Referenční dokumentace schématu upozornění Advanced Security Information Model (ASIM)
Schéma upozornění služby Microsoft Sentinel je navržené tak, aby normalizovalo výstrahy související se zabezpečením z různých produktů do standardizovaného formátu v rámci modelu ASIM (Microsoft Advanced Security Information Model). Toto schéma se zaměřuje výhradně na události zabezpečení, které zajišťují konzistentní a efektivní analýzu napříč různými zdroji dat.
Schéma výstrah představuje různé typy výstrah zabezpečení, jako jsou hrozby, podezřelé aktivity, anomálie chování uživatelů a porušení dodržování předpisů. Tyto výstrahy hlásí různé produkty a systémy zabezpečení, včetně EDR, antivirového softwaru, systémů detekce neoprávněných vniknutí, nástrojů ochrany před únikem informací atd.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Schéma normalizace výstrah je aktuálně ve verzi Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb. Nedoporučujeme ho pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Analyzátory
Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.
Sjednocení analyzátorů
Pokud chcete použít analyzátory, které sjednocují všechny předdefinované analyzátory ASIM a zajišťují, aby se analýza spouštěla ve všech nakonfigurovaných zdrojích, použijte _Im_AlertEvent analyzátor filtrování nebo _ASim_AlertEvent analyzátor bez parametrů. Nasazené imAlertEvent pracovní prostory a ASimAlertEvent analyzátory můžete použít také tak, že je nasadíte z úložiště Microsoft Sentinel na GitHubu.
Další informace najdete v integrovaných analyzátorech ASIM a analyzátorech nasazených v pracovním prostoru.
Předefinované analyzátory specifické pro zdroj
Seznam analyzátorů výstrah, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při vývoji vlastních analyzátorů pro informační model výstrah pojmenujte funkce KQL pomocí následující syntaxe:
-
vimAlertEvent<vendor><Product>pro parametrizované analyzátory -
ASimAlertEvent<vendor><Product>pro pravidelné analyzátory
Informace o přidání vlastních analyzátorů do analyzátorů výstrah najdete v článku Správa analyzátorů ASIM.
Filtrování parametrů analyzátoru
Analyzátory výstrah podporují různé parametry filtrování za účelem zlepšení výkonu dotazů. Tyto parametry jsou volitelné, ale můžou zvýšit výkon dotazů. K dispozici jsou následující parametry filtrování:
| Name | Typ | Popis |
|---|---|---|
| čas zahájení | datetime | Vyfiltrujte pouze výstrahy, které se v tuto chvíli spustily. |
| endtime | datetime | Vyfiltrujte pouze výstrahy, které se v této době spustily nebo dříve. |
| ipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze výstrahy, pro které je pole DvcIpAddr v jedné z uvedených hodnot. |
| hostname_has_any | dynamic | Vyfiltrujte pouze výstrahy, pro které je pole DvcHostname v jedné z uvedených hodnot. |
| username_has_any | dynamic | Vyfiltrujte pouze výstrahy, pro které je pole Uživatelské jméno v jedné z uvedených hodnot. |
| attacktactics_has_any | dynamic | Vyfiltrujte pouze výstrahy, pro které je pole AttackTactics v jedné z uvedených hodnot. |
| attacktechniques_has_any | dynamic | Vyfiltrujte pouze výstrahy, pro které je pole AttackTechniques v jedné z uvedených hodnot. |
| threatcategory_has_any | dynamic | Vyfiltrujte pouze výstrahy, pro které je pole ThreatCategory v jedné z uvedených hodnot. |
| alertverdict_has_any | dynamic | Vyfiltrujte pouze výstrahy, pro které je pole AlertVerdict v jedné z uvedených hodnot. |
| eventseverity_has_any | dynamic | Vyfiltrujte pouze výstrahy, pro které je pole EventSeverity v jedné z uvedených hodnot. |
Přehled schématu
Schéma výstrah slouží k několika typům událostí zabezpečení, které sdílejí stejná pole. Tyto události jsou identifikovány polem EventType:
- Informace o hrozbách: Výstrahy související s různými typy škodlivých aktivit, jako jsou malware, phishing, ransomware a další kybernetické hrozby.
- Podezřelé aktivity: Výstrahy pro aktivity, které nemusí nutně potvrdit hrozby, ale jsou podezřelé, a zaručují další šetření, například několik neúspěšných pokusů o přihlášení nebo přístup k omezeným souborům.
- Anomálie chování uživatelů: Výstrahy označující neobvyklé nebo neočekávané chování uživatele, které můžou naznačovat problém se zabezpečením, například neobvyklé časy přihlášení nebo neobvyklé vzory přístupu k datům.
- Porušení dodržování předpisů: Výstrahy související s nedodržením právních předpisů nebo interními zásadami Například virtuální počítač vystavený s otevřenými veřejnými porty ohroženými útoky (Výstraha zabezpečení cloudu).
Důležité
Aby se zachovala relevance a efektivita schématu výstrah, měly by se mapovat pouze výstrahy související se zabezpečením.
Schéma upozornění odkazuje na následující entity, které zaznamenávají podrobnosti o výstraze:
-
Pole Dvc slouží k zaznamenání podrobností o hostiteli nebo IP adrese přidružené k upozornění.
-
Uživatelská pole slouží k zaznamenání podrobností o uživateli přidruženém k upozornění.
- Podobně se pole Proces, Adresa URL, Registr a E-mail používají k zaznamenání pouze podrobností o procesu, souboru, adrese URL, registru a e-mailu přidruženém k upozornění.
Důležité
- Při vytváření analyzátoru specifického pro produkt použijte schéma upozornění ASIM, pokud výstraha obsahuje informace o incidentu zabezpečení nebo potenciální hrozbě a primární podrobnosti lze mapovat přímo na dostupná pole schématu výstrah. Schéma výstrah je ideální pro zaznamenávání souhrnných informací bez rozsáhlých polí specifických pro entity.
- Pokud ale zjistíte, že umísťujete důležitá pole do "AdditionalFields", protože chybí přímé shody polí, zvažte specializovanější schéma. Pokud například výstraha obsahuje podrobnosti související se sítí, například několik IP adres, například SrcIpAdr, DstIpAddr, PortNumber atd., můžete se rozhodnout pro schéma NetworkSession přes schéma upozornění. Specializovaná schémata také poskytují vyhrazená pole pro zachycení informací souvisejících s hrozbami, zvýšení kvality dat a usnadnění efektivní analýzy.
Podrobnosti schématu
Běžná pole ASIM
V následujícím seznamu jsou uvedena pole s konkrétními pokyny pro události upozornění:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Typ události | Povinné | Enumerated | Typ události Podporované hodnoty jsou: - Alert |
| EventSubType | Doporučené | Enumerated | Určuje podtyp nebo kategorii události výstrahy a poskytuje podrobnější podrobnosti v rámci širší klasifikace událostí. Toto pole pomáhá rozlišovat povahu zjištěného problému a zlepšit prioritu incidentů a strategie reakce. Mezi podporované hodnoty patří: - Threat (Představuje potvrzenou nebo vysoce pravděpodobnou škodlivou aktivitu, která by mohla ohrozit systém nebo síť).- Suspicious Activity (Příznaky chování nebo události, které se zobrazují neobvykle nebo podezřele, i když ještě nejsou potvrzeny jako škodlivé)- Anomaly (Identifikuje odchylky od normálních vzorů, které by mohly znamenat potenciální bezpečnostní riziko nebo provozní problém).- Compliance Violation (Zvýrazní aktivity, které porušují regulační, zásady nebo standardy dodržování předpisů) |
| Id události | Povinné | string | Strojově čitelný alfanumerický řetězec, který jednoznačně identifikuje výstrahu v systému. Například A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Volitelné | string | Podrobné informace o upozornění, včetně jeho kontextu, příčiny a potenciálního dopadu. Například Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias nebo popisný název DvcIpAddr pole |
|
| Název hostitele | Alias | Alias nebo popisný název DvcHostname pole |
|
| EventSchema | Povinné | string | Schéma použité pro událost. Schéma, které je zde zdokumentované, je AlertEvent. |
| EventSchemaVersion | Povinné | string | Verze schématu. Verze zde popsaného schématu je 0.1. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další informace o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinné |
-
EventCount - EventStartTime - EventEndTime - Typ události - Id události - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Doporučené |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Volitelné |
-
EventMessage - EventOriginalType - EventOriginalSubType - UdálostOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Kontrolní pole
Následující tabulka obsahuje pole, která poskytují kritické přehledy o pravidlech a hrozbách spojených s výstrahami. Společně pomáhají rozšířit kontext výstrahy, což usnadňuje analytikům zabezpečení pochopení jeho původu a významu.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| AlertId | Alias | string | Alias nebo popisný název EventUid pole |
| AlertName | Doporučené | string | Název nebo název výstrahy Například Possible use of the Rubeus kerberoasting tool |
| Popis upozornění | Alias | string | Alias nebo popisný název EventMessage pole |
| AlertVerdict | Volitelné | Enumerated | Konečné určení nebo výsledek výstrahy označující, jestli byla výstraha potvrzena jako hrozba, považována za podezřelá nebo vyřešená jako falešně pozitivní. Podporované hodnoty jsou: - True Positive (Potvrzeno jako legitimní hrozba)- False Positive (Nesprávně identifikovaný jako hrozba)- Benign Positive (pokud je událost určena jako neškodná)- Unknown (Nejisté nebo nedevidovaný stav) |
| AlertStatus | Volitelné | Enumerated | Označuje aktuální stav nebo průběh výstrahy. Podporované hodnoty jsou: - Active- Closed |
| AlertOriginalStatus | Volitelné | string | Stav výstrahy hlášený původním systémem. |
| DetectionMethod | Volitelné | Enumerated | Poskytuje podrobné informace o konkrétní metodě detekce, technologii nebo zdroji dat, které přispěly ke generování výstrahy. Toto pole nabízí lepší přehled o tom, jak byla výstraha zjištěna nebo aktivována, což pomáhá porozumět kontextu detekce a spolehlivosti. Mezi podporované hodnoty patří: - EDR: Systémy detekce koncových bodů a reakce, které monitorují a analyzují aktivity koncových bodů za účelem identifikace hrozeb.- Behavioral Analytics: Techniky, které detekují neobvyklé vzory v chování uživatele, zařízení nebo systému.- Reputation: Detekce hrozeb na základě pověsti IP adres, domén nebo souborů.- Threat Intelligence: Externí nebo interní informační kanály poskytující data o známých hrozbách nebo nežádoucí taktikě.- Intrusion Detection: Systémy, které monitorují síťový provoz nebo aktivity pro známky neoprávněných vniknutí nebo útoků.- Automated Investigation: Automatizované systémy, které analyzují a prošetřují výstrahy, snižují ruční úlohy.- Antivirus: Tradiční antivirové moduly, které detekují malware na základě podpisů a heuristiky.- Data Loss Prevention: Řešení zaměřená na zabránění neoprávněným přenosům nebo únikům dat.- User Defined Blocked List: Vlastní seznamy definované uživateli, které blokují konkrétní IP adresy, domény nebo soubory.- Cloud Security Posture Management: Nástroje, které v cloudových prostředích vyhodnocuje a spravuje rizika zabezpečení.- Cloud Application Security: Řešení, která zajišťují cloudové aplikace a data.- Scheduled Alerts: Výstrahy generované na základě předdefinovaných plánů nebo prahových hodnot.- Other: Jakákoli jiná metoda detekce, kterou výše uvedené kategorie nepokrýval. |
| Pravidlo | Alias | string | Buď hodnota RuleName, nebo hodnota RuleNumber. Pokud se použije hodnota RuleNumber, typ by měl být převeden na řetězec. |
| RuleNumber | Volitelné | int | Číslo pravidla přidruženého k upozornění. Například 123456 |
| RuleName | Volitelné | string | Název nebo ID pravidla přidruženého k upozornění. Například Server PSEXEC Execution via Remote Access |
| RuleDescription | Volitelné | string | Popis pravidla přidruženého k upozornění Například This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Volitelné | string | ID hrozby nebo malwaru zjištěného v upozornění. Například 1234567891011121314 |
| ThreatName | Volitelné | string | Název hrozby nebo malwaru zjištěného v upozornění. Například Init.exe |
| ThreatFirstReportedTime | Volitelné | datetime | Datum a čas prvního nahlášení hrozby Například 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Volitelné | datetime | Datum a čas posledního nahlášení hrozby Například 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Doporučené | Enumerated | Kategorie hrozby nebo malwaru zjištěného v upozornění. Podporované hodnoty jsou: Malware, Ransomware, , VirusRootkitTrojanWormSpywareAdware, Cryptominor, PhishingSpam, MaliciousUrl, , Spoofing, , Security Policy ViolationUnknown |
| ThreatOriginalCategory | Volitelné | string | Kategorie hrozby hlášená původním systémem. |
| ThreatIsActive | Volitelné | bool | Určuje, jestli je hrozba aktuálně aktivní. Podporované hodnoty jsou: True, False |
| ThreatRiskLevel | Volitelné | int | Úroveň rizika spojená s hrozbou. Úroveň by měla být číslo od 0 do 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Volitelné | string | Úroveň rizika hlášená systémem původu. |
| ThreatConfidence | Volitelné | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Volitelné | string | Úroveň spolehlivosti hlášená původním systémem. |
| IndicatorType | Doporučené | Enumerated | Typ nebo kategorie ukazatele Podporované hodnoty jsou: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| Přidružení ukazatele | Volitelné | Enumerated | Určuje, jestli je indikátor propojený s hrozbou nebo přímo ovlivněn. Podporované hodnoty jsou: - Associated- Targeted |
| AttackTactics | Doporučené | string | Taktika útoku (název, ID nebo obojí) přidružená k upozornění. Upřednostňovaný formát: např: Persistence, Privilege Escalation |
| AttackTechniques | Doporučené | string | Techniky útoku (název, ID nebo obojí) přidružené k upozornění. Upřednostňovaný formát: např: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Doporučené | string | Doporučené akce nebo kroky pro zmírnění nebo nápravu zjištěného útoku nebo hrozby Příklady: 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Uživatelská pole
Tato část definuje pole související s identifikací a klasifikací uživatelů přidružených k upozornění a poskytuje přehled o ovlivněných uživatelích a formátu jejich identity. Pokud výstraha obsahuje další pole související s uživatelem, která překračují mapovaná data, můžete zvážit, jestli je vhodnější použít specializované schéma, jako je schéma událostí ověřování.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| UserId | Volitelné | string | Strojově čitelná alfanumerická, jedinečná reprezentace uživatele přidruženého k upozornění. Například A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Podmíněné | Enumerated | Typ ID uživatele, například GUID, SIDnebo Email.Podporované hodnoty jsou: - GUID- SID- Email- Username- Phone- Other |
| Uživatelské jméno | Doporučené | string | Jméno uživatele přidruženého k upozornění, včetně informací o doméně, pokud jsou k dispozici. např. Contoso\JSmithjohn.smith@contoso.com |
| Uživatel | Alias | string | Alias nebo popisný název Username pole |
| UsernameType | Podmíněné | UsernameType | Určuje typ uživatelského jména uloženého Username v poli. Další informace a seznam povolených hodnot naleznete v části UsernameType v článku Přehled schématu.Například Windows |
| UserType | Volitelné | UserType | Typ objektu Actor. Další informace a seznam povolených hodnot naleznete v části UserType v článku Přehled schématu. Například Guest |
| OriginalUserType | Volitelné | string | Typ uživatele hlášený zařízením pro generování sestav. |
| UserSessionId | Volitelné | string | Jedinečné ID relace uživatele přidružené k upozornění. Například a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Volitelné | string | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definované ID uživatele a uživatelské jméno. Například a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Volitelné | string | Obor, například tenant Microsoft Entra, ve kterém jsou definované ID uživatele a uživatelské jméno. nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. Například Contoso Directory |
Pole procesu
Tato část umožňuje zachytit podrobnosti související s entitou procesu zapojenou do výstrahy pomocí zadaných polí. Pokud výstraha obsahuje další podrobná pole související s procesem, která překračují mapovaná data, můžete zvážit, jestli je vhodnější použít specializované schéma, jako je schéma událostí procesu.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Id procesu | Volitelné | string | ID procesu (PID) přidružené k výstraze. Například 12345678 |
| ProcessCommandLine | Volitelné | string | Příkazový řádek použitý ke spuštění procesu. Například "choco.exe" -v |
| ProcessName | Volitelné | string | Název procesu. Například C:\Windows\explorer.exe |
| ProcessFileCompany | Volitelné | string | Společnost, která vytvořila soubor obrázku procesu. Například Microsoft |
Pole souboru
Tato část umožňuje zachytit podrobnosti související s entitou souboru, která je součástí výstrahy. Pokud výstraha obsahuje další podrobná pole související se soubory, která překračují mapovaná data, můžete zvážit, jestli je vhodnější použít specializované schéma, jako je schéma událostí souboru.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Jméno souboru | Volitelné | string | Název souboru přidruženého k upozornění bez cesty nebo umístění Například Notepad.exe |
| Cesta k souboru | Volitelné | string | úplná, normalizovaná cesta cílového souboru, včetně složky nebo umístění, názvu souboru a přípony. Například C:\Windows\System32\notepad.exe |
| FileSHA1 | Volitelné | string | Hodnota hash SHA1 souboru. Například j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Volitelné | string | Hodnota hash SHA256 souboru Například a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Volitelné | string | Hodnota hash MD5 souboru. Například j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Velikost souboru | Volitelné | long | Velikost souboru v bajtech Například 123456 |
Pole adresy URL
Pokud výstraha obsahuje informace o entitě Url, můžou následující pole zaznamenávat data související s adresou URL.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Adresa URL | Volitelné | string | Řetězec adresy URL zachycený v upozornění. Například https://contoso.com/fo/?k=v&q=u#f |
Pole registru
Pokud výstraha obsahuje podrobnosti o entitě registru, pomocí následujících polí zachyťte konkrétní informace související s registrem.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Klíč registru | Volitelné | string | Klíč registru přidružený k upozornění, normalizovaný na standardní zásady vytváření názvů kořenových klíčů. Například HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Volitelné | string | Hodnota registru. Například ImagePath |
| RegistryValueData | Volitelné | string | Data hodnoty registru. Například C:\Windows\system32;C:\Windows; |
| RegistryValueType | Volitelné | Enumerated | Typ hodnoty registru. Například Reg_Expand_Sz |
Pole e-mailu
Pokud upozornění obsahuje informace o entitě e-mailu, pomocí následujících polí zachyťte konkrétní podrobnosti související s e-mailem.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| EmailMessageId | Volitelné | string | Jedinečný identifikátor e-mailové zprávy přidružené k upozornění Například Request for Invoice Access |
| Odeslat e-mail | Volitelné | string | Předmět e-mailu Například j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Aktualizace schématu
Toto jsou změny v různých verzích schématu:
- Verze 0.1: Počáteční verze.