Справочник по схеме нормализации событий расширенной информационной безопасности (ASIM) (общедоступная предварительная версия)
Схема нормализации событий аудита Microsoft Sentinel представляет события, связанные с следом аудита информационных систем. Аудит регистрирует действия конфигурации системы и изменения политики. Такие изменения часто выполняются системными администраторами, но также могут выполняться пользователями при настройке параметров собственных приложений.
Все системные журналы проверяют события аудита вместе с основными журналами действий. Например, брандмауэр регистрирует события о сетевых сеансах— это процессы, а события аудита о изменениях конфигурации, примененных к самому брандмауэру.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Внимание
Схема нормализации событий аудита в настоящее время находится в предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания. Мы не рекомендуем использовать ее при нагрузках, обычных для рабочих средах.
Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Общее представление схемы
Основными полями события аудита являются:
- Объект, который может быть, например, управляемым ресурсом или правилом политики, на котором основное внимание уделяется событие, представленному объектом поля. Поле ObjectType указывает тип объекта.
- Контекст приложения объекта, представленный полем TargetAppName, которое является псевдонимом Application.
- Операция, выполняемая для объекта, представленная полями EventType и Operation. Хотя операция — это значение, указанное источником, EventType — это нормализованная версия, которая является более согласованной в разных источниках.
- Старые и новые значения для объекта, если это применимо, представленные OldValue и NewValue соответственно.
События аудита также ссылаются на следующие сущности, участвующие в операции конфигурации:
- Субъект — пользователь, выполняющий операцию конфигурации.
- TargetApp — приложение или система, для которой применяется операция конфигурации.
- Target — система, в которой работает TaregtApp*.
- ActingApp — приложение, используемое субъектом для выполнения операции конфигурации.
- Src — система, используемая субъектом для запуска операции конфигурации, если отличается от целевой.
Дескриптор Dvc используется для устройства отчетов, который является локальной системой для сеансов, сообщаемых конечной точкой, и промежуточным или устройством безопасности в других случаях.
Средства синтаксического анализа
Развертывание и использование средств синтаксического анализа событий аудита
Разверните средства синтаксического анализа событий аудита ASIM из репозитория Microsoft Sentinel GitHub. Чтобы выполнить запрос ко всем источникам событий аудита, используйте средство синтаксического анализа imAuditEvent в качестве имени таблицы в запросе.
Дополнительные сведения об использовании средств синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM. Список синтаксического анализа событий аудита Microsoft Sentinel содержит список средств синтаксического анализа ASIM
Добавление собственных нормализованных средств синтаксического анализа
При реализации пользовательских средств синтаксического анализа для информационной модели событий файлов называйте свои функции KQL согласно следующему синтаксису: imAuditEvent<vendor><Product>. Ознакомьтесь со статьей "Управление средствами синтаксического анализа ASIM", чтобы узнать, как добавить пользовательские средства синтаксического анализа в событие аудита, объединяющее средство синтаксического анализа.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа событий аудита поддерживают фильтрацию параметров. Хотя эти параметры являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя. | Тип | Описание |
|---|---|---|
| starttime | datetime | Фильтруйте только события, которые выполнялись в это время или после этого. Этот параметр использует TimeGenerated поле в качестве конструктора времени события. |
| endtime | datetime | Фильтруйте только запросы событий, завершив выполнение до этого времени. Этот параметр использует TimeGenerated поле в качестве конструктора времени события. |
| srcipaddr_has_any_prefix | по строкам | Фильтруйте только события из этого исходного IP-адреса, как представлено в поле SrcIpAddr . |
| eventtype_in | строка | Фильтруйте только события, в которых тип события, как представлено в поле EventType , является любым из указанных терминов. |
| eventresult | строка | Фильтрация только событий, в которых результат события, представленный в поле EventResult , равен значению параметра. |
| actorusername_has_any | dynamic/string | Фильтруются только события, в которых имя субъектаUser включает любое из указанных условий. |
| operation_has_any | dynamic/string | Фильтруйте только события, в которых поле операции включает любое из указанных условий. |
| object_has_any | dynamic/string | Фильтруйте только события, в которых поле объекта содержит любое из указанных условий. |
| newvalue_has_any | dynamic/string | Фильтруются только события, в которых поле NewValue содержит любое из указанных условий. |
Некоторые параметры могут принимать оба списка значений типа dynamic или одно строковое значение. Чтобы передать список литералов в параметры, которые предполагают динамическое значение, явно используйте динамический литерал. Например: dynamic(['192.168.','10.'])
Например, чтобы отфильтровать только события аудита с условиями install или update в поле "Операция ", начиная с последнего дня, используйте:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Сведения о схеме
Общие поля ASIM
Внимание
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке перечислены поля с определенными рекомендациями по событиям аудита:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательно | Enumerated | Описывает операцию, проверенную событием с помощью нормализованного значения. Используйте EventSubType для предоставления дополнительных сведений, которые нормализованное значение не передает и операции. для хранения операции, как сообщается устройством отчетов. Для записей событий аудита допустимые значения: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other События аудита представляют собой большое количество операций, а Other значение позволяет выполнять сопоставления, у которых нет соответствующих EventTypeопераций. Однако использование ограничений Other удобства использования события следует избежать, если это возможно. |
| EventSubType | Необязательно | Строка | Дополнительные сведения, которые нормализованное значение в EventType не передает. |
| EventSchema | Обязательно | Строка | Имя описанной здесь схемы — AuditEvent. |
| EventSchemaVersion | Обязательно | Строка | Номер версии схемы. Версия описанной здесь схемы — 0.1. |
Все общие поля
Поля, отображаемые в таблице, являются общими для всех схем ASIM. Все рекомендации, указанные в этом документе, переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье "Общие поля ASIM".
| Class | Поля |
|---|---|
| Обязательно | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Рекомендуемая конфигурация | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Необязательно | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Поля аудита
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Операция | Обязательно | Строка | Операция, проверенная устройством отчетов. |
| Объект | Обязательно | Строка | Имя объекта, на котором выполняется операция, определяемая eventType . |
| ObjectType | Обязательно | Enumerated | Тип объекта. Допустимые значения: - Cloud Resource- Configuration Atom- Policy Rule-Другой |
| OldValue | Необязательно | Строка | Старое значение Объекта до операции, если применимо. |
| NewValue | Необязательно | Строка | Новое значение Object после выполнения операции, если применимо. |
| Value | Псевдоним | Псевдоним в NewValue | |
| ValueType | Условный | Enumerated | Тип старых и новых значений. Допустимые значения: -Другой |
Поля Actor
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActorUserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее Actor. Дополнительные сведения и дополнительные сведения о альтернативных полях для других идентификаторов см. в разделе "Сущность пользователя". Пример: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Необязательно | Строка | Область, например имя домена Microsoft Entra, в которой определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| ActorScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены ActorUserId и ActorUsername . Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| ActorUserIdType | Условный | UserIdType | Тип идентификатора, который хранится в поле ActorUserId. Дополнительные сведения и список допустимых значений см. в разделе UserIdType в статье Общие сведения о схеме. |
| ActorUsername | Рекомендуемая конфигурация | Username | Имя пользователя Actor, включая сведения о домене, если они доступны. Подробнее см. в статье Сущность пользователя. Пример: AlbertE |
| Пользователь | Псевдоним | Псевдоним для actorUsername | |
| ActorUsernameType | Условный | UsernameType | Определяет тип имени пользователя, которое хранится в поле ActorUsername. Дополнительные сведения и список допустимых значений см. в разделе UsernameType в статье Общие сведения о схеме. Пример: Windows |
| ActorUserType | Необязательно | UserType | Тип Actor. Дополнительные сведения и список допустимых значений см. в разделе UserType в статье Общие сведения о схеме. Например: Guest |
| ActorOriginalUserType | Необязательно | UserType | Тип пользователя, сообщаемый устройством отчетов. |
| ActorSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа Actor. Пример: 102pTUgC3p8RIqHvzxLCHnFlg |
Поля целевого приложения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetAppId | Необязательно | Строка | Идентификатор приложения, к которому применяется событие, включая процесс, браузер или службу. Пример: 89162 |
| TargetAppName | Необязательно | Строка | Имя приложения, к которому применяется событие, включая службу, URL-адрес или приложение SaaS. Пример: Exchange 365 |
| Приложение | Псевдоним | Псевдоним targetAppName | |
| TargetAppType | Необязательно | AppType | Тип приложения, которое выполняет проверку подлинности от имени Actor. Дополнительные сведения и список допустимых значений см. в разделе AppType в статье Общие сведения о схеме. |
| TargetUrl | Необязательно | URL | URL-адрес, связанный с целевым приложением. Пример: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Поля целевой системы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Dst | Псевдоним | Строка | Уникальный идентификатор целевого объекта проверки подлинности. Это поле может быть псевдонимом полей TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId или TargetAppName. Пример: 192.168.12.1 |
| TargetHostname | Рекомендуемая конфигурация | Hostname (Имя узла) | Имя узла исходного устройства, за исключением сведений о домене. Пример: DESKTOP-1282V4D |
| TargetDomain | Рекомендуемая конфигурация | Строка | Домен целевого устройства. Пример: Contoso |
| TargetDomainType | Условный | Enumerated | Тип TargetDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании TargetDomain. |
| TargetFQDN | Необязательно | Строка | Имя узла целевого устройства, включая сведения о домене, если они доступны. Пример: Contoso\DESKTOP-1282V4D Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. TargetDomainType отражает используемый формат. |
| TargetDescription | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| TargetDvcId | Необязательно | Строка | Идентификатор целевого устройства. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях TargetDvc<DvcIdType>. Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. TargetDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| TargetDvcScope | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. TargetDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| TargetDvcIdType | Условный | Enumerated | Тип TargetDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании TargetDeviceId. |
| TargetDeviceType | Необязательно | Enumerated | Тип целевого устройства. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| TargetIpAddr | Необязательно | IP-адрес | IP-адрес целевого устройства. Пример: 2.2.2.2 |
| TargetDvcOs | Необязательно | Строка | ОС целевого устройства. Пример: Windows 10 |
| TargetPortNumber | Необязательно | Целое | Порт на целевом устройстве. |
Поля действующего приложения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActingAppId | Необязательно | Строка | Идентификатор приложения, инициирующего действие, включая процесс, браузер или службу. Например: 0x12ae8 |
| ActiveAppName | Необязательно | Строка | Имя приложения, которое инициировало действие, включая службу, URL-адрес или приложение SaaS. Например: C:\Windows\System32\svchost.exe |
| ActingAppType | Необязательно | AppType | Тип действующего приложения. Дополнительные сведения и список допустимых значений см. в разделе AppType в статье Общие сведения о схеме. |
| HttpUserAgent | Необязательно | Строка | Если проверка подлинности выполняется по протоколу HTTP или HTTPS, значение этого поля содержит заголовок HTTP user_agent, предоставленный действующим приложением при выполнении проверки подлинности. Например: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Поля исходной системы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Src | Псевдоним | Строка | Уникальный идентификатор исходного устройства. Это поле может быть псевдонимом для полей SrcDvcId, SrcHostname или SrcIpAddr. Пример: 192.168.12.1 |
| SrcIpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес, с которого поступило соединение или сеанс. Пример: 77.138.103.108 |
| IpAddr | Псевдоним | Псевдоним srcIpAddr или targetIpAddr, если SrcIpAddr не указан. | |
| SrcPortNumber | Необязательно | Целое | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. Пример: 2335 |
| SrcHostname | Рекомендуемая конфигурация | Hostname (Имя узла) | Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. Пример: DESKTOP-1282V4D |
| SrcDomain | Рекомендуемая конфигурация | Строка | Домен исходного устройства. Пример: Contoso |
| SrcDomainType | Условный | DomainType | Тип SrcDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании SrcDomain. |
| SrcFQDN | Необязательно | Строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcDescription | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| SrcDvcId | Необязательно | Строка | Идентификатор исходного устройства. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях SrcDvc<DvcIdType>.Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType | Условный | DvcIdType | Тип SrcDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Это поле является обязательным, если используется SrcDvcId. |
| SrcDeviceType | Необязательно | DeviceType | Тип исходного устройства. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| SrcSubscriptionId | Необязательно | Строка | Идентификатор подписки на облачную платформу, к которой принадлежит исходное устройство. SrcSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcGeoCountry | Необязательно | Страна/регион | Страна или регион, связанный с исходным IP-адресом. Пример: USA |
| SrcGeoRegion | Необязательно | Область/регион | Регион в стране или регионе, связанном с исходным IP-адресом. Пример: Vermont |
| SrcGeoCity | Необязательно | Город | Город, связанный с исходным IP-адресом. Пример: Burlington |
| SrcGeoLatitude | Необязательно | Широта | Географическая широта, связанная с исходным IP-адресом. Пример: 44.475833 |
| SrcGeoLongitude | Необязательно | Долгота | Географическая долгота, связанная с исходным IP-адресом. Пример: 73.211944 |
Поля проверки
Следующие поля используются для представления проверки, выполняемой системой безопасности.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RuleName | Необязательно | Строка | Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber | Необязательно | Целое | Число правил, связанных с результатами проверки. |
| Правило | Псевдоним | Строка | Значение RuleName или значение RuleNumber. Если используется значение RuleNumber , тип следует преобразовать в строку. |
| ThreatId | Необязательно | Строка | Идентификатор угрозы или вредоносных программ, определенных в действии аудита. |
| ThreatName | Необязательно | Строка | Имя угрозы или вредоносных программ, определенных в действии аудита. |
| ThreatCategory | Необязательно | Строка | Категория угроз или вредоносных программ, определенных в действии файла аудита. |
| ThreatRiskLevel | Необязательно | Целое | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение следует хранить в поле ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Необязательно | Строка | Уровень риска, сообщаемый устройством отчетов. |
| ThreatConfidence | Необязательно | Целое | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatOriginalConfidence | Необязательно | Строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatIsActive | Необязательно | Логический | Значение true, если обнаруженная угроза считается активной. |
| ThreatFirstReportedTime | Необязательно | datetime | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime | Необязательно | datetime | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatIpAddr | Необязательно | IP-адрес | IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. |
| ThreatField | Необязательно | Enumerated | Поле, для которого была обнаружена угроза. Имеет значение SrcIpAddr или TargetIpAddr. |
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)