Informazioni di riferimento sullo schema di avviso ASIM (Advanced Security Information Model)
Lo schema degli avvisi di Microsoft Sentinel è progettato per normalizzare gli avvisi correlati alla sicurezza di vari prodotti in un formato standardizzato all'interno di Microsoft Advanced Security Information Model (ASIM). Questo schema è incentrato esclusivamente sugli eventi di sicurezza, garantendo un'analisi coerente ed efficiente in diverse origini dati.
Lo schema degli avvisi rappresenta vari tipi di avvisi di sicurezza, ad esempio minacce, attività sospette, anomalie del comportamento dell'utente e violazioni della conformità. Questi avvisi vengono segnalati da diversi prodotti e sistemi di sicurezza, tra cui, ad esempio, edR, software antivirus, sistemi di rilevamento delle intrusioni, strumenti di prevenzione della perdita dei dati e così via.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).
Importante
Lo schema di normalizzazione degli avvisi è attualmente in anteprima. Questa funzionalità viene fornita senza un contratto di servizio. Non è consigliabile usarlo per carichi di lavoro di produzione.
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Parser
Per altre informazioni sui parser ASIM, vedere panoramica dei parser ASIM.
Unificazione dei parser
Per usare parser che unificano tutti i parser predefiniti di ASIM e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare il _Im_AlertEvent parser di filtro o il _ASim_AlertEvent parser senza parametri. È anche possibile usare i parser e ASimAlertEvent distribuiti imAlertEvent nell'area di lavoro distribuindoli dal repository GitHub di Microsoft Sentinel.
Per altre informazioni, vedere Parser ASIM predefiniti e parser distribuiti nell'area di lavoro.
Parser specifici dell'origine predefiniti
Per l'elenco dei parser di avvisi forniti da Microsoft Sentinel, vedere l'elenco dei parser ASIM.
Aggiungere parser normalizzati personalizzati
Quando si sviluppano parser personalizzati per il modello di informazioni sugli avvisi, denominare le funzioni KQL usando la sintassi seguente:
-
vimAlertEvent<vendor><Product>per parser con parametri -
ASimAlertEvent<vendor><Product>per parser regolari
Fare riferimento all'articolo Gestione dei parser ASIM per informazioni su come aggiungere parser personalizzati agli avvisi che unificano i parser.
Filtro dei parametri del parser
I parser di avviso supportano vari parametri di filtro per migliorare le prestazioni delle query. Questi parametri sono facoltativi, ma possono migliorare le prestazioni delle query. Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| starttime | datetime | Filtrare solo gli avvisi avviati in o dopo questa volta. |
| endtime | datetime | Filtrare solo gli avvisi avviati in o prima di questa volta. |
| ipaddr_has_any_prefix | dynamic | Filtrare solo gli avvisi per i quali il campo 'DvcIpAddr' si trova in uno dei valori elencati. |
| hostname_has_any | dynamic | Filtrare solo gli avvisi per i quali il campo "DvcHostname" si trova in uno dei valori elencati. |
| username_has_any | dynamic | Filtrare solo gli avvisi per i quali il campo "Nome utente" si trova in uno dei valori elencati. |
| attacktactics_has_any | dynamic | Filtra solo gli avvisi per i quali il campo 'AttackTactics' è in uno dei valori elencati. |
| attacktechniques_has_any | dynamic | Filtra solo gli avvisi per i quali il campo 'AttackTechniques' si trova in uno dei valori elencati. |
| threatcategory_has_any | dynamic | Filtrare solo gli avvisi per i quali il campo 'ThreatCategory' si trova in uno dei valori elencati. |
| alertverdict_has_any | dynamic | Filtrare solo gli avvisi per i quali il campo 'AlertVerdict' si trova in uno dei valori elencati. |
| eventseverity_has_any | dynamic | Filtrare solo gli avvisi per i quali il campo "EventSeverity" si trova in uno dei valori elencati. |
Panoramica dello schema
Lo schema di avviso gestisce diversi tipi di eventi di sicurezza, che condividono gli stessi campi. Questi eventi sono identificati dal campo EventType:
- Informazioni sulle minacce: avvisi correlati a vari tipi di attività dannose, ad esempio malware, phishing, ransomware e altre minacce informatiche.
- Attività sospette: avvisi per le attività che non sono necessariamente minacce confermate, ma sono sospette e giustificano ulteriori indagini, ad esempio più tentativi di accesso non riusciti o l'accesso a file con restrizioni.
- Anomalie del comportamento dell'utente: avvisi che indicano comportamenti insoliti o imprevisti dell'utente che potrebbero suggerire un problema di sicurezza, ad esempio tempi di accesso anomali o modelli di accesso insoliti ai dati.
- Violazioni di conformità: avvisi correlati alla mancata conformità con i criteri normativi o interni. Ad esempio, una macchina virtuale esposta con porte pubbliche aperte vulnerabili agli attacchi (Avviso di sicurezza cloud).
Importante
Per mantenere la pertinenza e l'efficacia dello schema degli avvisi, è necessario eseguire il mapping solo degli avvisi correlati alla sicurezza.
Lo schema degli avvisi fa riferimento alle entità seguenti per acquisire i dettagli sull'avviso:
-
I campi Dvc vengono usati per acquisire i dettagli sull'host o l'ip associato all'avviso
-
I campi utente vengono usati per acquisire i dettagli sull'utente associato all'avviso.
- Analogamente , i campi Processo, File, URL, Registro di sistema e Posta elettronica vengono usati per acquisire solo i dettagli chiave relativi al processo, al file, all'URL, al Registro di sistema e al messaggio di posta elettronica associati rispettivamente all'avviso.
Importante
- Quando si compila un parser specifico del prodotto, usare lo schema di avviso ASIM quando l'avviso contiene informazioni su un evento imprevisto di sicurezza o una potenziale minaccia e i dettagli principali possono essere mappati direttamente ai campi dello schema degli avvisi disponibili. Lo schema avviso è ideale per acquisire informazioni di riepilogo senza campi estesi specifici dell'entità.
- Tuttavia, se ci si trova a posizionare campi essenziali in 'AdditionalFields' a causa di una mancanza di corrispondenze di campo diretto, prendere in considerazione uno schema più specializzato. Ad esempio, se un avviso include dettagli correlati alla rete, ad esempio più indirizzi IP, ad esempio SrcIpAdr, DstIpAddr, PortNumber e così via, è possibile scegliere lo schema NetworkSession rispetto allo schema di avviso. Gli schemi specializzati forniscono anche campi dedicati per acquisire informazioni correlate alle minacce, migliorare la qualità dei dati e facilitare l'analisi efficiente.
Dettagli schema
Campi ASIM comuni
L'elenco seguente elenca i campi con linee guida specifiche per gli eventi di avviso:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerated | Tipo dell'evento. I valori supportati sono: - Alert |
| EventSubType | Consigliato | Enumerated | Specifica il sottotipo o la categoria dell'evento di avviso, fornendo dettagli più granulari all'interno della classificazione degli eventi più ampia. Questo campo consente di distinguere la natura del problema rilevato, migliorando le strategie di priorità e risposta degli eventi imprevisti. I valori supportati includono: - Threat (Rappresenta un'attività dannosa confermata o altamente probabile che potrebbe compromettere il sistema o la rete)- Suspicious Activity (Flags comportamento o eventi che appaiono insoliti o sospetti, anche se non ancora confermati come dannosi)- Anomaly Identifica le deviazioni dai modelli normali che potrebbero indicare un potenziale rischio di sicurezza o un problema operativo.- Compliance Violation (Evidenzia le attività che violano gli standard normativi, di criteri o di conformità) |
| EventUid | Obbligatorio | string | Stringa alfanumerica leggibile dal computer che identifica in modo univoco un avviso all'interno di un sistema. Ad esempio: A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Facoltativo | string | Informazioni dettagliate sull'avviso, tra cui il contesto, la causa e il potenziale impatto. Ad esempio: Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias o nome descrittivo per DvcIpAddr il campo. |
|
| Hostname (Nome host) | Alias | Alias o nome descrittivo per DvcHostname il campo. |
|
| EventSchema | Obbligatorio | string | Schema utilizzato per l'evento. Lo schema documentato qui è AlertEvent. |
| EventSchemaVersion | Obbligatorio | string | La versione dello schema. La versione dello schema documentata qui è 0.1. |
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Tutte le linee guida specificate in precedenza sostituiscono le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni ASIM.
| Classe | Campi |
|---|---|
| Obbligatorio |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Consigliato |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Facoltativo |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - Campi aggiuntivi - DvcDescription - DvcScopeId - DvcScope |
Campi di ispezione
La tabella seguente illustra i campi che forniscono informazioni dettagliate critiche sulle regole e le minacce associate agli avvisi. Insieme, aiutano ad arricchire il contesto dell'avviso, rendendo più semplice per gli analisti della sicurezza comprendere l'origine e il significato.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AlertId | Alias | string | Alias o nome descrittivo per EventUid il campo. |
| AlertName | Consigliato | string | Titolo o nome dell'avviso. Ad esempio: Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | string | Alias o nome descrittivo per EventMessage il campo. |
| AlertVerdict | Facoltativo | Enumerated | La determinazione finale o il risultato dell'avviso, che indica se l'avviso è stato confermato come minaccia, considerato sospetto o risolto come falso positivo. I valori supportati sono: - True Positive (Confermato come una minaccia legittima)- False Positive (Identificato erroneamente come minaccia)- Benign Positive (quando l'evento è determinato come innocuo)- Unknown (Stato incerto o indeterminato) |
| AlertStatus | Facoltativo | Enumerated | Indica lo stato corrente o lo stato dell'avviso. I valori supportati sono: - Active- Closed |
| AlertOriginalStatus | Facoltativo | string | Stato dell'avviso come segnalato dal sistema di origine. |
| DetectionMethod | Facoltativo | Enumerated | Fornisce informazioni dettagliate sul metodo di rilevamento, la tecnologia o l'origine dati specifici che hanno contribuito alla generazione dell'avviso. Questo campo offre maggiori informazioni sul modo in cui l'avviso è stato rilevato o attivato, agevolando la comprensione del contesto di rilevamento e dell'affidabilità. I valori supportati includono: - EDR: sistemi di rilevamento e risposta degli endpoint che monitorano e analizzano le attività degli endpoint per identificare le minacce.- Behavioral Analytics: tecniche che rilevano modelli anomali nel comportamento dell'utente, del dispositivo o del sistema.- Reputation: rilevamento delle minacce in base alla reputazione di indirizzi IP, domini o file.- Threat Intelligence: feed di intelligence esterni o interni che forniscono dati su minacce note o tattiche antagoniste.- Intrusion Detection: sistemi che monitorano il traffico di rete o le attività per segni di intrusioni o attacchi.- Automated Investigation: sistemi automatizzati che analizzano e analizzano gli avvisi, riducendo il carico di lavoro manuale.- Antivirus: motori antivirus tradizionali che rilevano malware in base alle firme e all'euristica.- Data Loss Prevention: soluzioni incentrate sulla prevenzione di trasferimenti o perdite di dati non autorizzati.- User Defined Blocked List: elenchi personalizzati definiti dagli utenti per bloccare indirizzi IP, domini o file specifici.- Cloud Security Posture Management: strumenti che valutano e gestiscono i rischi per la sicurezza negli ambienti cloud.- Cloud Application Security: soluzioni che proteggono applicazioni e dati cloud.- Scheduled Alerts: avvisi generati in base a pianificazioni o soglie predefinite.- Other: qualsiasi altro metodo di rilevamento non coperto dalle categorie precedenti. |
| Regola | Alias | string | Valore di RuleName o valore di RuleNumber. Se viene usato il valore di RuleNumber, il tipo deve essere convertito in stringa. |
| RuleNumber | Facoltativo | int | Numero della regola associata all'avviso. Ad esempio: 123456 |
| RuleName | Facoltativo | string | Nome o ID della regola associata all'avviso. Ad esempio: Server PSEXEC Execution via Remote Access |
| RuleDescription | Facoltativo | string | Descrizione della regola associata all'avviso. Ad esempio: This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Facoltativo | string | ID della minaccia o del malware identificato nell'avviso. Ad esempio: 1234567891011121314 |
| ThreatName | Facoltativo | string | Nome della minaccia o del malware identificato nell'avviso. Ad esempio: Init.exe |
| ThreatFirstReportedTime | Facoltativo | datetime | Data e ora in cui la minaccia è stata segnalata per la prima volta. Ad esempio: 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Facoltativo | datetime | Data e ora dell'ultima segnalazione della minaccia. Ad esempio: 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Consigliato | Enumerated | Categoria della minaccia o del malware identificato nell'avviso. I valori supportati sono: Malware, TrojanRansomware, Virus, Worm, Adware, Spyware, RootkitSpoofingPhishingCryptominorSpamMaliciousUrl, Security Policy ViolationUnknown |
| ThreatOriginalCategory | Facoltativo | string | Categoria della minaccia segnalata dal sistema di origine. |
| ThreatIsActive | Facoltativo | bool | Indica se la minaccia è attualmente attiva. I valori supportati sono: True, False |
| ThreatRiskLevel | Facoltativo | int | Livello di rischio associato alla minaccia. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore potrebbe essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata per questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facoltativo | string | Livello di rischio segnalato dal sistema di origine. |
| ThreatConfidence | Facoltativo | int | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | string | Livello di confidenza segnalato dal sistema di origine. |
| IndicatorType | Consigliato | Enumerated | Tipo o categoria dell'indicatore I valori supportati sono: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Facoltativo | Enumerated | Specifica se l'indicatore è collegato o direttamente interessato dalla minaccia. I valori supportati sono: - Associated- Targeted |
| AttackTactics | Consigliato | string | Tattiche di attacco (nome, ID o entrambi) associati all'avviso. Formato preferito: ad esempio: Persistence, Privilege Escalation |
| AttackTechniques | Consigliato | string | Le tecniche di attacco (nome, ID o entrambi) associate all'avviso. Formato preferito: ad esempio: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Consigliato | string | Azioni o passaggi consigliati per attenuare o correggere l'attacco o la minaccia identificati. Ad esempio: 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Campi utente
Questa sezione definisce i campi correlati all'identificazione e alla classificazione degli utenti associati a un avviso, fornendo chiarezza sull'utente interessato e sul formato della propria identità. Se l'avviso contiene campi aggiuntivi correlati all'utente che superano ciò che viene mappato qui, è possibile valutare se uno schema specializzato, ad esempio lo schema dell'evento di autenticazione, potrebbe essere più appropriato per rappresentare completamente i dati.
| Campo | Classe | Tipo | descrizione |
|---|---|---|---|
| ID utente | Facoltativo | string | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente associato all'avviso. Ad esempio: A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Condizionale | Enumerated | Tipo di ID utente, ad esempio GUID, SIDo Email.I valori supportati sono: - GUID- SID- Email- Username- Phone- Other |
| Nome utente | Consigliato | string | Nome dell'utente associato all'avviso, incluse le informazioni sul dominio, se disponibili. ad esempio Contoso\JSmith o john.smith@contoso.com |
| Utente | Alias | string | Alias o nome descrittivo per Username il campo. |
| UsernameType | Condizionale | UsernameType | Specifica il tipo di nome utente archiviato nel Username campo . Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameType nell'articolo Panoramica dello schema.Ad esempio: Windows |
| UserType | Facoltativo | UserType | Tipo dell'attore. Per altre informazioni e l'elenco dei valori consentiti, vedere UserType nell'articolo Panoramica dello schema. Ad esempio: Guest |
| OriginalUserType | Facoltativo | string | Tipo di utente segnalato dal dispositivo di report. |
| UserSessionId | Facoltativo | string | ID univoco della sessione dell'utente associato all'avviso. Ad esempio: a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Facoltativo | string | ID ambito, ad esempio ID directory Microsoft Entra, in cui sono definiti UserId e Username. Ad esempio: a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Facoltativo | string | Ambito, ad esempio il tenant di Microsoft Entra, in cui sono definiti UserId e Username. o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema. Ad esempio: Contoso Directory |
Campi di elaborazione
Questa sezione consente di acquisire i dettagli relativi a un'entità di processo coinvolta in un avviso usando i campi specificati. Se l'avviso contiene campi aggiuntivi e dettagliati relativi a processi che superano ciò che viene mappato qui, è possibile valutare se uno schema specializzato, ad esempio lo schema di evento processo, potrebbe essere più appropriato per rappresentare completamente i dati.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ProcessId | Facoltativo | string | ID processo (PID) associato all'avviso. Ad esempio: 12345678 |
| ProcessCommandLine | Facoltativo | string | Riga di comando usata per avviare il processo. Ad esempio: "choco.exe" -v |
| ProcessName | Facoltativo | string | Nome del processo. Ad esempio: C:\Windows\explorer.exe |
| ProcessFileCompany | Facoltativo | string | Società che ha creato il file di immagine del processo. Ad esempio: Microsoft |
Campi file
Questa sezione consente di acquisire i dettagli correlati a un'entità file coinvolta in un avviso. Se l'avviso contiene campi aggiuntivi e dettagliati relativi ai file che superano quello di cui è stato eseguito il mapping, è possibile valutare se uno schema specializzato, ad esempio lo schema dell'evento file, potrebbe essere più appropriato per rappresentare completamente i dati.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| FileName | Facoltativo | string | Nome del file associato all'avviso, senza percorso o percorso. Ad esempio: Notepad.exe |
| FilePath | Facoltativo | string | egli percorso completo, normalizzato del file di destinazione, inclusi la cartella o il percorso, il nome del file e l'estensione. Ad esempio: C:\Windows\System32\notepad.exe |
| FileSHA1 | Facoltativo | string | Hash SHA1 del file. Ad esempio: j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Facoltativo | string | Hash SHA256 del file. Ad esempio: a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Facoltativo | string | Hash MD5 del file. Ad esempio: j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Facoltativo | long | Dimensioni del file, in byte. Ad esempio: 123456 |
Campo URL
Se l'avviso include informazioni sull'entità URL, i campi seguenti possono acquisire i dati correlati all'URL.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Url | Facoltativo | string | Stringa url acquisita nell'avviso. Ad esempio: https://contoso.com/fo/?k=v&q=u#f |
Campi del Registro di sistema
Se l'avviso include informazioni dettagliate sull'entità del Registro di sistema, usare i campi seguenti per acquisire informazioni specifiche relative al Registro di sistema.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| RegistryKey | Facoltativo | string | Chiave del Registro di sistema associata all'avviso normalizzata in convenzioni di denominazione della chiave radice standard. Ad esempio: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Facoltativo | string | Valore del Registro di sistema. Ad esempio: ImagePath |
| RegistryValueData | Facoltativo | string | Dati del valore del Registro di sistema. Ad esempio: C:\Windows\system32;C:\Windows; |
| RegistryValueType | Facoltativo | Enumerated | Tipo del valore del Registro di sistema. Ad esempio: Reg_Expand_Sz |
Campi di posta elettronica
Se l'avviso include informazioni sull'entità di posta elettronica, usare i campi seguenti per acquisire dettagli specifici relativi alla posta elettronica.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EmailMessageId | Facoltativo | string | Identificatore univoco per il messaggio di posta elettronica, associato all'avviso. Ad esempio: Request for Invoice Access |
| EmailSubject | Facoltativo | string | Oggetto del messaggio di posta elettronica. Ad esempio: j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Aggiornamenti dello schema
Di seguito sono riportate le modifiche in varie versioni dello schema:
- Versione 0.1: versione iniziale.