Compartilhar via


Referência do esquema de normalização dos Eventos de auditoria do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia)

O esquema de normalização de eventos de Auditoria do Microsoft Sentinel representa eventos associados à trilha de auditoria dos sistemas de informações. A trilha de auditoria registra atividades de configuração do sistema e alterações de política. Essas alterações geralmente são executadas por administradores do sistema, mas também podem ser executadas pelos usuários ao definir as configurações de seus próprios aplicativos.

Cada sistema registra eventos de auditoria junto aos principais logs de atividades. Por exemplo, um Firewall registrará eventos sobre os processos de sessões de rede, bem como eventos de auditoria sobre alterações de configuração aplicadas ao próprio Firewall.

Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).

Importante

O esquema de normalização de evento de auditoria está atualmente em versão prévia. O recurso é fornecido sem um Contrato de Nível de Serviço. Não o recomendamos para carga de trabalho de produção.

Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Visão geral do esquema

Os campos principais de um evento de auditoria são:

  • O objeto, que por exemplo, pode ser um recurso gerenciado ou uma regra de política em que o evento se concentra, representado pelo campo Object. O campo ObjectType especifica o tipo do objeto.
  • O contexto de aplicativo do objeto, representado pelo campo TargetAppName, que recebe alias de Application.
  • A operação executada no objeto, representada pelos campos EventType e Operation. Embora Operation seja o valor relatado pela origem, EventType é uma versão normalizada, que é mais consistente entre as fontes.
  • Os valores antigos e novos para o objeto, se aplicáveis, representados por OldValue e NewValue, respectivamente.

Os eventos de auditoria também fazem referência às seguintes entidades envolvidas na operação de configuração:

  • Ator – o usuário que está executando a operação de configuração.
  • TargetApp – o aplicativo ou sistema para o qual se aplica a operação de configuração.
  • Destino - O sistema no qual o TargetApp* está sendo executado.
  • ActingApp – o aplicativo usado pelo Ator para executar a operação de configuração.
  • Src – o sistema usado pelo Ator para iniciar a operação de configuração, se diferente de Target.

O descritor Dvc é usado para o dispositivo de relatório, que é o sistema local para sessões relatadas por um ponto de extremidade e o dispositivo de segurança ou intermediário em outros casos.

Analisadores

Implantar e usar analisadores de eventos de auditoria

Implante os analisadores de eventos de auditoria ASIM no repositório GitHub do Microsoft Sentinel. Para consultar todas as origens de eventos de auditoria, use o analisador unificador imAuditEvent como o nome da tabela na consulta.

Para obter mais informações sobre como usar os analisadores do ASIM, consulte a Visão geral dos analisadores do ASIM. Para obter a lista dos analisadores de eventos de auditoria que o Microsoft Sentinel fornece prontos para uso, consulte a Lista dos analisadores do ASIM

Adicionar seus próprios analisadores normalizados

Ao implementar analisadores personalizados para o modelo de informação do Evento do Arquivo, dê um nome às suas funções KQL usando a seguinte sintaxe: imAuditEvent<vendor><Product>. Consulte o artigo Gerenciando analisadores do ASIM para saber como adicionar os analisadores personalizados ao analisador unificador de eventos de auditoria.

Filtragem de parâmetros de analisador

Os analisadores de evento de auditoria dão suporte a parâmetros de filtragem. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.

Os seguintes parâmetros de filtragem estão disponíveis:

Nome Tipo Descrição
starttime DATETIME Filtre somente os eventos executados nesse horário ou depois dele. Esse parâmetro usa o campo TimeGenerated como o designador de hora do evento.
endtime DATETIME Filtre somente os eventos que terminaram a execução nesse horário ou antes dele. Esse parâmetro usa o campo TimeGenerated como o designador de hora do evento.
srcipaddr_has_any_prefix dinâmico Filtre somente eventos desse endereço IP de origem, conforme representado no campo SrcIpAddr.
eventtype_in string Filtrar somente os eventos nos quais o tipo de evento, conforme representado no campo EventType, é qualquer um dos termos fornecidos.
eventresult string Filtrar somente os eventos nos quais o resultado do evento, conforme representado no campo EventResult, é igual ao valor do parâmetro.
actorusername_has_any dynamic/string Filtre somente os eventos nos quais ActorUsername inclui qualquer um dos termos fornecidos.
operation_has_any dynamic/string Filtre somente os eventos nos quais o campo Operação inclui qualquer um dos termos fornecidos.
object_has_any dynamic/string Filtre somente os eventos nos quais o campo Objeto inclui qualquer um dos termos fornecidos.
newvalue_has_any dynamic/string Filtre somente os eventos nos quais o campo NewValue inclui qualquer um dos termos fornecidos.

Alguns parâmetros podem aceitar uma lista de valores do tipo dynamic ou um só valor de cadeia de caracteres. Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])

Por exemplo, para filtrar apenas eventos de auditoria com os termos install ou update no campo Operação, do último dia, use:

imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())

Detalhes do esquema

Campos comuns do ASIM

Importante

Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.

Campos comuns com diretrizes específicas

A lista a seguir menciona os campos que têm diretrizes específicas para eventos de eventos de auditoria:

Campo Classe Tipo Descrição
Tipo de evento Obrigatório Enumerated Descreve a operação auditada pelo evento usando um valor normalizado. Use EventSubType para fornecer mais detalhes que o valor normalizado não transmite e Operação. para armazenar a operação conforme relatado pelo dispositivo de relatório.

Para registros de evento de auditoria, os valores permitidos são:
- Set
- Read
- Create
- Delete
- Execute
- Install
- Clear
- Enable
- Disable
- Other

Os eventos de auditoria representam uma grande variedade de operações e o valor Other permite operações de mapeamento que não têm nenhum EventType correspondente. No entanto, o uso de Other limita a usabilidade do evento e deve ser evitado, se possível.
EventSubType Opcional Cadeia de caracteres Fornece detalhes adicionais que o valor normalizado em EventType não transmite.
EventSchema Obrigatório String O nome do esquema documentado aqui é AuditEvent.
EventSchemaVersion Obrigatório String A versão do esquema. A versão do esquema documentado aqui é 0.1.

Todos os campos comuns

Os campos que aparecem na tabela abaixo são comuns a todos os esquemas de ASIM. Qualquer uma das diretrizes especificadas neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns de ASIM.

Classe Fields
Obrigatório - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendadas - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos de auditoria

Campo Classe Tipo Descrição
Operation Obrigatório String A operação auditada conforme relatado pelo dispositivo de relatório.
Object Obrigatório String O nome do objeto no qual é executada a operação identificada por EventType.
ObjectType Obrigatório Enumerated O tipo de Object. Valores permitidos são:
- Cloud Resource
- Configuration Atom
- Policy Rule
– Outros
Valor antigo Opcional String O valor antigo de Object antes da operação, se aplicável.
NewValue Opcional String O novo valor de Object após a operação ser executada, se aplicável.
Value Alias Alias para NewValue
ValueType Condicional Enumerated O tipo dos valores antigos e novos. Os valores permitidos são
– Outros

Campos de ator

Campo Classe Tipo Descrição
ActorUserId Opcional String Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Para obter mais informações e campos alternativos para outras IDs, consulte Entidade do usuário.

Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope Opcional String O escopo, como o nome de domínio do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
ActorScopeId Opcional String A ID do escopo, como a ID de diretório do Microsoft Entra, na qual são definidos ActorUserId e ActorUsername. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
ActorUserIdType Condicional UserIdType O tipo da ID armazenada no campo ActorUserId. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema.
ActorUsername Recomendadas Nome de Usuário O nome de usuário do ator, incluindo informações de domínio quando disponíveis. Para saber mais, confira A entidade de usuário.

Exemplo: AlbertE
Usuário Alias Alias para ActorUsername
ActorUsernameType Condicional UsernameType Especifica o tipo do nome de usuário armazenado no campo ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema.

Exemplo: Windows
ActorUserType Opcional UserType O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema.

Por exemplo: Guest
ActorOriginalUserType Opcional UserType O tipo de usuário, conforme relatado pelo dispositivo de relatório.
ActorSessionId Opcional Cadeia de caracteres A ID exclusiva da sessão de entrada do Ator.

Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg

Campos do aplicativo de destino

Campo Classe Tipo Descrição
TargetAppId Opcional String A ID do aplicativo para o qual se aplica o evento, incluindo um processo, navegador ou serviço.

Exemplo: 89162
TargetAppName Opcional String O nome do aplicativo para o qual se aplica o evento, incluindo um serviço, uma URL ou um aplicativo SaaS.

Exemplo: Exchange 365
Application Alias Alias para TargetAppName
TargetAppType Opcional AppType O tipo de aplicativo que está autorizando em nome do ator. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema.
TargetUrl Opcional URL A URL associada ao aplicativo de destino.

Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b

Campos do sistema de destino

Campo Classe Tipo Descrição
Dst Alias String Um identificador exclusivo do destino de autenticação.

Esse campo pode criar alias para os campos TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName .

Exemplo: 192.168.12.1
TargetHostname Recomendadas Nome do host O nome do host do dispositivo de destino, incluindo informações de domínio.

Exemplo: DESKTOP-1282V4D
TargetDomain Recomendadas String O domínio do dispositivo de destino.

Exemplo: Contoso
TargetDomainType Condicional Enumerated Tipo de TargetDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema.

Obrigatório se TargetDomain for usado.
TargetFQDN Opcional String O nome do host do dispositivo de destino, incluindo informações de domínio quando disponíveis.

Exemplo: Contoso\DESKTOP-1282V4D

Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O TargetDomainType reflete o formato usado.
TargetDescription Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
TargetDvcId Opcional String A ID do dispositivo de destino. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos TargetDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId Opcional String A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS.
TargetDvcScope Opcional String O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS.
TargetDvcIdType Condicional Enumerated Tipo de TargetDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema.

Obrigatório se TargetDeviceId for usado.
TargetDeviceType Opcional Enumerated O tipo do dispositivo de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema.
TargetIpAddr Opcional Endereço IP O endereço IP do dispositivo de destino.

Exemplo: 2.2.2.2
TargetDvcOs Opcional Cadeia de caracteres O sistema operacional do dispositivo de destino.

Exemplo: Windows 10
TargetPortNumber Opcional Inteiro A porta do dispositivo de destino.

Campos Aplicativo de ação

Campo Classe Tipo Description
ActingAppId Opcional String A ID do aplicativo que iniciou a atividade relatada, incluindo um processo, navegador ou serviço.

Por exemplo: 0x12ae8
ActiveAppName Opcional String O nome do aplicativo que iniciou a atividade relatada, incluindo um serviço, uma URL ou um aplicativo SaaS.

Por exemplo: C:\Windows\System32\svchost.exe
ActingAppType Opcional AppType O tipo de aplicativo de ação. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema.
HttpUserAgent Opcional Cadeia de caracteres Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo de ação ao executar a autenticação.

Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Campos do sistema de origem

Campo Classe Tipo Descrição
Src Alias String Um identificador exclusivo do dispositivo de origem.

Esse campo pode gerar alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr.

Exemplo: 192.168.12.1
SrcIpAddr Recomendadas Endereço IP O endereço IP em que a conexão ou sessão foi originada.

Exemplo: 77.138.103.108
IpAddr Alias Alias para SrcIpAddr ou TargetIpAddr, se SrcIpAddr não for fornecido.
SrcPortNumber Opcional Inteiro A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões.

Exemplo: 2335
SrcNome do host Recomendadas Nome do host O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo.

Exemplo: DESKTOP-1282V4D
SrcDomain Recomendadas String O domínio do dispositivo de origem.

Exemplo: Contoso
SrcDomainType Condicional DomainType O tipo de SrcDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema.

Necessário se SrcDomain for usado.
SrcFQDN Opcional Cadeia de caracteres O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível.

Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado.

Exemplo: Contoso\DESKTOP-1282V4D
SrcDescription Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
SrcDvcId Opcional String A ID do dispositivo de origem. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos SrcDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcional String A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS.
SrcDvcScope Opcional String O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS.
SrcDvcIdType Condicional DvcIdType Tipo de SrcDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema.

Observação: esse campo será obrigatório se SrcDvcId for usado.
SrcDeviceType Opcional DeviceType O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema.
SrcSubscriptionId Opcional String A ID da assinatura da plataforma de nuvem à qual o dispositivo de origem pertence. Mapa do SrcSubscriptionId para uma ID da assinatura no Azure e para uma ID da conta no AWS.
SrcGeoCountry Opcional País O país/região associado ao endereço IP de origem.

Exemplo: USA
SrcGeoRegion Opcional Region A região dentro de um país/região associada ao endereço IP de origem.

Exemplo: Vermont
SrcGeoCity Opcional City A cidade associada ao endereço IP de origem.

Exemplo: Burlington
SrcGeoLatitude Opcional Latitude A latitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 44.475833
SrcGeoLongitude Opcional Longitude A longitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 73.211944

Campos de inspeção

Os campos a seguir são usados para representar essa inspeção executada por um sistema de segurança.

Campo Classe Tipo Descrição
RuleName Opcional String O nome ou a ID da regra associada aos resultados da inspeção.
RuleNumber Opcional Inteiro O número da regra associada aos resultados da inspeção.
Regra Alias String O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres.
ThreatId Opcional String A ID da ameaça ou do malware identificado na atividade de auditoria.
ThreatName Opcional String O nome da ameaça ou do malware identificado na atividade de auditoria.
ThreatCategory Opcional String A categoria da ameaça ou do malware identificado na atividade de auditoria.
ThreatRiskLevel Opcional Inteiro O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100.

Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcional Cadeia de caracteres O nível de risco, conforme relatado pelo dispositivo de relatório.
ThreatConfidence Opcional Inteiro O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100.
ThreatOriginalConfidence Opcional String O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório.
ThreatIsActive Opcional Boolean True, se a ameaça identificada é considerada uma ameaça ativa.
ThreatFirstReportedTime Opcional DATETIME A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça.
ThreatLastReportedTime Opcional DATETIME A última vez em que o endereço IP ou domínio foi identificado como uma ameaça.
ThreatIpAddr Opcional Endereço IP Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa.
ThreatField Opcional Enumerated O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr ou TargetIpAddr.

Próximas etapas

Para obter mais informações, consulte: