Schemareferens för normalisering av granskningshändelser i ASIM (Advanced Security Information Model) (Offentlig förhandsversion)
Normaliseringsschemat för Microsoft Sentinel-granskningshändelser representerar händelser som är associerade med spårningsloggen för informationssystem. Spårningsloggen loggar systemkonfigurationsaktiviteter och principändringar. Sådana ändringar utförs ofta av systemadministratörer, men kan också utföras av användare när de konfigurerar inställningarna för sina egna program.
Varje system loggar granskningshändelser tillsammans med sina kärnaktivitetsloggar. En brandvägg loggar till exempel händelser om nätverkssessionerna är processer och granskar händelser om konfigurationsändringar som tillämpas på själva brandväggen.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
Normaliseringsschemat för granskningshändelser är för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal. Vi rekommenderar det inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Schemaöversikt
Huvudfälten för en granskningshändelse är:
- Objektet, som till exempel kan vara en hanterad resurs eller principregel, som händelsen fokuserar på, representeras av fältet Objekt. Fältet ObjectType anger objektets typ.
- Programkontexten för objektet, som representeras av fältet TargetAppName, som aliaseras av Programmet.
- Åtgärden som utförs på objektet, som representeras av fälten EventType och Operation. Åtgärden är det värde som källan rapporterade, men EventType är en normaliserad version som är mer konsekvent mellan källor.
- De gamla och nya värdena för objektet, om tillämpligt, som representeras av OldValue respektive NewValue.
Granskningshändelser refererar också till följande entiteter, som ingår i konfigurationsåtgärden:
- Aktör – Användaren som utför konfigurationsåtgärden.
- TargetApp – det program eller system som konfigurationsåtgärden gäller för.
- Target – systemet där TaregtApp* körs.
- ActingApp – programmet som används av aktören för att utföra konfigurationsåtgärden.
- Src – det system som används av aktören för att initiera konfigurationsåtgärden, om det skiljer sig från Mål.
Dvc Beskrivningen används för rapporteringsenheten, som är det lokala systemet för sessioner som rapporteras av en slutpunkt, och mellanhanden eller säkerhetsenheten i andra fall.
Tolkar
Distribuera och använda parsare för granskningshändelser
Distribuera ASIM-granskningshändelsernas parsers från Microsoft Sentinel GitHub-lagringsplatsen. Om du vill köra frågor mot alla granskningshändelsekällor använder du den enande parsern imAuditEvent som tabellnamn i din fråga.
Mer information om hur du använder ASIM-parsare finns i översikten över ASIM-parsare. I listan över granskningshändelseparsers tillhandahåller Microsoft Sentinel en out-of-the-box-lista med ASIM-parsare
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för filhändelseinformationsmodellen namnger du dina KQL-funktioner med hjälp av följande syntax: imAuditEvent<vendor><Product>. Se artikeln Hantera ASIM-parsare för att lära dig hur du lägger till dina anpassade parsers i granskningshändelsen förenande parser.
Filtrera parserparametrar
Parsarna för granskningshändelser stöder filtreringsparametrar. Även om de här parametrarna är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Type | Beskrivning |
|---|---|---|
| starttime | datetime | Filtrera endast händelser som kördes vid eller efter den här tiden. Den här parametern använder fältet TimeGenerated som tidsdesignare för händelsen. |
| sluttid | datetime | Filtrera endast händelsefrågor som har körts vid eller före den här tiden. Den här parametern använder fältet TimeGenerated som tidsdesignare för händelsen. |
| srcipaddr_has_any_prefix | dynamisk | Filtrera endast händelser från den här käll-IP-adressen enligt vad som visas i fältet SrcIpAddr . |
| eventtype_in | sträng | Filtrera endast händelser där händelsetypen, som representeras i fältet EventType , är något av de villkor som anges. |
| eventresult | sträng | Filtrera endast händelser där händelseresultatet, som representeras i fältet EventResult , är lika med parametervärdet. |
| actorusername_has_any | dynamisk/sträng | Filtrera endast händelser där ActorUsername innehåller något av de angivna villkoren. |
| operation_has_any | dynamisk/sträng | Filtrera endast händelser där fältet Åtgärd innehåller något av de angivna villkoren. |
| object_has_any | dynamisk/sträng | Filtrera endast händelser där objektfältet innehåller något av de angivna villkoren. |
| newvalue_has_any | dynamisk/sträng | Filtrera endast händelser där fältet NewValue innehåller något av de angivna villkoren. |
Vissa parametrar kan acceptera båda värdena av typen dynamic eller ett enda strängvärde. Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Till exempel: dynamic(['192.168.','10.'])
Om du till exempel bara vill filtrera granskningshändelser med termerna install eller update i fältet Åtgärd använder du följande från den senaste dagen:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Schemainformation
Vanliga ASIM-fält
Viktigt!
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för granskningshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Enumerated | Beskriver åtgärden som granskas av händelsen med hjälp av ett normaliserat värde. Använd EventSubType för att ange ytterligare information, som det normaliserade värdet inte förmedlar och Åtgärd. för att lagra åtgärden enligt rapporteringsenhetens rapporter. För granskningshändelseposter är de tillåtna värdena: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Granskningshändelser representerar en mängd olika åtgärder och Other värdet möjliggör mappningsåtgärder som inte har någon motsvarande EventType. Användningen av Other begränsar dock händelsens användbarhet och bör undvikas om möjligt. |
| EventSubType | Valfritt | String | Innehåller ytterligare information som det normaliserade värdet i EventType inte förmedlar. |
| EventSchema | Obligatorisk | String | Namnet på schemat som dokumenteras här är AuditEvent. |
| EventSchemaVersion | Obligatorisk | String | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1. |
Alla vanliga fält
Fält som visas i tabellen är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges i det här dokumentet åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderat | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Granskningsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Åtgärd | Obligatorisk | String | Åtgärden granskades enligt rapporteringsenhetens rapport. |
| Objekt | Obligatorisk | String | Namnet på det objekt där åtgärden som identifieras av EventType utförs. |
| ObjectType | Obligatorisk | Enumerated | Typ av objekt. Tillåtna värden är: - Cloud Resource- Configuration Atom- Policy Rule-Annan |
| OldValue | Valfritt | String | Det gamla värdet för Object före åtgärden, om tillämpligt. |
| NewValue | Valfritt | String | Det nya värdet för Objekt efter att åtgärden utfördes, om tillämpligt. |
| Värde | Alias | Alias till NewValue | |
| ValueType | Villkorsstyrd | Enumerated | Typen av gamla och nya värden. Tillåtna värden är -Annan |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Valfritt | String | En maskinläsbar, alfanumerisk, unik representation av aktören. Mer information och alternativa fält för andra ID:n finns i Användarentiteten. Exempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Valfritt | String | Omfånget, till exempel Microsoft Entra-domännamn, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden, se UserScope i artikeln Schemaöversikt. |
| ActorScopeId | Valfritt | String | Omfångs-ID:t, till exempel Microsoft Entra-katalog-ID, där ActorUserId och ActorUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| ActorUserIdType | Villkorsstyrd | UserIdType | Typen av ID som lagras i fältet ActorUserId . Mer information och lista över tillåtna värden finns i UserIdType i artikeln Schemaöversikt. |
| ActorUsername | Rekommenderat | Username | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Mer information finns i Användarentiteten. Exempel: AlbertE |
| Användare | Alias | Alias till ActorUsername | |
| ActorUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet ActorUsername . Mer information och en lista över tillåtna värden finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| ActorUserType | Valfritt | UserType | Typen av aktör. Mer information och en lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. Till exempel: Guest |
| ActorOriginalUserType | Valfritt | UserType | Användartypen som rapporteras av rapporteringsenheten. |
| ActorSessionId | Valfritt | String | Det unika ID:t för inloggningssessionen för aktören. Exempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Målprogramfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetAppId | Valfritt | String | ID:t för det program som händelsen gäller för, inklusive en process, webbläsare eller tjänst. Exempel: 89162 |
| TargetAppName | Valfritt | String | Namnet på det program som händelsen gäller för, inklusive en tjänst, en URL eller ett SaaS-program. Exempel: Exchange 365 |
| Program | Alias | Alias till TargetAppName | |
| TargetAppType | Valfritt | AppType | Typen av program som auktoriserar för aktörens räkning. Mer information och tillåten lista över värden finns i AppType i artikeln Schemaöversikt. |
| TargetUrl | Valfritt | webbadress | URL:en som är associerad med målprogrammet. Exempel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Målsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dst | Alias | String | En unik identifierare för autentiseringsmålet. Det här fältet kan vara alias för fälten TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId eller TargetAppName . Exempel: 192.168.12.1 |
| TargetHostname | Rekommenderat | Värdnamn | Målenhetens värdnamn, exklusive domäninformation. Exempel: DESKTOP-1282V4D |
| TargetDomain | Rekommenderat | String | Målenhetens domän. Exempel: Contoso |
| TargetDomainType | Villkorsstyrd | Enumerated | Typ av TargetDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om TargetDomain används. |
| TargetFQDN | Valfritt | String | Värdnamnet för målenheten, inklusive domäninformation när det är tillgängligt. Exempel: Contoso\DESKTOP-1282V4D Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. TargetDomainType återspeglar det format som används. |
| TargetDescription | Valfritt | String | En beskrivande text som är associerad med enheten. Exempel: Primary Domain Controller. |
| TargetDvcId | Valfritt | String | Målenhetens ID. Om flera ID:er är tillgängliga använder du det viktigaste och lagrar de andra i fälten TargetDvc<DvcIdType>. Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valfritt | String | Molnplattformens omfångs-ID som enheten tillhör. TargetDvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargetDvcScope | Valfritt | String | Molnplattformsomfånget som enheten tillhör. TargetDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargetDvcIdType | Villkorsstyrd | Enumerated | Typ av TargetDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Krävs om TargetDeviceId används. |
| TargetDeviceType | Valfritt | Enumerated | Typ av målenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| TargetIpAddr | Valfritt | IP-adress | MÅLenhetens IP-adress. Exempel: 2.2.2.2 |
| TargetDvcOs | Valfritt | String | Målenhetens operativsystem. Exempel: Windows 10 |
| TargetPortNumber | Valfritt | Integer | Målenhetens port. |
Agerar programfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingAppId | Valfritt | String | ID:t för programmet som initierade den rapporterade aktiviteten, inklusive en process, webbläsare eller tjänst. Till exempel: 0x12ae8 |
| ActiveAppName | Valfritt | String | Namnet på programmet som initierade den rapporterade aktiviteten, inklusive en tjänst, en URL eller ett SaaS-program. Till exempel: C:\Windows\System32\svchost.exe |
| ActingAppType | Valfritt | AppType | Typ av verkande program. Mer information och tillåten lista över värden finns i AppType i artikeln Schemaöversikt. |
| HttpUserAgent | Valfritt | String | När autentiseringen utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvud som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. Till exempel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Källsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Src | Alias | String | En unik identifierare för källenheten. Det här fältet kan vara alias för fälten SrcDvcId, SrcHostname eller SrcIpAddr. Exempel: 192.168.12.1 |
| SrcIpAddr | Rekommenderat | IP-adress | DEN IP-adress som anslutningen eller sessionen kommer från. Exempel: 77.138.103.108 |
| IpAddr | Alias | Alias till SrcIpAddr eller till TargetIpAddr om SrcIpAddr inte har angetts. | |
| SrcPortNumber | Valfritt | Integer | DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. Exempel: 2335 |
| SrcHostname | Rekommenderat | Värdnamn | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| SrcDomain | Rekommenderat | String | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | DomainType | Typen av SrcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | String | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valfritt | String | En beskrivande text som är associerad med enheten. Exempel: Primary Domain Controller. |
| SrcDvcId | Valfritt | String | Källenhetens ID. Om flera ID:er är tillgängliga använder du det viktigaste och lagrar de andra i fälten SrcDvc<DvcIdType>.Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | String | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | String | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | DvcIdType | Typen av SrcDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | DeviceType | Typ av källenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| SrcSubscriptionId | Valfritt | String | Prenumerations-ID:t för molnplattformen som källenheten tillhör. SrcSubscriptionId mappa till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcGeoCountry | Valfritt | Land | Det land/den region som är associerad med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfritt | Region | Regionen inom ett land/en region som är associerad med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfritt | City | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfritt | Latitud | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
Kontrollfält
Följande fält används för att representera inspektionen som utförs av ett säkerhetssystem.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RuleName | Valfritt | String | Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| RuleNumber | Valfritt | Integer | Antalet regler som är associerade med inspektionsresultatet. |
| Regel | Alias | String | Antingen värdet för RuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | String | ID:t för det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatName | Valfritt | String | Namnet på det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatCategory | Valfritt | String | Kategorin för hot eller skadlig kod som identifieras i granskningsfilens aktivitet. |
| ThreatRiskLevel | Valfritt | Integer | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som bör normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfritt | String | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatConfidence | Valfritt | Integer | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | String | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Booleskt | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | datetime | Senast IP-adressen eller domänen identifierades som ett hot. |
| ThreatIpAddr | Valfritt | IP-adress | En IP-adress som ett hot identifierades för. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. |
| ThreatField | Valfritt | Enumerated | Fältet som ett hot identifierades för. Värdet är antingen SrcIpAddr eller TargetIpAddr. |
Nästa steg
Mer information finns i: