uživatelského jména uloženého Username v poli. Další informace a seznam povolených hodnot naleznete v části UsernameType v článku Přehled schématu.

Například Windows
UserType Volitelné UserType Typ objektu Actor. Další informace a seznam povolených hodnot naleznete v části UserType v článku Přehled schématu.

Například Guest
OriginalUserType Volitelné string Typ uživatele hlášený zařízením pro generování sestav.
UserSessionId Volitelné string Jedinečné ID relace uživatele přidružené k upozornění.

Například a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u
UserScopeId Volitelné string ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definované ID uživatele a uživatelské jméno.

Například a1bc2de3-fh4i-j5kl-6mn7-op8qrs
UserScope Volitelné string Obor, například tenant Microsoft Entra, ve kterém jsou definované ID uživatele a uživatelské jméno. nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu.

Například Contoso Directory

Pole procesu

Tato část umožňuje zachytit podrobnosti související s entitou procesu zapojenou do výstrahy pomocí zadaných polí. Pokud výstraha obsahuje další podrobná pole související s procesem, která překračují mapovaná data, můžete zvážit, jestli je vhodnější použít specializované schéma, jako je schéma událostí procesu.

Pole Třída Typ Popis
Id procesu Volitelné string ID procesu (PID) přidružené k výstraze.

Například 12345678
ProcessCommandLine Volitelné string Příkazový řádek použitý ke spuštění procesu.

Například "choco.exe" -v
ProcessName Volitelné string Název procesu.

Například C:\Windows\explorer.exe
ProcessFileCompany Volitelné string Společnost, která vytvořila soubor obrázku procesu.

Například Microsoft

Pole souboru

Tato část umožňuje zachytit podrobnosti související s entitou souboru, která je součástí výstrahy. Pokud výstraha obsahuje další podrobná pole související se soubory, která překračují mapovaná data, můžete zvážit, jestli je vhodnější použít specializované schéma, jako je schéma událostí souboru.

Pole Třída Typ Popis
Jméno souboru Volitelné string Název souboru přidruženého k upozornění bez cesty nebo umístění

Například Notepad.exe
Cesta k souboru Volitelné string úplná, normalizovaná cesta cílového souboru, včetně složky nebo umístění, názvu souboru a přípony.

Například C:\Windows\System32\notepad.exe
FileSHA1 Volitelné string Hodnota hash SHA1 souboru.

Například j5kl6mn7op8qr9st0uv1
FileSHA256 Volitelné string Hodnota hash SHA256 souboru

Například a1bc2de3fh4ij5kl6mn7op8qrs2de3
FileMD5 Volitelné string Hodnota hash MD5 souboru.

Například j5kl6mn7op8qr9st0uv1wx2yz3ab4c
Velikost souboru Volitelné long Velikost souboru v bajtech

Například 123456

Pole adresy URL

Pokud výstraha obsahuje informace o entitě Url, můžou následující pole zaznamenávat data související s adresou URL.

Pole Třída Typ Popis
Adresa URL Volitelné string Řetězec adresy URL zachycený v upozornění.

Například https://contoso.com/fo/?k=v&amp;q=u#f

Pole registru

Pokud výstraha obsahuje podrobnosti o entitě registru, pomocí následujících polí zachyťte konkrétní informace související s registrem.

Pole Třída Typ Popis
Klíč registru Volitelné string Klíč registru přidružený k upozornění, normalizovaný na standardní zásady vytváření názvů kořenových klíčů.

Například HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue Volitelné string Hodnota registru.

Například ImagePath
RegistryValueData Volitelné string Data hodnoty registru.

Například C:\Windows\system32;C:\Windows;
RegistryValueType Volitelné Enumerated Typ hodnoty registru.

Například Reg_Expand_Sz

Pole e-mailu

Pokud upozornění obsahuje informace o entitě e-mailu, pomocí následujících polí zachyťte konkrétní podrobnosti související s e-mailem.

Pole Třída Typ Popis
EmailMessageId Volitelné string Jedinečný identifikátor e-mailové zprávy přidružené k upozornění

Například Request for Invoice Access
Odeslat e-mail Volitelné string Předmět e-mailu

Například j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c

Aktualizace schématu

Toto jsou změny v různých verzích schématu:

  • Verze 0.1: Počáteční verze.