Справочник по схеме расширенной информационной системы безопасности (ASIM)
Схема оповещений Microsoft Sentinel предназначена для нормализации оповещений, связанных с безопасностью, из различных продуктов в стандартизованном формате в microsoft Advanced Security Information Model (ASIM). Эта схема сосредоточена исключительно на событиях безопасности, обеспечивая согласованный и эффективный анализ в разных источниках данных.
Схема оповещений представляет различные типы оповещений системы безопасности, такие как угрозы, подозрительные действия, аномалии поведения пользователей и нарушения соответствия требованиям. Эти оповещения сообщаются различными продуктами и системами безопасности, в том числе не ограничены EDR, антивирусной программой, системами обнаружения вторжений, средствами защиты от потери данных и т. д.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Внимание
Схема нормализации оповещений в настоящее время находится в предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания. Мы не рекомендуем использовать ее при нагрузках, обычных для рабочих средах.
Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Средства синтаксического анализа
Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM.
Объединение синтаксического анализа
Чтобы использовать средства синтаксического анализа, которые объединяют все средства синтаксического анализа ASIM вне коробки и убедитесь, что анализ выполняется во всех настроенных источниках, используйте _Im_AlertEvent средство синтаксического анализа фильтрации или _ASim_AlertEvent средство синтаксического анализа без параметров. Вы также можете использовать средства синтаксического анализа imAlertEvent и ASimAlertEvent, развернутые в рабочей области, развернув их из репозитория Microsoft Sentinel на GitHub.
Дополнительные сведения см. в разделе Встроенные средства синтаксического анализа ASIM и развернутые в рабочей области средства синтаксического анализа.
Встроенные средства синтаксического анализа для конкретного источника
Список средств синтаксического анализа оповещений Microsoft Sentinel предоставляет вне поля, см . в списке средств синтаксического анализа ASIM.
Добавление собственных нормализованных синтаксического анализа
При разработке пользовательских средств синтаксического анализа для информационной модели генерации оповещений назовите функции KQL следующим синтаксисом:
-
vimAlertEvent<vendor><Product>для параметризованных синтаксического анализа -
ASimAlertEvent<vendor><Product>для обычных средств синтаксического анализа
Ознакомьтесь со статьей "Управление средствами синтаксического анализа ASIM", чтобы узнать, как добавить пользовательские средства синтаксического анализа в оповещение, объединяющие средства синтаксического анализа.
Фильтрация параметров синтаксического анализа
Средства синтаксического анализа оповещений поддерживают различные параметры фильтрации для повышения производительности запросов. Эти параметры являются необязательными, но могут повысить производительность запросов. Доступны следующие параметры фильтрации:
| Имя. | Тип | Описание |
|---|---|---|
| starttime | datetime | Фильтрация только оповещений, запущенных в это время или после этого. |
| endtime | datetime | Фильтрация только оповещений, запущенных до этого времени. |
| ipaddr_has_any_prefix | по строкам | Фильтрация только оповещений, для которых поле DvcIpAddr находится в одном из перечисленных значений. |
| hostname_has_any | по строкам | Фильтрация только оповещений, для которых поле DvcHostname находится в одном из перечисленных значений. |
| username_has_any | по строкам | Фильтруются только оповещения, для которых поле "Имя пользователя" находится в одном из перечисленных значений. |
| attacktactics_has_any | по строкам | Фильтруются только оповещения, для которых поле "AttackTactics" находится в одном из перечисленных значений. |
| attacktechniques_has_any | по строкам | Фильтруются только оповещения, для которых поле "AttackTechniques" находится в одном из перечисленных значений. |
| threatcategory_has_any | по строкам | Фильтрация только оповещений, для которых поле ThreatCategory находится в одном из перечисленных значений. |
| alertverdict_has_any | по строкам | Фильтруются только оповещения, для которых поле AlertVerdict находится в одном из перечисленных значений. |
| eventseverity_has_any | по строкам | Фильтрация только оповещений, для которых поле EventSeverity находится в одном из перечисленных значений. |
Обзор схемы
Схема оповещений служит нескольким типам событий безопасности, которые используют одни и те же поля. Эти события определяются полем EventType:
- Сведения об угрозах: оповещения, связанные с различными типами вредоносных действий, таких как вредоносные программы, фишинг, программы-шантажисты и другие киберугрыши.
- Подозрительные действия: оповещения о действиях, которые не обязательно подтвердили угрозы, но являются подозрительными и требуют дальнейшего расследования, например несколько неудачных попыток входа или доступа к ограниченным файлам.
- Аномалии поведения пользователей: оповещения, указывающие на необычное или неожиданное поведение пользователя, которое может предложить проблему безопасности, например ненормальное время входа или необычные шаблоны доступа к данным.
- Нарушения соответствия требованиям: оповещения, связанные с несоответствием нормативным или внутренним политикам. Например, виртуальная машина, доступная с открытыми общедоступными портами, уязвима для атак (оповещение Cloud Security).
Внимание
Чтобы сохранить релевантность и эффективность схемы оповещений, необходимо сопоставить только оповещения, связанные с безопасностью.
Схема оповещений ссылается на следующие сущности для записи сведений об оповещении:
-
Поля Dvc используются для записи сведений об узле или IP-адресе, связанном с оповещением
-
Поля пользователей используются для записи сведений о пользователе, связанном с оповещением.
- Аналогичным образом используются поля "Процесс", "Файл", "URL-адрес", "Реестр" и "Электронная почта" для записи только ключевых сведений о процессе, файле, URL-адресе, реестре и электронной почте, связанном с оповещением соответственно.
Внимание
- При создании средства синтаксического анализа для конкретного продукта используйте схему оповещения ASIM, если оповещение содержит сведения об инциденте безопасности или потенциальной угрозе, а основные сведения можно сопоставить непосредственно с доступными полями схемы оповещений. Схема оповещений идеально подходит для записи сводной информации без обширных полей, относящихся к сущностям.
- Однако если вы обнаружите, что вы размещаете необходимые поля в "Дополнительные поля" из-за отсутствия прямых совпадений полей, рассмотрите более специализированную схему. Например, если оповещение содержит сведения, связанные с сетью, такие как несколько IP-адресов, например SrcIpAdr, DstIpAddr, PortNumber и т. д., вы можете выбрать схему NetworkSession по схеме оповещения. Специализированные схемы также предоставляют выделенные поля для сбора информации, связанной с угрозами, повышения качества данных и упрощения эффективного анализа.
Сведения о схеме
Общие поля ASIM
В следующем списке перечислены поля с определенными рекомендациями по событиям оповещений:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательно | Enumerated | Тип события. Поддерживаются значения: - Alert |
| EventSubType | Рекомендуемая конфигурация | Enumerated | Указывает подтип или категорию события генерации оповещений, предоставляя более подробную информацию в более широкой классификации событий. Это поле помогает различать характер обнаруженной проблемы, повышая стратегии приоритета инцидентов и реагирования. Допустимые значения: - Threat (Представляет подтвержденную или высокую вероятность вредоносных действий, которые могут компрометации системы или сети)- Suspicious Activity (Поведение флагов или события, которые отображаются необычными или подозрительными, хотя еще не подтверждены как вредоносные)- Anomaly (Определяет отклонения от обычных шаблонов, которые могут указывать на потенциальный риск безопасности или операционную проблему)- Compliance Violation (Выделяет действия, которые нарушают нормативные, политики или стандарты соответствия требованиям) |
| EventUid | Обязательно | строка | Удобочитаемая буквенно-цифровая строка, которая однозначно идентифицирует оповещение в системе. Например, A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Необязательно | строка | Подробные сведения об оповещении, включая его контекст, причину и потенциальное влияние. Например, Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Псевдоним | Псевдоним или понятное имя поля DvcIpAddr . |
|
| Hostname | Псевдоним | Псевдоним или понятное имя поля DvcHostname . |
|
| EventSchema | Обязательно | строка | Схема, используемая для события. Схема, описанная здесь AlertEvent. |
| EventSchemaVersion | Обязательно | строка | Номер версии схемы. Версия описанной здесь схемы — 0.1. |
Все общие поля
Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.
| Класс | Поля |
|---|---|
| Обязательно |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Рекомендуемая конфигурация |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Необязательно |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Поля проверки
В следующей таблице рассматриваются поля, которые предоставляют критически важные сведения о правилах и угрозах, связанных с оповещениями. Вместе они помогают обогатить контекст оповещения, что упрощает аналитикам безопасности понимание его происхождения и важности.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| AlertId | Псевдоним | строка | Псевдоним или понятное имя поля EventUid . |
| AlertName | Рекомендуемая конфигурация | строка | Заголовок или имя оповещения. Например, Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Псевдоним | строка | Псевдоним или понятное имя поля EventMessage . |
| AlertVerdict | Необязательно | Enumerated | Окончательное определение или результат оповещения, указывающее, было ли оповещение подтверждено как угроза, считается подозрительным или разрешено как ложное срабатывание. Поддерживаются значения: - True Positive (Подтверждено как законная угроза)- False Positive (Неправильно идентифицировано как угроза)- Benign Positive (если событие определено как безвредное)- Unknown (Неопределенное или неопределенное состояние) |
| AlertStatus | Необязательно | Enumerated | Указывает текущее состояние или ход выполнения оповещения. Поддерживаются значения: - Active- Closed |
| AlertOriginalStatus | Необязательно | строка | Состояние оповещения, как сообщает исходная система. |
| DetectionMethod | Необязательно | Enumerated | Предоставляет подробные сведения о конкретном методе обнаружения, технологии или источнике данных, которые способствовали создании оповещения. Это поле предоставляет более подробное представление о том, как было обнаружено или активировано оповещение, помогая в понимании контекста обнаружения и надежности. Допустимые значения: - EDR: системы обнаружения и реагирования конечных точек, отслеживающие и анализирующие действия конечных точек для выявления угроз.- Behavioral Analytics: методы, которые обнаруживают ненормальные шаблоны в пользовательском, устройстве или системном поведении.- Reputation: обнаружение угроз на основе репутации IP-адресов, доменов или файлов.- Threat Intelligence: каналы внешней или внутренней разведки, предоставляющие данные о известных угрозах или тактике злоумышленников.- Intrusion Detection: системы, которые отслеживают сетевой трафик или действия для признаков вторжений или атак.- Automated Investigation: автоматизированные системы, которые анализируют и изучают оповещения, уменьшая рабочую нагрузку вручную.- Antivirus: традиционные антивирусные подсистемы, которые обнаруживают вредоносные программы на основе подписей и эвристики.- Data Loss Prevention: решения, ориентированные на предотвращение несанкционированного передачи или утечки данных.- User Defined Blocked List: настраиваемые списки, определенные пользователями для блокировки определенных IP-адресов, доменов или файлов.- Cloud Security Posture Management: средства, которые оценивают риски безопасности и управляют ими в облачных средах.- Cloud Application Security: решения, которые защищают облачные приложения и данные.- Scheduled Alerts: оповещения, созданные на основе предопределенных расписаний или пороговых значений.- Other: любой другой метод обнаружения, не охватываемый указанными выше категориями. |
| Правило | Псевдоним | строка | Значение RuleName или значение RuleNumber. Если используется значение RuleNumber, тип следует преобразовать в строку. |
| RuleNumber | Необязательно | INT | Число правил, связанных с оповещением. Например, 123456 |
| RuleName | Необязательно | строка | Имя или идентификатор правила, связанного с оповещением. Например, Server PSEXEC Execution via Remote Access |
| RuleDescription | Необязательно | строка | Описание правила, связанного с оповещением. Например, This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Необязательно | строка | Идентификатор угрозы или вредоносных программ, определенных в оповещении. Например, 1234567891011121314 |
| ThreatName | Необязательно | строка | Имя угрозы или вредоносных программ, определенных в оповещении. Например, Init.exe |
| ThreatFirstReportedTime | Необязательно | datetime | Дата и время первого сообщения об угрозе. Например, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Необязательно | datetime | Дата и время последнего сообщения об угрозе. Например, 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Рекомендуемая конфигурация | Enumerated | Категория угроз или вредоносных программ, определенных в оповещении. Поддерживаемые значения: Malware, Ransomware, TrojanVirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatOriginalCategory | Необязательно | строка | Категория угрозы, как сообщает исходная система. |
| ThreatIsActive | Необязательно | bool | Указывает, активна ли угроза в настоящее время. Поддерживаемые значения: TrueFalse |
| ThreatRiskLevel | Необязательно | INT | Уровень риска, связанный с угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение следует хранить в поле ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Необязательно | строка | Уровень риска, как сообщается исходной системой. |
| ThreatConfidence | Необязательно | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatOriginalConfidence | Необязательно | строка | Уровень достоверности, как сообщается исходной системой. |
| IndicatorType | Рекомендуемая конфигурация | Enumerated | Тип или категория индикатора Поддерживаются значения: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Необязательно | Enumerated | Указывает, связан ли индикатор с угрозой или непосредственно влияет на нее. Поддерживаются значения: - Associated- Targeted |
| АтакиTactics | Рекомендуемая конфигурация | строка | Тактика атаки (имя, идентификатор или оба), связанная с оповещением. Предпочтительный формат: например: Persistence, Privilege Escalation |
| AttackTechniques | Рекомендуемая конфигурация | строка | Методы атаки (имя, идентификатор или оба), связанные с оповещением. Предпочтительный формат: например: Local Groups (T1069.001), Domain Groups (T1069.002) |
| АтакаRemediationSteps | Рекомендуемая конфигурация | строка | Рекомендуемые действия или действия по устранению или исправлению идентифицированной атаки или угрозы. Пример. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Пользовательские поля
В этом разделе определяются поля, связанные с идентификацией и классификацией пользователей, связанных с оповещением, обеспечивая ясность в отношении затронутого пользователя и формата их удостоверения. Если оповещение содержит дополнительные поля, связанные с пользователем, превышающие сопоставленные здесь поля, можно рассмотреть, может ли специализированная схема, например схема события проверки подлинности, более подходящим для полного представления данных.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| UserId | Необязательно | строка | Машинное чтение, буквенно-цифровое, уникальное представление пользователя, связанного с оповещением. Например, A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Условный | Enumerated | Тип идентификатора пользователя, например GUID, SIDили Email.Поддерживаются значения: - GUID- SID- Email- Username- Phone- Other |
| Username | Рекомендуемая конфигурация | строка | Имя пользователя, связанного с оповещением, включая сведения о домене при наличии. например, Contoso\JSmith или john.smith@contoso.com |
| Пользователь | Псевдоним | строка | Псевдоним или понятное имя поля Username . |
| UsernameType | Условный | UsernameType | Указывает тип имени пользователя, хранящегося в Username поле. Дополнительные сведения и список допустимых значений см. в разделе UsernameType в статье Общие сведения о схеме.Например, Windows |
| UserType | Необязательно | UserType | Тип Actor. Дополнительные сведения и список допустимых значений см. в разделе UserType в статье Общие сведения о схеме. Например, Guest |
| OriginalUserType | Необязательно | строка | Тип пользователя, сообщаемый устройством отчетов. |
| UserSessionId | Необязательно | строка | Уникальный идентификатор сеанса пользователя, связанного с оповещением. Например, a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Необязательно | строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены Идентификатор пользователя и имя пользователя. Например, a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Необязательно | строка | Область, например клиент Microsoft Entra, в которой определены Идентификатор пользователя и имя пользователя. или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". Например, Contoso Directory |
Поля обработки
Этот раздел позволяет записывать сведения, связанные с сущностью процесса, связанной с оповещением, с помощью указанных полей. Если оповещение содержит дополнительные подробные поля, связанные с процессом, превышающие сопоставленные здесь поля, можно рассмотреть, может ли специализированная схема, например схема события процесса, более подходящим для полного представления данных.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ProcessId | Необязательно | строка | Идентификатор процесса (PID), связанный с оповещением. Например, 12345678 |
| ProcessCommandLine | Необязательно | строка | Командная строка, используемая для запуска процесса. Например, "choco.exe" -v |
| ProcessName | Необязательно | строка | Имя процесса. Например, C:\Windows\explorer.exe |
| ProcessFileCompany | Необязательно | строка | Компания, создающая файл образа процесса. Например, Microsoft |
Поля файлов
Этот раздел позволяет записывать сведения, связанные с сущностью файла, связанной с оповещением. Если оповещение содержит дополнительные подробные поля, связанные с файлами, превышающие сопоставленные здесь поля, можно рассмотреть, может ли специализированная схема, например схема события файла, более подходящим для полного представления данных.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| FileName | Необязательно | строка | Имя файла, связанного с оповещением, без пути или расположения. Например, Notepad.exe |
| FilePath | Необязательно | строка | он полный, нормализованный путь к целевому файлу, включая папку или расположение, имя файла и расширение. Например, C:\Windows\System32\notepad.exe |
| FileSHA1 | Необязательно | строка | Хэш SHA1 файла. Например, j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Необязательно | строка | Хэш SHA256 файла. Например, a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Необязательно | строка | Хэш MD5 файла. Например, j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Необязательно | длинный | Размер файла в байтах. Например, 123456 |
Поле URL-адреса
Если оповещение содержит сведения об сущности URL-адреса, следующие поля могут записывать данные, связанные с URL-адресом.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| URL-адрес | Необязательно | строка | Строка URL-адреса, записанная в оповещении. Например, https://contoso.com/fo/?k=v&q=u#f |
Поля реестра
Если оповещение содержит сведения о сущности реестра, используйте следующие поля для записи определенных сведений, связанных с реестром.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RegistryKey | Необязательно | строка | Раздел реестра, связанный с оповещением, нормализован до стандартных соглашений об именовании корневых ключей. Например, HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Необязательно | строка | Значение реестра. Например, ImagePath |
| RegistryValueData | Необязательно | строка | Данные значения реестра. Например, C:\Windows\system32;C:\Windows; |
| RegistryValueType | Необязательно | Enumerated | Тип значения реестра. Например, Reg_Expand_Sz |
Поля электронной почты
Если оповещение содержит сведения об сущности электронной почты, используйте следующие поля для записи определенных сведений, связанных с электронной почтой.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EmailMessageId | Необязательно | строка | Уникальный идентификатор сообщения электронной почты, связанного с оповещением. Например, Request for Invoice Access |
| EmailSubject | Необязательно | строка | Тема сообщения электронной почты. Например, j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Обновления схемы
Ниже приведены изменения в различных версиях схемы:
- Версия 0.1. Начальный выпуск.