Asim-aviseringsschemareferensen (Advanced Security Information Model)
Microsoft Sentinel-aviseringsschemat är utformat för att normalisera säkerhetsrelaterade aviseringar från olika produkter till ett standardiserat format i Microsoft Advanced Security Information Model (ASIM). Det här schemat fokuserar enbart på säkerhetshändelser, vilket säkerställer konsekvent och effektiv analys mellan olika datakällor.
Aviseringsschemat representerar olika typer av säkerhetsaviseringar, till exempel hot, misstänkta aktiviteter, avvikelser i användarbeteende och efterlevnadsöverträdelser. Dessa aviseringar rapporteras av olika säkerhetsprodukter och system, inklusive men inte begränsat till EDR, antivirusprogram, system för intrångsidentifiering, verktyg för dataförlustskydd osv.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
Schemat för aviseringsnormalisering är för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal. Vi rekommenderar det inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tolkar
Mer information om ASIM-parsare finns i översikten över ASIM-parsare.
Ena parsrar
Om du vill använda parsers som förenar alla ASIM-parsare och ser till att analysen körs över alla konfigurerade källor använder du _Im_AlertEvent filtreringsparsern eller parsern _ASim_AlertEvent utan parameter. Du kan också använda arbetsytedistribuerade imAlertEvent och ASimAlertEvent parsare genom att distribuera dem från Microsoft Sentinel GitHub-lagringsplatsen.
Mer information finns i inbyggda ASIM-parsare och arbetsytedistribuerade parsers.
Färdiga, källspecifika parsare
I listan över aviseringsparsers tillhandahåller Microsoft Sentinel en out-of-the-box-lista med ASIM-parsare.
Lägg till egna normaliserade parsers
När du utvecklar anpassade parsers för aviseringsinformationsmodellen namnger du dina KQL-funktioner med hjälp av följande syntax:
-
vimAlertEvent<vendor><Product>för parametriserade parsers -
ASimAlertEvent<vendor><Product>för vanliga parsare
Se artikeln Hantera ASIM-parsare för att lära dig hur du lägger till dina anpassade parsers i aviseringsens enande parsers.
Filtrera parserparametrar
Aviseringsparsers stöder olika filtreringsparametrar för att förbättra frågeprestanda. De här parametrarna är valfria men kan förbättra frågeprestandan. Följande filtreringsparametrar är tillgängliga:
| Namn | Type | Beskrivning |
|---|---|---|
| starttime | datetime | Filtrera endast aviseringar som startades vid eller efter den här tiden. |
| sluttid | datetime | Filtrera endast aviseringar som startades vid eller före den här tiden. |
| ipaddr_has_any_prefix | dynamisk | Filtrera endast aviseringar för vilka fältet DvcIpAddr finns i ett av de angivna värdena. |
| hostname_has_any | dynamisk | Filtrera endast aviseringar för vilka fältet DvcHostname finns i något av de angivna värdena. |
| username_has_any | dynamisk | Filtrera endast aviseringar för vilka fältet Användarnamn finns i något av de angivna värdena. |
| attacktactics_has_any | dynamisk | Filtrera endast aviseringar för vilka fältet AttackTactics finns i något av de angivna värdena. |
| attacktechniques_has_any | dynamisk | Filtrera endast aviseringar för vilka fältet "AttackTechniques" finns i ett av de angivna värdena. |
| threatcategory_has_any | dynamisk | Filtrera endast aviseringar för vilka fältet "ThreatCategory" finns i något av de angivna värdena. |
| alertverdict_has_any | dynamisk | Filtrera endast aviseringar för vilka fältet "AlertVerdict" finns i något av de angivna värdena. |
| eventseverity_has_any | dynamisk | Filtrera endast aviseringar för vilka fältet EventSeverity finns i något av de angivna värdena. |
Schemaöversikt
Aviseringsschemat hanterar flera typer av säkerhetshändelser som delar samma fält. Dessa händelser identifieras av fältet EventType:
- Hotinformation: Aviseringar som rör olika typer av skadliga aktiviteter, till exempel skadlig kod, nätfiske, utpressningstrojaner och andra cyberhot.
- Misstänkta aktiviteter: Aviseringar för aktiviteter som inte nödvändigtvis är bekräftade hot men som är misstänkta och kräver ytterligare undersökning, till exempel flera misslyckade inloggningsförsök eller åtkomst till begränsade filer.
- Avvikelser i användarbeteende: Aviseringar som anger ovanligt eller oväntat användarbeteende som kan tyda på ett säkerhetsproblem, till exempel onormala inloggningstider eller ovanliga dataåtkomstmönster.
- Efterlevnadsöverträdelser: Aviseringar som rör bristande efterlevnad av regler eller interna principer. Till exempel en virtuell dator som exponeras med öppna offentliga portar som är sårbara för attacker (Cloud Security Alert).
Viktigt!
För att bevara relevansen och effektiviteten i aviseringsschemat ska endast säkerhetsrelaterade aviseringar mappas.
Aviseringsschema refererar till följande entiteter för att samla in information om aviseringen:
-
Dvc-fält används för att samla in information om värden eller IP-adressen som är associerad med aviseringen
-
Användarfält används för att samla in information om användaren som är associerad med aviseringen.
- På samma sätt används fälten Process, File, Url, Registry och Email för att endast samla in viktig information om processen, filen, URL:en, registret och e-postmeddelandet som är associerade med aviseringen.
Viktigt!
- När du skapar en produktspecifik parser använder du ASIM-aviseringsschemat när aviseringen innehåller information om en säkerhetsincident eller ett potentiellt hot, och den primära informationen kan mappas direkt till tillgängliga aviseringsschemafält. Aviseringsschemat är perfekt för att samla in sammanfattningsinformation utan omfattande entitetsspecifika fält.
- Men om du placerar viktiga fält i "AdditionalFields" på grund av brist på direktfältmatchningar bör du överväga ett mer specialiserat schema. Om en avisering till exempel innehåller nätverksrelaterad information, till exempel flera IP-adresser, t.ex. SrcIpAdr, DstIpAddr, PortNumber osv. kan du välja NetworkSession-schemat framför aviseringsschemat. Specialiserade scheman tillhandahåller också dedikerade fält för att samla in hotrelaterad information, förbättra datakvaliteten och underlätta effektiv analys.
Schemainformation
Vanliga ASIM-fält
I följande lista nämns fält som har specifika riktlinjer för aviseringshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Enumerated | Händelsens typ. Värden som stöds är: - Alert |
| EventSubType | Rekommenderat | Enumerated | Anger undertypen eller kategorin för aviseringshändelsen, vilket ger mer detaljerad information inom den bredare händelseklassificeringen. Det här fältet hjälper till att särskilja arten av det identifierade problemet, förbättra incidentprioriteringen och svarsstrategierna. Värden som stöds är: - Threat (Representerar en bekräftad eller mycket sannolik skadlig aktivitet som kan äventyra systemet eller nätverket)- Suspicious Activity (Flaggor beteende eller händelser som verkar ovanliga eller misstänkta, men ännu inte bekräftats som skadliga)- Anomaly (Identifierar avvikelser från normala mönster som kan tyda på en potentiell säkerhetsrisk eller driftsproblem)- Compliance Violation (Visar aktiviteter som bryter mot regler, principer eller efterlevnadsstandarder) |
| EventUid | Obligatorisk | sträng | En maskinläsbar, alfanumerisk sträng som unikt identifierar en avisering i ett system. t.ex. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Valfritt | sträng | Detaljerad information om aviseringen, inklusive dess kontext, orsak och potentiella påverkan. t.ex. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias eller eget namn för DvcIpAddr fältet. |
|
| Värdnamn | Alias | Alias eller eget namn för DvcHostname fältet. |
|
| EventSchema | Obligatorisk | sträng | Schemat som används för händelsen. Schemat som dokumenteras här är AlertEvent. |
| EventSchemaVersion | Obligatorisk | sträng | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Rekommenderat |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Valfritt |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Kontrollfält
I följande tabell beskrivs fält som ger viktiga insikter om de regler och hot som är associerade med aviseringar. Tillsammans bidrar de till att utöka kontexten för aviseringen, vilket gör det lättare för säkerhetsanalytiker att förstå dess ursprung och betydelse.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AlertId | Alias | sträng | Alias eller eget namn för EventUid fältet. |
| AlertName | Rekommenderat | sträng | Rubrik eller namn på aviseringen. t.ex. Possible use of the Rubeus kerberoasting tool |
| Aviseringsbeskrivning | Alias | sträng | Alias eller eget namn för EventMessage fältet. |
| AlertVerdict | Valfritt | Enumerated | Det slutliga avgörandet eller resultatet av aviseringen, som anger om aviseringen har bekräftats som ett hot, bedömts som misstänkt eller löst som en falsk positiv identifiering. Värden som stöds är: - True Positive (Bekräftat som ett legitimt hot)- False Positive (Felaktigt identifierat som ett hot)- Benign Positive (när händelsen bedöms vara ofarlig)- Unknown (Osäker eller obestämd status) |
| AlertStatus | Valfritt | Enumerated | Anger det aktuella tillståndet eller förloppet för aviseringen. Värden som stöds är: - Active- Closed |
| AlertOriginalStatus | Valfritt | sträng | Status för aviseringen som rapporterats av det ursprungliga systemet. |
| DetectionMethod | Valfritt | Enumerated | Innehåller detaljerad information om den specifika identifieringsmetod, teknik eller datakälla som bidrog till genereringen av aviseringen. Det här fältet ger större insikt i hur aviseringen identifierades eller utlöstes, vilket underlättar förståelsen av identifieringskontexten och tillförlitligheten. Värden som stöds är: - EDR: Slutpunktsidentifierings- och svarssystem som övervakar och analyserar slutpunktsaktiviteter för att identifiera hot.- Behavioral Analytics: Tekniker som identifierar onormala mönster i användar-, enhets- eller systembeteende.- Reputation: Hotidentifiering baserat på ryktet för IP-adresser, domäner eller filer.- Threat Intelligence: Externa eller interna underrättelseflöden som tillhandahåller data om kända hot eller angreppstaktik.- Intrusion Detection: System som övervakar nätverkstrafik eller aktiviteter för tecken på intrång eller attacker.- Automated Investigation: Automatiserade system som analyserar och undersöker aviseringar, vilket minskar den manuella arbetsbelastningen.- Antivirus: Traditionella antivirusmotorer som identifierar skadlig kod baserat på signaturer och heuristik.- Data Loss Prevention: Lösningar som fokuserar på att förhindra obehöriga dataöverföringar eller läckor.- User Defined Blocked List: Anpassade listor som definierats av användare för att blockera specifika IP-adresser, domäner eller filer.- Cloud Security Posture Management: Verktyg som utvärderar och hanterar säkerhetsrisker i molnmiljöer.- Cloud Application Security: Lösningar som skyddar molnprogram och data.- Scheduled Alerts: Aviseringar som genereras baserat på fördefinierade scheman eller tröskelvärden.- Other: Alla andra identifieringsmetoder som inte omfattas av kategorierna ovan. |
| Regel | Alias | sträng | Antingen värdet för RuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| RuleNumber | Valfritt | heltal | Numret på regeln som är associerad med aviseringen. t.ex. 123456 |
| RuleName | Valfritt | sträng | Namnet eller ID:t för regeln som är associerad med aviseringen. t.ex. Server PSEXEC Execution via Remote Access |
| RuleDescription | Valfritt | sträng | Beskrivning av regeln som är associerad med aviseringen. t.ex. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Valfritt | sträng | ID:t för det hot eller den skadliga kod som identifieras i aviseringen. t.ex. 1234567891011121314 |
| ThreatName | Valfritt | sträng | Namnet på det hot eller den skadliga kod som identifieras i aviseringen. t.ex. Init.exe |
| ThreatFirstReportedTime | Valfritt | datetime | Datum och tid då hotet först rapporterades. t.ex. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Valfritt | datetime | Datum och tid då hotet senast rapporterades. t.ex. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Rekommenderat | Enumerated | Kategorin för det hot eller den skadliga kod som identifieras i aviseringen. Värden som stöds är: Malware, Ransomware, Trojan, Virus, Worm, Adware, Spyware, Rootkit, Cryptominor, Phishing, Spam, MaliciousUrl, Spoofing, , , Security Policy ViolationUnknown |
| ThreatOriginalCategory | Valfritt | sträng | Hotkategorin som rapporteras av det ursprungliga systemet. |
| ThreatIsActive | Valfritt | bool | Anger om hotet för närvarande är aktivt. Värden som stöds är: True, False |
| ThreatRiskLevel | Valfritt | heltal | Den risknivå som är associerad med hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som bör normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfritt | sträng | Risknivån som rapporteras av det ursprungliga systemet. |
| ThreatConfidence | Valfritt | heltal | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | sträng | Konfidensnivån enligt det ursprungliga systemets rapportering. |
| IndicatorType | Rekommenderat | Enumerated | Indikatorns typ eller kategori Värden som stöds är: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Valfritt | Enumerated | Anger om indikatorn är länkad till eller direkt påverkas av hotet. Värden som stöds är: - Associated- Targeted |
| AttackTactics | Rekommenderat | sträng | Attacktaktiken (namn, ID eller båda) som är associerade med aviseringen. Önskat format: t.ex. Persistence, Privilege Escalation |
| AttackTechniques | Rekommenderat | sträng | De attacktekniker (namn, ID eller båda) som är associerade med aviseringen. Önskat format: t.ex. Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Rekommenderat | sträng | Rekommenderade åtgärder eller steg för att minimera eller åtgärda den identifierade attacken eller hotet. t.ex. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Användarfält
Det här avsnittet definierar fält som rör identifiering och klassificering av användare som är associerade med en avisering, vilket ger klarhet om den berörda användaren och formatet på deras identitet. Om aviseringen innehåller ytterligare, flera användarrelaterade fält som överskrider vad som mappas här, kan du överväga om ett specialiserat schema, till exempel autentiseringshändelseschemat, kan vara lämpligare för att helt representera data.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AnvändarID | Valfritt | sträng | En maskinläsbar, alfanumerisk, unik representation av användaren som är associerad med aviseringen. t.ex. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Villkorsstyrd | Enumerated | Typ av användar-ID, till exempel GUID, SIDeller Email.Värden som stöds är: - GUID- SID- Email- Username- Phone- Other |
| Användarnamn | Rekommenderat | sträng | Namnet på den användare som är associerad med aviseringen, inklusive domäninformation när den är tillgänglig. t.ex. Contoso\JSmith eller john.smith@contoso.com |
| Användare | Alias | sträng | Alias eller eget namn för Username fältet. |
| UsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet Username . Mer information och en lista över tillåtna värden finns i UsernameType i artikeln Schemaöversikt.t.ex. Windows |
| UserType | Valfritt | UserType | Typen av aktör. Mer information och en lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. t.ex. Guest |
| OriginalUserType | Valfritt | sträng | Användartypen som rapporteras av rapporteringsenheten. |
| UserSessionId | Valfritt | sträng | Det unika ID:t för användarens session som är associerad med aviseringen. t.ex. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Valfritt | sträng | Omfångs-ID:t, till exempel Microsoft Entra-katalog-ID, där UserId och Username definieras. t.ex. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Valfritt | sträng | Omfånget, till exempel Microsoft Entra-klientorganisationen, där UserId och Username definieras. eller mer information och lista över tillåtna värden, se UserScope i artikeln Schemaöversikt. t.ex. Contoso Directory |
Processfält
I det här avsnittet kan du samla in information om en processentitet som ingår i en avisering med hjälp av de angivna fälten. Om aviseringen innehåller ytterligare, detaljerade processrelaterade fält som överskrider vad som mappas här kan du överväga om ett specialiserat schema, till exempel processhändelseschemat, kan vara lämpligare för att fullständigt representera data.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ProcessId | Valfritt | sträng | Det process-ID (PID) som är associerat med aviseringen. t.ex. 12345678 |
| ProcessCommandLine | Valfritt | sträng | Kommandorad som används för att starta processen. t.ex. "choco.exe" -v |
| ProcessName | Valfritt | sträng | Namnet på processen. t.ex. C:\Windows\explorer.exe |
| ProcessFileCompany | Valfritt | sträng | Företag som skapade processbildfilen. t.ex. Microsoft |
Filfält
I det här avsnittet kan du samla in information om en filentitet som ingår i en avisering. Om aviseringen innehåller ytterligare, detaljerade filrelaterade fält som överskrider det som mappas här kan du överväga om ett specialiserat schema, till exempel filhändelseschemat, kan vara lämpligare för att helt representera data.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Filnamn | Valfritt | sträng | Namnet på filen som är associerad med aviseringen, utan sökväg eller plats. t.ex. Notepad.exe |
| FilePath | Valfritt | sträng | han fullständig, normaliserad sökväg för målfilen, inklusive mappen eller platsen, filnamnet och tillägget. t.ex. C:\Windows\System32\notepad.exe |
| FileSHA1 | Valfritt | sträng | SHA1-hash för filen. t.ex. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Valfritt | sträng | SHA256-hash för filen. t.ex. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Valfritt | sträng | MD5-hash för filen. t.ex. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Valfritt | lång | Filens storlek i byte. t.ex. 123456 |
Url-fält
Om din avisering innehåller information om url-entitet kan följande fält samla in URL-relaterade data.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Url | Valfritt | sträng | URL-strängen som fångas i aviseringen. t.ex. https://contoso.com/fo/?k=v&q=u#f |
Registerfält
Om din avisering innehåller information om registerentiteten använder du följande fält för att samla in specifik registerrelaterad information.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RegistryKey | Valfritt | sträng | Registernyckeln som är associerad med aviseringen, normaliserad till namngivningskonventioner för standardrotnycklar. t.ex. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Valfritt | sträng | Registervärde. t.ex. ImagePath |
| RegistryValueData | Valfritt | sträng | Data för registervärdet. t.ex. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Valfritt | Enumerated | Typ av registervärde. t.ex. Reg_Expand_Sz |
E-postfält
Om din avisering innehåller information om e-postentitet använder du följande fält för att samla in specifik e-postrelaterad information.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EmailMessageId | Valfritt | sträng | Unik identifierare för e-postmeddelandet som är associerat med aviseringen. t.ex. Request for Invoice Access |
| EmailSubject | Valfritt | sträng | Ämne för e-postmeddelandet. t.ex. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Schemauppdateringar
Följande är ändringarna i olika versioner av schemat:
- Version 0.1: Första versionen.