Dela via


ASIM-scheman (Advanced Security Information Model)

Ett ASIM-schema (Advanced Security Information Model) är en uppsättning fält som representerar en aktivitet. Om du använder fälten från ett normaliserat schema i en fråga, måste frågan fungera med varje normaliserad källa.

Information om hur scheman passar i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.

Schemareferenser beskriver de fält som utgör varje schema. ASIM definierar för närvarande följande scheman:

Schema Version Status
Granska händelse 0,1 Förhandsversion
Autentiseringshändelse 0.1.3 Förhandsversion
DNS-aktivitet 0.1.7 Förhandsversion
DHCP-aktivitet 0,1 Förhandsversion
Filaktivitet 0.2.1 Förhandsversion
Nätverkssession 0.2.6 Förhandsversion
Processhändelse 0.1.4 Förhandsversion
Registerhändelse 0.1.2 Förhandsversion
Användarhantering 0,1 Förhandsversion
Webbsession 0.2.6 Förhandsversion

Viktigt!

ASIM-scheman och parsare är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Schemabegrepp

Följande begrepp hjälper dig att förstå schemareferensdokumenten och utöka schemat på ett normaliserat sätt om dina data innehåller information som schemat inte omfattar.

Begrepp beskrivning
Fältnamn Kärnan i varje schema är dess fältnamn. Fältnamn tillhör följande grupper:

– Fält som är gemensamma för alla scheman.
– Fält som är specifika för ett schema.
– Fält som representerar entiteter, till exempel användare, som deltar i schemat. Fält som representerar entiteter liknar olika scheman.

När källor har fält som inte visas i det dokumenterade schemat normaliseras de för att upprätthålla konsekvens. Om de extra fälten representerar en entitet normaliseras de baserat på riktlinjerna för entitetsfält. Annars strävar schemana efter att hålla konsekvensen i alla scheman.

Även om DNS-serveraktivitetsloggar till exempel inte ger användarinformation, kan DNS-aktivitetsloggar från en slutpunkt innehålla användarinformation som kan normaliseras enligt riktlinjerna för användarentitet.
Fälttyper Varje schemafält har en typ. Log Analytics-arbetsytan har en begränsad uppsättning datatyper. Därför använder Microsoft Sentinel en logisk typ för många schemafält, som Log Analytics inte tillämpar men som krävs för schemakompatibilitet. Logiska fälttyper ser till att både värden och fältnamn är konsekventa mellan källor.

Mer information finns i Logiska typer.
Fältklass Fält kan ha flera klasser som definierar när fälten ska implementeras av en parser:

- Obligatoriska fält måste visas i varje parser. Om källan inte anger information för det här värdet, eller om data inte kan läggas till på annat sätt, har den inte stöd för de flesta innehållsobjekt som refererar till det normaliserade schemat.
- Rekommenderade fält bör normaliseras om de är tillgängliga. De kanske dock inte är tillgängliga i alla källor. Alla innehållsobjekt som refererar till det normaliserade schemat bör ta hänsyn till tillgängligheten.
- Valfria fält, om de är tillgängliga, kan normaliseras eller lämnas i sitt ursprungliga formulär. Normalt skulle en minimal parser inte normalisera dem av prestandaskäl.
- Villkorsfält är obligatoriska om det fält som de följer fylls i. Villkorsfält används vanligtvis för att beskriva värdet i ett annat fält. Det gemensamma fältet DvcIdType beskriver till exempel värdet i det gemensamma fältet DvcId och är därför obligatoriskt om det senare fylls i.
- Alias är en särskild typ av villkorsfält och är obligatoriskt om det aliaserade fältet fylls i.
Vanliga fält Vissa fält är gemensamma för alla ASIM-scheman. Varje schema kan lägga till riktlinjer för att använda några av de vanliga fälten i kontexten för det specifika schemat. Till exempel kan tillåtna värden för fältet EventType variera per schema, liksom värdet för fältet EventSchemaVersion .
Entiteter Händelser utvecklas kring entiteter, till exempel användare, värdar, processer eller filer. Varje entitet kan kräva flera fält för att beskriva den. En värd kan till exempel ha ett namn och en IP-adress.

En enskild post kan innehålla flera entiteter av samma typ, till exempel både en käll- och målvärd.

ASIM definierar hur entiteter ska beskrivas konsekvent och entiteter tillåter att scheman utökas.

Även om nätverkssessionsschemat till exempel inte innehåller processinformation, tillhandahåller vissa händelsekällor processinformation som kan läggas till. Mer information finns i Entiteter.
Alias Alias tillåter flera namn för ett angivet värde. I vissa fall förväntar sig olika användare att ett fält har olika namn. I DNS-terminologi kan du till exempel förvänta dig ett fält med namnet DnsQuery, men mer allmänt innehåller det ett domännamn. Aliasdomänen hjälper användaren genom att tillåta användning av båda namnen.

I vissa fall kan ett alias ha värdet för ett av flera fält, beroende på vilka värden som är tillgängliga i händelsen. Till exempel dvc-aliaset , aliasen dvcFQDN, DvcId, DvcHostname eller DvcIpAddr eller händelseproduktfälten . När ett alias kan ha flera värden måste dess typ vara en sträng som passar alla möjliga aliasvärden. När du tilldelar ett värde till ett sådant alias bör du därför konvertera typen till sträng med hjälp av KQL-funktionssträngen.

Interna normaliserade tabeller innehåller inte alias, eftersom de skulle innebära duplicerad datalagring. I stället lägger stub-parsarna till aliasen. Om du vill implementera alias i parsers skapar du en kopia av det ursprungliga värdet med hjälp av operatorn extend .

Logiska typer

Varje schemafält har en typ. Vissa har inbyggda Log Analytics-typer, till exempel string, int, datetimeeller dynamic. Andra fält har en logisk typ som representerar hur fältvärdena ska normaliseras.

Datatyp Fysisk typ Format och värde
Boolesk Bool Använd den inbyggda KQL-datatypen bool i stället för en numerisk eller strängrepresentation av booleska värden.
Uppräknad String En lista med värden som uttryckligen definierats för fältet. Schemadefinitionen visar de godkända värdena.
Datum/tid Beroende på funktionen för inmatningsmetod använder du någon av följande fysiska representationer i fallande prioritet:

– Log Analytics inbyggd datetime-typ
– Ett heltalsfält med log analytics datetime numerisk representation.
– Ett strängfält med log analytics datetime numerisk representation
– Ett strängfält som lagrar ett log analytics-datum/tid-format som stöds.
Log Analytics-datum- och tidsrepresentation är liknande men skiljer sig från Unix-tidsrepresentation. Mer information finns i riktlinjerna för konvertering.

Obs! När det är tillämpligt bör tiden justeras i tidszonen.
MAC-adress String Colon-Hexadecimal notation.
IP-adress String Microsoft Sentinel-scheman har inte separata IPv4- och IPv6-adresser. Alla IP-adressfält kan innehålla antingen en IPv4-adress eller en IPv6-adress enligt följande:

- IPv4 i en punkt-decimal notation.
- IPv6 i 8-hextets notation, vilket möjliggör den korta formen.

Till exempel:
- IPv4: 192.168.10.10
- IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
- Kort IPv6-formulär: 1080::8:800:200C:417A
FQDN String Ett fullständigt domännamn med hjälp av en punkt notation, learn.microsoft.comtill exempel . Mer information finns i Enhetentiteten.
Värdnamn String Ett värdnamn som inte är ett FQDN innehåller upp till 63 tecken, inklusive bokstäver, siffror och bindestreck. Mer information finns i Enhetentiteten.
DomainType Enumerated Typen av domän som lagras i domän- och FQDN-fält. En lista med värden och mer information finns i Enhetentiteten.
DvcIdType Enumerated Typ av enhets-ID som lagras i DvcId-fält. En lista över tillåtna värden och ytterligare information finns i DvcIdType.
DeviceType Enumerated Typen av enhet som lagras i DeviceType-fält. Möjliga värden omfattar:
- Computer
- Mobile Device
- IOT Device
- Other. Mer information finns i Enhetentiteten.
Användarnamn String Ett giltigt användarnamn i någon av de typer som stöds. Mer information finns i Användarentiteten.
UsernameType Enumerated Typ av användarnamn som lagras i användarnamnsfält. Mer information och lista över värden som stöds finns i Användarentiteten.
UserIdType Enumerated Typ av ID som lagras i användar-ID-fält.

Värden som stöds är SID, UIS, AADID, OktaId, AWSIdoch PUID. Mer information finns i Användarentiteten.
UserType Enumerated Typen av användare. Mer information och lista över tillåtna värden finns i Användarentiteten.
AppType Enumerated Typ av program. Värden som stöds är: Process
, Service, Resource, URL, SaaS application, CSPoch Other.
Land String En sträng med ISO 3166-1 enligt följande prioritet:

- Alfa-2-koder, till exempel US för USA.
- Alfa-3-koder, till exempel USA för USA.
- Kort namn.

Listan över koder finns på ISO-webbplatsen (International Standards Organization).
Region String Underindelningsnamnet för land/region med ISO 3166-2.

Listan över koder finns på ISO-webbplatsen (International Standards Organization).
Ort String
Longitud Dubbel ISO 6709-koordinatrepresentation (signerad decimal).
Latitud Dubbel ISO 6709-koordinatrepresentation (signerad decimal).
MD5 String 32 hextecken.
SHA1 String 40-hex tecken.
SHA256 String 64-hex tecken.
SHA512 String 128 hextecken.

Entiteter

Händelser utvecklas kring entiteter, till exempel användare, värdar, processer eller filer. Entitetsrepresentation gör att flera entiteter av samma typ kan ingå i en enda post och har stöd för flera attribut för samma entiteter.

För att aktivera entitetsfunktioner har entitetsrepresentation följande riktlinjer:

Riktlinjer beskrivning
Beskrivningar och alias Eftersom en enskild händelse ofta innehåller mer än en entitet av samma typ, till exempel käll- och målvärdar, används deskriptorer som ett prefix för att identifiera alla fält som är associerade med en viss entitet.

För att upprätthålla normaliseringen använder ASIM en liten uppsättning standardbeskrivningar och väljer de lämpligaste för entiteternas specifika roll.

Om en enskild entitet av en typ är relevant för en händelse behöver du inte använda en beskrivning. Dessutom är en uppsättning fält utan ett deskriptoralias den mest använda entiteten för varje typ.
Identifierare och typer Ett normaliserat schema möjliggör flera identifierare för varje entitet, som vi förväntar oss att samexistera i händelser. Om källhändelsen har andra entitetsidentifierare som inte kan mappas till det normaliserade schemat behåller du dem i källformuläret eller använder det dynamiska fältet AdditionalFields .

Om du vill behålla typinformationen för identifierarna lagrar du typen, om tillämpligt, i ett fält med samma namn och ett suffix av typen. Till exempel UserIdType.
Attribut Entiteter har ofta andra attribut som inte fungerar som identifierare och som också kan kvalificeras med en beskrivning. Om källanvändaren till exempel har domäninformation är det normaliserade fältet SrcUserDomain.

Varje schema definierar uttryckligen de centrala entiteterna och entitetsfälten. Med följande riktlinjer kan du förstå de centrala schemafälten och hur du utökar scheman på ett normaliserat sätt med hjälp av andra entiteter eller entitetsfält som inte uttryckligen definieras i schemat.

Entiteten Användare

Användare är centrala för aktiviteter som rapporteras av händelser. Fälten som anges i det här avsnittet används för att beskriva de användare som deltar i åtgärden. Prefix används för att ange användarens roll i aktiviteten. Prefixen Src och Dst används för att ange användarrollen i nätverksrelaterade händelser, där ett källsystem och ett målsystem kommunicerar. Prefixen "Actor" och "Target" används för systemorienterade händelser, till exempel processhändelser.

Användar-ID och omfång

Fält Klass Typ Beskrivning
AnvändarID Valfritt String En maskinläsbar, alfanumerisk, unik representation av användaren.
UserScope Valfritt sträng Omfånget där UserId och Username definieras. Till exempel ett Microsoft Entra-klientdomännamn. Fältet UserIdType representerar också den typ av som är associerad med det här fältet.
UserScopeId Valfritt sträng ID:t för det omfång där UserId och Username definieras. Till exempel ett katalog-ID för Microsoft Entra-klientorganisationen. Fältet UserIdType representerar också den typ av som är associerad med det här fältet.
UserIdType Valfritt UserIdType Typen av ID som lagras i fältet UserId .
UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid Valfritt String Fält som används för att lagra specifika användar-ID:er. Välj det ID som är mest associerat med händelsen som det primära ID som lagras i UserId. Fyll i relevant specifikt ID-fält, förutom UserId, även om händelsen bara har ett ID.
UserAADTenant, UserAWSAccount Valfritt String Fält som används för att lagra specifika omfång. Använd fältet UserScope för det omfång som är associerat med det ID som lagras i fältet UserId . Fyll i relevant specifikt omfångsfält, förutom UserScope, även om händelsen bara har ett ID.

De tillåtna värdena för en användar-ID-typ är:

Typ Beskrivning Exempel
SID Ett Windows-användar-ID. S-1-5-21-1377283216-344919071-3415362939-500
UID Ett Linux-användar-ID. 4578
AADID Ett Microsoft Entra-användar-ID. 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
OktaId Ett Okta-användar-ID. 00urjk4znu3BcncfY0h7
AWSId Ett AWS-användar-ID. 72643944673
PUID Ett Användar-ID för Microsoft 365. 10032001582F435C
SalesforceId Ett Salesforce-användar-ID. 00530000009M943

Användarnamnet

Fält Klass Typ Beskrivning
Användarnamn Valfritt String Källans användarnamn, inklusive domäninformation när det är tillgängligt. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet UsernameType .
UsernameType Valfritt UsernameType Anger typen av användarnamn som lagras i fältet Användarnamn .
UserUPN, WindowsUsername, DNUsername, SimpleUsername Valfritt String Fält som används för att lagra ytterligare användarnamn, om den ursprungliga händelsen innehåller flera användarnamn. Välj det användarnamn som är mest associerat med händelsen som det primära användarnamnet som lagras i Användarnamn.

De tillåtna värdena för en användarnamnstyp är:

Typ Beskrivning Exempel
UPN En designator för UPN- eller e-postadressens användarnamn. johndow@contoso.com
Windows Ett Windows-användarnamn inklusive en domän. Contoso\johndow
DN En LDAP-framstående namndesignator. CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
Enkel Ett enkelt användarnamn utan en domändesignare. johndow
AWSId Ett AWS-användar-ID. 72643944673

Ytterligare användarfält

Fält Klass Typ Beskrivning
UserType Valfritt UserType Typ av källanvändare. Värden som stöds är:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Service
- Anonymous
- Other.

Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet OriginalUserType .
OriginalUserType Valfritt String Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten.

Enhetentiteten

Enheter, eller värdar, är vanliga termer som används för de system som deltar i händelsen. Prefixet Dvc används för att ange den primära enhet där händelsen inträffar. Vissa händelser, till exempel nätverkssessioner, har käll- och målenheter som anges av prefixet Src och Dst. I sådana fall används prefixet Dvc för enheten som rapporterar händelsen, som kan vara källan, målet eller en övervakningsenhet.

Enhetsalias

Fält Klass Typ Beskrivning
Dvc, Src, Dst Obligatorisk String Fälten Dvc, "Src" eller "Dst" används som en unik identifierare för enheten. Den är inställd på den bästa tillgängliga identifieringen för enheten. De här fälten kan vara alias för fälten FQDN, DvcId, Hostname eller IpAddr. För molnkällor, för vilka det inte finns någon uppenbar enhet, använder du samma värde som fältet Händelseprodukt .

Enhetsnamnet

Rapporterade enhetsnamn kan endast innehålla ett värdnamn eller ett fullständigt domännamn (FQDN), som innehåller ett värdnamn och ett domännamn. FQDN kan uttryckas med flera format. Följande fält möjliggör stöd för de olika varianter där enhetsnamnet kan anges.

Fält Klass Typ Beskrivning
Värdnamn Rekommenderat Värdnamn Enhetens korta värdnamn.
Domän Rekommenderat String Domänen för den enhet där händelsen inträffade, utan värdnamnet.
DomainType Rekommenderat Enumerated Typ av domän. Värden som stöds inkluderar FQDN och Windows. Det här fältet krävs om fältet Domän används.
FQDN Valfritt String FQDN för enheten inklusive både värdnamn och domän . Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet DomainType visar det format som används.

Till exempel:

Fält Värde för indata appserver.contoso.com värde för indata appserver
Värdnamn appserver appserver
Domän contoso.con <empty>
DomainType FQDN <empty>
FQDN appserver.contoso.com <empty>

När värdet som tillhandahålls av källan är ett FQDN, eller när värdet kan vara antingen och FQDN eller ett kort värdnamn, bör parsern beräkna de 4 värdena. Använd ASIM-hjälpfunktionerna _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNoch _ASIM_ResolveDvcFQDN för att enkelt ange alla fyra fälten baserat på ett enda indatavärde. Mer information finns i ASIM-hjälpfunktioner.

Enhets-ID och omfång

Fält Klass Typ Beskrivning
DvcId Valfritt String Enhetens unika ID . Till exempel: 41502da5-21b7-48ec-81c9-baeea8d7d669
ScopeId Valfritt String Molnplattformens omfångs-ID som enheten tillhör. Omfångskarta till ett prenumerations-ID i Azure och till ett konto-ID på AWS.
Definitionsområde Valfritt String Molnplattformsomfånget som enheten tillhör. Omfångskarta till en prenumeration i Azure och till ett konto på AWS.
DvcIdType Valfritt Enumerated Typ av DvcId. Vanligtvis identifierar det här fältet även typen av Omfång och ScopeId. Det här fältet krävs om fältet DvcId används.
DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId Valfritt String Fält som används för att lagra ytterligare enhets-ID:n, om den ursprungliga händelsen innehåller flera enhets-ID:n. Välj det enhets-ID som är mest associerat med händelsen som det primära ID som lagras i DvcId.

Observera att fält med namnet ska förbereda ett rollprefix som Src eller Dst, men bör inte förbereda ett andra Dvc prefix om det används i den rollen.

De tillåtna värdena för en enhets-ID-typ är:

Typ Beskrivning
MDEid System-ID som tilldelats av Microsoft Defender för Endpoint.
AzureResourceId Azure-resurs-ID:t.
MD4IoTid Resurs-ID för Microsoft Defender för IoT.
VMConnectionId Resurs-ID för Azure Monitor VM Insights-lösningen.
AwsVpcId Ett AWS VPC-ID.
VectraId Ett Vectra AI-tilldelat resurs-ID.
Övrigt En ID-typ som inte visas ovan.

Till exempel tillhandahåller Azure Monitor VM Insights-lösningen information om nätverkssessioner i VMConnection. Tabellen innehåller ett Azure-resurs-ID i _ResourceId fältet och ett VM-insiktsspecifikt enhets-ID i fältet Machine . Använd följande mappning för att representera dessa ID:t:

Fält Mappa till
DvcId Fältet Machine i VMConnection tabellen.
DvcIdType Värdet VMConnectionId
DvcAzureResourceId Fältet _ResourceId i VMConnection tabellen.

Ytterligare enhetsfält

Fält Klass Typ Beskrivning
IpAddr Rekommenderat IP-adress Enhetens IP-adress.

Exempel: 45.21.42.12
DvcDescription Valfritt String En beskrivande text som är associerad med enheten. Exempel: Primary Domain Controller.
MacAddr Valfritt MAC MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen.

Exempel: 00:1B:44:11:3A:B7
Zon Valfritt String Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Zonen definieras av rapporteringsenheten.

Exempel: Dmz
DvcOs Valfritt String Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen.

Exempel: Windows
DvcOsVersion Valfritt String Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen.

Exempel: 10
DvcAction Valfritt String För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet, om tillämpligt.

Exempel: Blocked
DvcOriginalAction Valfritt String Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten.
Gränssnitt Valfritt String Nätverksgränssnittet som data har avbildats på. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet som samlas in av en mellanliggande enhet eller en tryckenhet.

Observera att fält med namnet i listan med Dvc-prefixet ska förbereda ett rollprefix som Src eller Dst, men bör inte förbereda ett andra Dvc prefix om det används i den rollen.

Exempel på entitetsmappning

I det här avsnittet används Windows-händelse 4624 som ett exempel för att beskriva hur händelsedata normaliseras för Microsoft Sentinel.

Den här händelsen har följande entiteter:

Microsoft-terminologi Prefix för ursprungligt händelsefält ASIM-fältprefix beskrivning
Ämne Subject Actor Användaren som rapporterade information om en lyckad inloggning.
Ny inloggning Target TargetUser Den användare som inloggningen utfördes för.
Bearbeta - ActingProcess Processen som försökte logga in.
Nätverksinformation - Src Den dator från vilken ett inloggningsförsök utfördes.

Baserat på dessa entiteter normaliseras Windows-händelse 4624 enligt följande (vissa fält är valfria):

Normaliserat fält Ursprungligt fält Värde i exempel Kommentar
ActorUserId SubjectUserSid S-1-5-18
ActorUserIdType - SID
ActorUserName SubjectDomainName\ SubjectUserName WORKGROUP\WIN-GG82ULGC9GO$ Skapad genom att sammanfoga de två fälten
ActorUserNameType - Windows
ActorSessionId SubjectLogonId 0x3e7
TargetUserId TargetUserSid S-1-5-21-1377283216-344919071-3415362939-500
AnvändarID TargetUserSid Alias
TargetUserIdType - SID
TargetUserName TargetDomainName\ TargetUserName Administrator\WIN-GG82ULGC9GO$ Skapad genom att sammanfoga de två fälten
Användarnamn TargetDomainName\ TargetUserName Alias
TargetUserNameType - Windows
TargetSessionId TargetLogonId 0x8dcdc
ActingProcessName ProcessName C:\Windows\System32\svchost.exe
ActingProcessId ProcessId 0x44c
SrcHostname WorkstationName Windows
SrcIpAddr IpAddress 127.0.0.1
SrcPortNumber IpPort 0
TargetHostname Dator WIN-GG82ULGC9GO
Värdnamn Dator Alias

Nästa steg

Den här artikeln innehåller en översikt över normalisering i Microsoft Sentinel och ASIM.

Mer information finns i: