Referenční informace o událostech normalizace událostí auditu Advanced Security Information Model (ASIM) (Public Preview)
Schéma normalizace událostí auditu služby Microsoft Sentinel představuje události přidružené ke záznamu auditu informačních systémů. Protokoluje aktivity konfigurace systému a změny zásad. Tyto změny často provádějí správci systému, ale mohou je také provádět uživatelé při konfiguraci nastavení vlastních aplikací.
Každý systém protokoluje události auditu spolu s základními protokoly aktivit. Brána firewall například bude protokolovat události týkající se síťových relací procesy a auditovat události týkající se změn konfigurace použitých u samotné brány firewall.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Schéma normalizace událostí auditu je aktuálně ve verzi Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb. Nedoporučujeme ho pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Přehled schématu
Hlavní pole události auditu jsou:
- Objekt, který může být například spravovaným prostředkem nebo pravidlem zásad, na který se událost zaměřuje, reprezentovaná polem Object. Pole ObjectType určuje typ objektu.
- Kontext aplikace objektu reprezentovaný polem TargetAppName, které je aliasem aplikace.
- Operace provedená u objektu reprezentovaná poli EventType a Operation. Operace je hodnota hlášená zdrojem, EventType je normalizovaná verze, která je konzistentnější napříč zdroji.
- Staré a nové hodnoty objektu, pokud je to možné, reprezentované OldValue a NewValue v uvedeném pořadí.
Události auditu také odkazují na následující entity, které jsou součástí operace konfigurace:
- Objekt actor – uživatel provádějící operaci konfigurace.
- TargetApp – aplikace nebo systém, pro který se vztahuje operace konfigurace.
- Target – systém, na kterém je aplikace TargetApp* spuštěná.
- ActingApp – aplikace používaná objektem Actor k provedení operace konfigurace.
- Src – systém používaný objektem Actor k zahájení operace konfigurace, pokud se liší od cíle.
Popisovač Dvc
se používá pro zařízení pro generování sestav, což je místní systém pro relace hlášené koncovým bodem a zprostředkující nebo bezpečnostní zařízení v jiných případech.
Analyzátory
Nasazení a použití analyzátorů událostí auditu
Nasaďte analyzátory událostí auditu ASIM z úložiště GitHub pro Microsoft Sentinel. K dotazování napříč všemi zdroji událostí auditu použijte sjednocení analyzátoru imAuditEvent
jako název tabulky v dotazu.
Další informace o používání analyzátorů ASIM najdete v přehledu analyzátorů ASIM. Seznam analyzátorů událostí auditu, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro informační model událostí souboru pojmenujte funkce KQL pomocí následující syntaxe: imAuditEvent<vendor><Product>
. V článku Správa analyzátorů ASIM se dozvíte, jak přidat vlastní analyzátory do analyzátoru událostí auditu.
Filtrování parametrů analyzátoru
Analyzátory událostí auditu podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
Name | Typ | Popis |
---|---|---|
čas zahájení | datetime | Filtrovat pouze události, které se spustily v tuto chvíli nebo po tomto okamžiku. Tento parametr používá TimeGenerated pole jako návrh času události. |
endtime | datetime | Filtrovat pouze dotazy na události, které se dokončily v této době nebo dříve. Tento parametr používá TimeGenerated pole jako návrh času události. |
srcipaddr_has_any_prefix | dynamic | Filtrujte pouze události z této zdrojové IP adresy, jak je znázorněno v poli SrcIpAddr . |
eventtype_in | string | Filtrování pouze událostí, ve kterých je typ události reprezentovaný v poli EventType , jsou některé z zadaných termínů. |
eventresult | string | Filtruje pouze události, ve kterých se výsledek události, jak je znázorněno v poli EventResult , rovná hodnotě parametru. |
actorusername_has_any | dynamic/string | Vyfiltrujte pouze události, ve kterých název ActorUsername obsahuje některé z uvedených podmínek. |
operation_has_any | dynamic/string | Vyfiltrujte pouze události, ve kterých pole Operace obsahuje některý z uvedených termínů. |
object_has_any | dynamic/string | Vyfiltrujte pouze události, ve kterých pole Objekt obsahuje některý z zadaných termínů. |
newvalue_has_any | dynamic/string | Vyfiltrujte pouze události, ve kterých pole NewValue obsahuje některý z zadaných termínů. |
Některý parametr může přijmout oba seznamy hodnot typu dynamic
nebo jednu řetězcovou hodnotu. Pokud chcete předat literálový seznam parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.'])
Pokud například chcete filtrovat pouze události auditu s termíny install
nebo update
v poli Operace , použijte poslední den:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Podrobnosti schématu
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
V následujícím seznamu jsou uvedena pole s konkrétními pokyny pro události auditu:
Pole | Třída | Typ | Popis |
---|---|---|---|
Typ události | Povinné | Enumerated | Popisuje operaci auditovanou událostí pomocí normalizované hodnoty. Pomocí třídy EventSubType uveďte další podrobnosti, které normalizovaná hodnota nesděluje a operaci. uložení operace hlášené zařízením pro generování sestav. U záznamů událostí auditu jsou povolené hodnoty: - Set - Read - Create - Delete - Execute - Install - Clear - Enable - Disable - Other Události auditu představují širokou škálu operací a Other hodnota umožňuje mapování operací, které nemají odpovídající EventType . Použití Other omezení použitelnosti události a pokud je to možné, měli byste se jim vyhnout. |
EventSubType | Volitelné | String | Poskytuje další podrobnosti, které normalizovaná hodnota v EventType nepředává. |
EventSchema | Povinné | String | Název schématu popsaného zde je AuditEvent . |
EventSchemaVersion | Povinné | String | Verze schématu. Verze zde popsaného schématu je 0.1 . |
Všechna společná pole
Pole, která se zobrazují v tabulce, jsou společná pro všechna schémata ASIM. Všechny pokyny uvedené v tomto dokumentu přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další informace o jednotlivých polích najdete v článku o společných polích ASIM.
Třída | Pole |
---|---|
Povinné | - EventCount - EventStartTime - EventEndTime - Typ události - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Doporučené | - EventResultDetails - EventSeverity - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Volitelné | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole auditování
Pole | Třída | Typ | Popis |
---|---|---|---|
Operace | Povinné | String | Operace auditovaná podle hlášení zařízení pro generování sestav. |
Objekt | Povinné | String | Název objektu, na kterém je provedena operace identifikovaná typem EventType . |
ObjectType | Povinné | Enumerated | Typ objektu. Povolené hodnoty jsou následující: - Cloud Resource - Configuration Atom - Policy Rule -Jiný |
OldValue | Volitelné | String | Stará hodnota objektu před operací, pokud je k dispozici. |
NewValue | Volitelné | String | Nová hodnota objektu po provedení operace, pokud je k dispozici. |
Hodnota | Alias | Alias do NewValue | |
ValueType | Podmíněné | Enumerated | Typ starých a nových hodnot. Povolené hodnoty jsou -Jiný |
Pole objektu actor
Pole | Třída | Typ | Popis |
---|---|---|---|
ActorUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace objektu Actor. Další informace a alternativní pole pro jiná ID naleznete v tématu Entita Uživatel. Příklad: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
ActorScope | Volitelné | String | Obor, například Název domény Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
ActorScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
ActorUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli ActorUserId . Další informace a seznam povolených hodnot naleznete v části UserIdType v článku Přehled schématu. |
ActorUsername | Doporučené | Username | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
Uživatel | Alias | Alias pro ActorUsername | |
ActorUsernameType | Podmíněné | UsernameType | Určuje typ uživatelského jména uloženého v poli ActorUsername . Další informace a seznam povolených hodnot naleznete v části UsernameType v článku Přehled schématu. Příklad: Windows |
ActorUserType | Volitelné | UserType | Typ objektu Actor. Další informace a seznam povolených hodnot naleznete v části UserType v článku Přehled schématu. Příklad: Guest |
ActorOriginalUserType | Volitelné | UserType | Typ uživatele hlášený zařízením pro generování sestav. |
ActorSessionId | Volitelné | String | Jedinečné ID přihlašovací relace objektu Actor. Příklad: 102pTUgC3p8RIqHvzxLCHnFlg |
Pole cílové aplikace
Pole | Třída | Typ | Popis |
---|---|---|---|
TargetAppId | Volitelné | String | ID aplikace, na kterou se událost vztahuje, včetně procesu, prohlížeče nebo služby. Příklad: 89162 |
TargetAppName | Volitelné | String | Název aplikace, na kterou se událost vztahuje, včetně služby, adresy URL nebo aplikace SaaS. Příklad: Exchange 365 |
Aplikace | Alias | Alias pro TargetAppName | |
TargetAppType | Volitelné | Typ aplikace | Typ aplikace autorizující jménem objektu Actor. Další informace a seznam povolených hodnot naleznete v tématu AppType v článku Přehled schématu. |
TargetUrl | Volitelné | Adresa URL | Adresa URL přidružená k cílové aplikaci. Příklad: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Pole cílového systému
Pole | Třída | Typ | Popis |
---|---|---|---|
Dst | Alias | String | Jedinečný identifikátor cíle ověřování. Toto pole může alias polí TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId nebo TargetAppName . Příklad: 192.168.12.1 |
TargetHostname | Doporučené | Název hostitele | Název hostitele cílového zařízení s výjimkou informací o doméně. Příklad: DESKTOP-1282V4D |
Cílová doména | Doporučené | String | Doména cílového zařízení. Příklad: Contoso |
TargetDomainType | Podmíněné | Enumerated | Typ TargetDomain. Seznam povolených hodnot a další informace naleznete v části DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá cílová doména . |
CílovýFQDN | Volitelné | String | Název hostitele cílového zařízení, včetně informací o doméně, pokud je k dispozici. Příklad: Contoso\DESKTOP-1282V4D Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. TargetDomainType odráží použitý formát. |
TargetDescription | Volitelné | String | Popisný text přidružený k zařízení Například: Primary Domain Controller . |
TargetDvcId | Volitelné | String | ID cílového zařízení. Pokud je k dispozici více ID, použijte ten nejdůležitější a uložte ostatní do polí TargetDvc<DvcIdType> . Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
TargetDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. TargetDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
TargetDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. TargetDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
TargetDvcIdType | Podmíněné | Enumerated | Typ TargetDvcId. Seznam povolených hodnot a další informace najdete v části DvcIdType v článku Přehled schématu. Vyžaduje se, pokud se použije TargetDeviceId . |
TargetDeviceType | Volitelné | Enumerated | Typ cílového zařízení. Seznam povolených hodnot a další informace najdete v části DeviceType v článku Přehled schématu. |
TargetIpAddr | Volitelné | IP adresa | IP adresa cílového zařízení. Příklad: 2.2.2.2 |
TargetDvcOs | Volitelné | String | Operační systém cílového zařízení. Příklad: Windows 10 |
TargetPortNumber | Volitelné | Celé číslo | Port cílového zařízení. |
Pole aplikace pro herectví
Pole | Třída | Typ | Popis |
---|---|---|---|
ActingAppId | Volitelné | String | ID aplikace, která iniciovala nahlášenou aktivitu, včetně procesu, prohlížeče nebo služby. Příklad: 0x12ae8 |
ActiveAppName | Volitelné | String | Název aplikace, která iniciovala ohlášenou aktivitu, včetně služby, adresy URL nebo aplikace SaaS. Příklad: C:\Windows\System32\svchost.exe |
ActingAppType | Volitelné | Typ aplikace | Typ fungující aplikace. Další informace a seznam povolených hodnot naleznete v tématu AppType v článku Přehled schématu. |
HttpUserAgent | Volitelné | String | Při ověřování prostřednictvím protokolu HTTP nebo HTTPS je hodnota tohoto pole user_agent hlavička HTTP poskytovaná hereckou aplikací při ověřování. Příklad: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Pole zdrojového systému
Pole | Třída | Typ | Popis |
---|---|---|---|
Src | Alias | String | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Příklad: 192.168.12.1 |
SrcIpAddr | Doporučené | IP adresa | IP adresa, ze které pochází připojení nebo relace. Příklad: 77.138.103.108 |
IpAddr | Alias | Alias pro SrcIpAddr nebo TargetIpAddr, pokud není zadaný SrcIpAddr. | |
SrcPortNumber | Volitelné | Celé číslo | Port IP, ze kterého připojení pochází. Nemusí být relevantní pro relaci, která obsahuje více připojení. Příklad: 2335 |
SrcHostname | Doporučené | Název hostitele | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte do tohoto pole příslušnou IP adresu. Příklad: DESKTOP-1282V4D |
SrcDomain | Doporučené | String | Doména zdrojového zařízení. Příklad: Contoso |
SrcDomainType | Podmíněné | DomainType | Typ SrcDomain. Seznam povolených hodnot a další informace naleznete v části DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá doména SrcDomain . |
SrcFQDN | Volitelné | String | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole SrcDomainType odráží použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
SrcDescription | Volitelné | String | Popisný text přidružený k zařízení Například: Primary Domain Controller . |
SrcDvcId | Volitelné | String | ID zdrojového zařízení. Pokud je k dispozici více ID, použijte ten nejdůležitější a uložte ostatní do polí SrcDvc<DvcIdType> .Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
SrcDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
SrcDvcIdType | Podmíněné | DvcIdType | Typ SrcDvcId. Seznam povolených hodnot a další informace najdete v části DvcIdType v článku Přehled schématu. Poznámka: Toto pole se vyžaduje, pokud se použije SrcDvcId . |
SrcDeviceType | Volitelné | DeviceType | Typ zdrojového zařízení. Seznam povolených hodnot a další informace najdete v části DeviceType v článku Přehled schématu. |
SrcSubscriptionId | Volitelné | String | ID předplatného cloudové platformy, do které zdrojové zařízení patří. SrcSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
SrcGeoCountry | Volitelné | Země | Země nebo oblast přidružená ke zdrojové IP adrese. Příklad: USA |
SrcGeoRegion | Volitelné | Oblast | Oblast v rámci země nebo oblasti přidružené ke zdrojové IP adrese. Příklad: Vermont |
SrcGeoCity | Volitelné | City | Město přidružené ke zdrojové IP adrese. Příklad: Burlington |
SrcGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 44.475833 |
SrcGeoLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 73.211944 |
Kontrolní pole
Následující pole slouží k reprezentaci kontroly prováděné systémem zabezpečení.
Pole | Třída | Typ | Popis |
---|---|---|---|
RuleName | Volitelné | String | Název nebo ID pravidla přidružené k výsledkům kontroly. |
RuleNumber | Volitelné | Celé číslo | Počet pravidel přidružených k výsledkům kontroly. |
Pravidlo | Alias | String | Buď hodnota RuleName , nebo hodnota RuleNumber. Pokud se použije hodnota RuleNumber , typ by měl být převeden na řetězec. |
ThreatId | Volitelné | String | ID hrozby nebo malwaru zjištěného v aktivitě auditu. |
ThreatName | Volitelné | String | Název hrozby nebo malwaru zjištěného v aktivitě auditu. |
ThreatCategory | Volitelné | String | Kategorie hrozby nebo malwaru zjištěného v aktivitě souboru auditu. |
ThreatRiskLevel | Volitelné | Celé číslo | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
ThreatOriginalRiskLevel | Volitelné | String | Úroveň rizika hlášená zařízením pro generování sestav. |
ThreatConfidence | Volitelné | Celé číslo | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
ThreatOriginalConfidence | Volitelné | String | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
ThreatIsActive | Volitelné | Logická hodnota | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
ThreatFirstReportedTime | Volitelné | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
ThreatLastReportedTime | Volitelné | datetime | Čas posledního zjištění IP adresy nebo domény jako hrozby |
ThreatIpAddr | Volitelné | IP adresa | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. |
ThreatField | Volitelné | Enumerated | Pole, pro které byla zjištěna hrozba. Hodnota je buď SrcIpAddr nebo TargetIpAddr . |
Další kroky
Další informace naleznete v tématu: