Partilhar via


A referência do esquema de normalização de eventos de auditoria ASIM (Advanced Security Information Model) (visualização pública)

O esquema de normalização de eventos do Microsoft Sentinel Audit representa eventos associados à trilha de auditoria dos sistemas de informação. A trilha de auditoria registra as atividades de configuração do sistema e as alterações de política. Tais alterações são frequentemente realizadas por administradores de sistema, mas também podem ser realizadas pelos usuários ao configurar as configurações de seus próprios aplicativos.

Cada sistema registra eventos de auditoria juntamente com seus logs de atividades principais. Por exemplo, um Firewall registrará eventos sobre as sessões de rede e eventos de auditoria sobre alterações de configuração aplicadas ao próprio Firewall.

Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).

Importante

O esquema de normalização do Evento de Auditoria está atualmente em visualização. Este recurso é fornecido sem um contrato de nível de serviço. Não recomendamos para cargas de trabalho de produção.

Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Descrição geral do esquema

Os principais domínios de um evento de auditoria são:

  • O objeto, que pode ser, por exemplo, um recurso gerenciado ou uma regra de política, no qual o evento se concentra, representado pelo campo Objeto. O campo ObjectType especifica o tipo do objeto.
  • O contexto do aplicativo do objeto, representado pelo campo TargetAppName, que é aliased por Application.
  • A operação executada no objeto, representada pelos campos EventType e Operation. Enquanto Operation é o valor relatado pela fonte, EventType é uma versão normalizada que é mais consistente entre as fontes.
  • Os valores antigo e novo para o objeto, se aplicável, representados por OldValue e NewValue respectivamente.

Os eventos de auditoria também fazem referência às seguintes entidades, que estão envolvidas na operação de configuração:

  • Ator - O usuário que executa a operação de configuração.
  • TargetApp - O aplicativo ou sistema ao qual a operação de configuração se aplica.
  • Target - O sistema no qual o TargetApp* está sendo executado.
  • ActingApp - O aplicativo usado pelo Ator para executar a operação de configuração.
  • Src - O sistema usado pelo Ator para iniciar a operação de configuração, se diferente do Target.

O descritor Dvc é usado para o dispositivo de relatório, que é o sistema local para sessões relatadas por um ponto de extremidade, e o intermediário ou dispositivo de segurança em outros casos.

Analisadores

Implantando e usando analisadores de eventos de auditoria

Implante os analisadores de eventos de auditoria ASIM a partir do repositório GitHub do Microsoft Sentinel. Para consultar todas as fontes de eventos de auditoria, use o analisador imAuditEvent unificador como o nome da tabela em sua consulta.

Para obter mais informações sobre como usar analisadores ASIM, consulte a visão geral dos analisadores ASIM. Para obter a lista dos analisadores de eventos de auditoria fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM

Adicione seus próprios analisadores normalizados

Ao implementar analisadores personalizados para o modelo de informações de evento de arquivo, nomeie suas funções KQL usando a seguinte sintaxe: imAuditEvent<vendor><Product>. Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados ao analisador unificador de eventos de auditoria.

Parâmetros do analisador de filtragem

Os analisadores de eventos de auditoria suportam parâmetros de filtragem. Embora esses parâmetros sejam opcionais, eles podem melhorar o desempenho da consulta.

Os seguintes parâmetros de filtragem estão disponíveis:

Nome Tipo Description
Hora de início datetime Filtre apenas eventos executados nesse período ou após esse período. Este parâmetro usa o TimeGenerated campo como o designador de tempo do evento.
tempo de fim datetime Filtre apenas consultas de eventos que terminaram de ser executadas durante ou antes desse período. Este parâmetro usa o TimeGenerated campo como o designador de tempo do evento.
srcipaddr_has_any_prefix dynamic Filtre apenas eventos desse endereço IP de origem, conforme representado no campo SrcIpAddr .
eventtype_in string Filtre apenas eventos nos quais o tipo de evento, conforme representado no campo EventType é qualquer um dos termos fornecidos.
resultado do evento string Filtre apenas eventos nos quais o resultado do evento, conforme representado no campo EventResult , é igual ao valor do parâmetro.
actorusername_has_any dinâmico/string Filtre apenas eventos nos quais o ActorUsername inclua qualquer um dos termos fornecidos.
operation_has_any dinâmico/string Filtre apenas eventos nos quais o campo Operação inclua qualquer um dos termos fornecidos.
object_has_any dinâmico/string Filtre apenas eventos nos quais o campo Objeto inclua qualquer um dos termos fornecidos.
newvalue_has_any dinâmico/string Filtre apenas eventos nos quais o campo NewValue inclua qualquer um dos termos fornecidos.

Alguns parâmetros podem aceitar tanto a lista de valores do tipo dynamic ou um único valor de cadeia de caracteres. Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])

Por exemplo, para filtrar apenas eventos de auditoria com os termos install ou update no campo Operação , a partir do último dia , use:

imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())

Detalhes do esquema

Campos ASIM comuns

Importante

Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.

Domínios comuns com orientações específicas

A lista a seguir menciona campos que têm diretrizes específicas para eventos de auditoria:

Campo Classe Tipo Description
Tipo de Evento Obrigatório Enumerated Descreve a operação auditada pelo evento usando um valor normalizado. Use EventSubType para fornecer mais detalhes, que o valor normalizado não transmite, e Operation. para armazenar a operação conforme relatado pelo dispositivo de relatório.

Para registros de eventos de auditoria, os valores permitidos são:
- Set
- Read
- Create
- Delete
- Execute
- Install
- Clear
- Enable
- Disable
- Other

Os eventos de auditoria representam uma grande variedade de operações, e o Other valor permite mapear operações que não têm correspondente EventType. No entanto, o uso de Other limita a usabilidade do evento e deve ser evitado se possível.
SubTipo de Evento Opcional String Fornece mais detalhes, que o valor normalizado em EventType não transmite.
EventSchema Obrigatório String O nome do esquema documentado aqui é AuditEvent.
EventSchemaVersion Obrigatório String A versão do esquema. A versão do esquema documentada aqui é 0.1.

Todos os campos comuns

Os campos que aparecem na tabela são comuns a todos os esquemas ASIM. Qualquer uma das diretrizes especificadas neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos comuns do ASIM.

Classe Campos
Obrigatório - EventCount
- EventStartTime
- EventEndTime
- Tipo de Evento
- EventResult
- EventoProduto
- EventVendor
- EventSchema
- EventSchemaVersion
- DVC
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcNome do host
- DvcDomínio
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcional - EventMessage
- SubTipo de Evento
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- Proprietário do Evento
- DvcZona
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Campos Adicionais
- DvcDescrição
- DvcScopeId
- DvcScope

Campos de auditoria

Campo Classe Tipo Description
Operação Obrigatório String A operação auditada conforme relatado pelo dispositivo de relatório.
Objeto Obrigatório String O nome do objeto no qual a operação identificada por EventType é executada.
Tipo de objeto Obrigatório Enumerated O tipo de objeto. Os valores permitidos são:
- Cloud Resource
- Configuration Atom
- Policy Rule
- Outros
OldValue Opcional String O valor antigo de Object antes da operação, se aplicável.
NovoValor Opcional String O novo valor de Object após a operação ter sido executada, se aplicável.
Valor Alias Alias para NewValue
Tipo de Valor Condicional Enumerated O tipo de valores antigos e novos. Os valores permitidos são
- Outros

Campos de atores

Campo Classe Tipo Description
ActorUserId Opcional String Uma representação única, alfanumérica e legível por máquina do Ator. Para obter mais informações e campos alternativos para outras IDs, consulte A entidade do usuário.

Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope Opcional String O escopo, como Microsoft Entra Domain Name, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
ActorScopeId Opcional String A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual ActorUserId e ActorUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
ActorUserIdType Condicional UserIdType O tipo de ID armazenado no campo ActorUserId . Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema.
ActorUsername Recomendado Username O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para obter mais informações, consulte A entidade Usuário.

Exemplo: AlbertE
Utilizador Alias Alias para ActorUsername
ActorUsernameType Condicional UsernameType Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema.

Exemplo: Windows
ActorUserType Opcional UserType O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema.

Por exemplo: Guest
ActorOriginalUserType Opcional UserType O tipo de usuário conforme relatado pelo dispositivo de relatório.
ActorSessionId Opcional String O ID exclusivo da sessão de entrada do Ator.

Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg

Campos do aplicativo de destino

Campo Classe Tipo Description
TargetAppId Opcional String A ID do aplicativo ao qual o evento se aplica, incluindo um processo, navegador ou serviço.

Exemplo: 89162
TargetAppName Opcional String O nome do aplicativo ao qual o evento se aplica, incluindo um serviço, uma URL ou um aplicativo SaaS.

Exemplo: Exchange 365
Aplicação Alias Alias para TargetAppName
TargetAppType Opcional Tipo de aplicativo O tipo de pedido que autoriza em nome do Ator. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema.
TargetUrl Opcional URL A URL associada ao aplicativo de destino.

Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b

Campos do sistema de destino

Campo Classe Tipo Description
Dst Alias String Um identificador exclusivo do destino de autenticação.

Este campo pode usar o alias TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName.

Exemplo: 192.168.12.1
TargetHostname Recomendado Hostname (Nome do anfitrião) O nome de host do dispositivo de destino, excluindo informações de domínio.

Exemplo: DESKTOP-1282V4D
Domínio-alvo Recomendado String O domínio do dispositivo de destino.

Exemplo: Contoso
TargetDomainType Condicional Enumerated O tipo de TargetDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema.

Necessário se TargetDomain for usado.
TargetFQDN Opcional String O nome de host do dispositivo de destino, incluindo informações de domínio, quando disponíveis.

Exemplo: Contoso\DESKTOP-1282V4D

Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O TargetDomainType reflete o formato usado.
Descrição do alvo Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
TargetDvcId Opcional String O ID do dispositivo de destino. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos TargetDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId Opcional String O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O TargetDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
TargetDvcScope Opcional String O escopo da plataforma de nuvem ao qual o dispositivo pertence. O TargetDvcScope é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS.
TargetDvcIdType Condicional Enumerated O tipo de TargetDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema.

Necessário se TargetDeviceId for usado.
TargetDeviceType Opcional Enumerated O tipo do dispositivo alvo. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema.
TargetIpAddr Opcional Endereço IP O endereço IP do dispositivo de destino.

Exemplo: 2.2.2.2
TargetDvcOs Opcional String O sistema operacional do dispositivo de destino.

Exemplo: Windows 10
TargetPortNumber Opcional Número inteiro A porta do dispositivo de destino.

Campos Aplicação em Atuação

Campo Classe Tipo Description
ActingAppId Opcional String A ID do aplicativo que iniciou a atividade relatada, incluindo um processo, navegador ou serviço.

Por exemplo: 0x12ae8
ActiveAppName Opcional String O nome do aplicativo que iniciou a atividade relatada, incluindo um serviço, uma URL ou um aplicativo SaaS.

Por exemplo: C:\Windows\System32\svchost.exe
ActingAppType Opcional Tipo de aplicativo O tipo de aplicação atuante. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema.
HttpUserAgent Opcional String Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo que atua ao executar a autenticação.

Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Campos do sistema de origem

Campo Classe Tipo Description
Src Alias String Um identificador exclusivo do dispositivo de origem.

Este campo pode usar o alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr .

Exemplo: 192.168.12.1
SrcIpAddr Recomendado Endereço IP O endereço IP do qual a conexão ou sessão se originou.

Exemplo: 77.138.103.108
IpAddr Alias Alias para SrcIpAddr, ou para TargetIpAddr se SrcIpAddr não for fornecido.
SrcPortNumber Opcional Número inteiro A porta IP da qual a conexão se originou. Pode não ser relevante para uma sessão que inclui várias conexões.

Exemplo: 2335
SrcHostname Recomendado Hostname (Nome do anfitrião) O nome de host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo.

Exemplo: DESKTOP-1282V4D
Domínio Src Recomendado String O domínio do dispositivo de origem.

Exemplo: Contoso
SrcDomainType Condicional Tipo de domínio O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema.

Necessário se SrcDomain for usado.
SrcFQDN Opcional String O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis.

Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado.

Exemplo: Contoso\DESKTOP-1282V4D
SrcDescrição Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
SrcDvcId Opcional String A ID do dispositivo de origem. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos SrcDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcional String O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcScope Opcional String O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcIdType Condicional DvcIdType O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema.

Nota: Este campo é obrigatório se SrcDvcId for usado.
SrcDeviceType Opcional Tipo de dispositivo O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema.
SrcSubscriptionId Opcional String O ID de assinatura da plataforma de nuvem ao qual o dispositivo de origem pertence. O SrcSubscriptionId é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS.
SrcGeoCountry Opcional País O país/região associado ao endereço IP de origem.

Exemplo: USA
SrcGeoRegion Opcional País/Região A região dentro de um país/região associada ao endereço IP de origem.

Exemplo: Vermont
SrcGeoCity Opcional City A cidade associada ao endereço IP de origem.

Exemplo: Burlington
SrcGeoLatitude Opcional Latitude A latitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 44.475833
SrcGeoLongitude Opcional Longitude A longitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 73.211944

Campos de inspeção

Os campos a seguir são usados para representar a inspeção realizada por um sistema de segurança.

Campo Classe Tipo Description
RuleName Opcional String O nome ou ID da regra associado aos resultados da inspeção.
Número da regra Opcional Número inteiro O número da regra associada aos resultados da inspeção.
Regra Alias String O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string.
ThreatId Opcional String O ID da ameaça ou malware identificado na atividade de auditoria.
Nome da Ameaça Opcional String O nome da ameaça ou malware identificado na atividade de auditoria.
ThreatCategory Opcional String A categoria da ameaça ou malware identificado na atividade do arquivo de auditoria.
ThreatRiskLevel Opcional Número inteiro O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100.

Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcional String O nível de risco comunicado pelo dispositivo de notificação.
ThreatConfidence Opcional Número inteiro O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100.
ThreatOriginalConfidence Opcional String O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório.
ThreatIsActive Opcional Boolean True se a ameaça identificada for considerada uma ameaça ativa.
ThreatFirstReportedTime Opcional datetime A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça.
ThreatLastReportedTime Opcional datetime A última vez que o endereço IP ou domínio foi identificado como uma ameaça.
ThreatIpAddr Opcional Endereço IP Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa.
Campo de Ameaças Opcional Enumerated O campo para o qual foi identificada uma ameaça. O valor é ou SrcIpAddr TargetIpAddr.

Próximos passos

Para obter mais informações, consulte: