進階安全性資訊模型 (ASIM) 稽核事件正規化架構參考 (公開預覽)
Microsoft Sentinel Audit 事件正規化架構代表與信息系統稽核記錄相關聯的事件。 稽核記錄系統設定活動和原則變更。 這類變更通常是由系統管理員執行,但也可以在設定自己的應用程式設定時由用戶執行。
每個系統都會記錄稽核事件及其核心活動記錄。 例如,防火牆會記錄網路會話的相關事件是處理程式,以及稽核套用至防火牆本身之設定變更的相關事件。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
重要
Audit Event normalization 架構目前為預覽狀態。 此功能已推出但不提供服務等級協定。 不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
結構描述概觀
稽核事件的主要欄位如下:
- 物件,例如,事件所關注的 Managed 資源或原則規則,以 Field Object 表示。 Field ObjectType 指定對象的類型。
- 對象的應用程式內容,由Application所別名的TargetAppName欄位表示。
- 在對象上執行的作業,以 EventType 和 Operation 字段表示。 雖然 Operation 是來源所報告的值, 但 EventType 是跨來源更一致的標準化版本。
- 對象的舊值和新值,如果適用,則分別以 OldValue 和 NewValue 表示。
稽核事件也會參考下列與組態作業相關的實體:
- 動作專案 - 執行設定作業的使用者。
- TargetApp - 套用組態作業的應用程式或系統。
- 目標 - TaregtApp* 執行所在的系統。
- ActingApp - 動作專案用來執行設定作業的應用程式。
- Src - 動作項目用來起始組態作業的系統,如果與 Target 不同。
描述項 Dvc
用於報告裝置,這是端點所報告會話的本機系統,在其他情況下則是中繼或安全性裝置。
剖析器
部署和使用稽核事件剖析器
從 Microsoft Sentinel GitHub 存放庫部署 ASIM 稽核事件剖析器。 若要查詢所有稽核事件來源,請使用統一剖析器 imAuditEvent
作為查詢中的數據表名稱。
如需使用 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀。 如需稽核事件剖析器清單,Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單
新增您自己的標準化剖析器
實作檔案事件資訊模型的自定義剖析器時,請使用下列語法為您的 KQL 函式命名: imAuditEvent<vendor><Product>
。 請參閱管理 ASIM 剖析器一文,瞭解如何將自定義剖析器新增至稽核事件統一剖析器。
篩選剖析器參數
稽核事件剖析器支援 篩選參數。 雖然這些參數是選擇性的,但它們可以改善查詢效能。
下列篩選參數可供使用:
名稱 | 類型 | 描述 |
---|---|---|
starttime | Datetime | 只篩選在此時間或之後執行的事件。 此參數會 TimeGenerated 使用 欄位作為事件的時間指示項。 |
endtime | Datetime | 只篩選目前或之前執行完畢的事件查詢。 此參數會 TimeGenerated 使用 欄位作為事件的時間指示項。 |
srcipaddr_has_any_prefix | dynamic | 僅篩選來自此來源IP位址的事件,如SrcIpAddr欄位中所代表。 |
eventtype_in | 字串 | 只篩選事件類型的事件,如 EventType 欄位中所代表的任何字詞。 |
eventresult | 字串 | 只篩選事件結果所在的事件,如 EventResult 字段中所表示,等於參數值。 |
actorusername_has_any | 動態/字串 | 僅篩選 ActorUsername 包含所提供任何字詞的事件。 |
operation_has_any | 動態/字串 | 僅篩選 [作業] 欄位包含任何提供條款的事件。 |
object_has_any | 動態/字串 | 僅篩選 Object 字段包含任何提供詞彙的事件。 |
newvalue_has_any | 動態/字串 | 僅篩選 NewValue 字段包含所提供任何字詞的事件。 |
某些參數可以接受類型的 dynamic
值清單或單一字串值。 若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如:dynamic(['192.168.','10.'])
例如,若要只篩選具有字詞 install
的稽核事件,或 update
在其 [作業 ] 字段中,從最後一天開始,請使用:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
架構詳細數據
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有稽核事件特定指導方針的欄位:
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
EventType | 必要 | Enumerated | 描述事件使用正規化值稽核的作業。 使用 EventSubType 提供進一步的詳細數據,正規化值不會傳達和 Operation。 以儲存報告裝置所報告的作業。 針對稽核事件記錄,允許的值如下: - Set - Read - Create - Delete - Execute - Install - Clear - Enable - Disable - Other 稽核事件代表各種不同的作業,而 Other 值可啟用沒有對應 EventType 的對應作業。 不過,使用 Other 會限制事件的可用性,並應盡可能避免使用。 |
EventSubType | 選擇性 | String | 提供 EventType 中正規化值不會傳達的進一步詳細數據。 |
EventSchema | 必要 | String | 這裡記載的架構名稱為 AuditEvent 。 |
EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本為 0.1 。 |
所有通用欄位
出現在數據表中的欄位適用於所有 ASIM 架構。 本檔中指定的任何指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
稽核欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
運算 | 必要 | String | 報告裝置所報告的作業稽核。 |
Object | 必要 | String | 執行 EventType 所識別作業的物件名稱。 |
ObjectType | 必要 | Enumerated | Object 的類型。 允許的值如下: - Cloud Resource - Configuration Atom - Policy Rule -其他 |
OldValue | 選擇性 | String | 作業之前 Object 的舊值,如果適用的話。 |
NewValue | 選擇性 | String | 如果適用,在作業執行之後,Object 的新值。 |
ReplTest1 | Alias | NewValue 的 別名 | |
ValueType | 條件 | Enumerated | 舊值和新值的型別。 允許的值為 -其他 |
動作專案欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
ActorUserId | 選擇性 | String | 機器可讀取、英數位元、動作專案的唯一表示法。 如需詳細資訊,以及其他標識碼的替代字段,請參閱 用戶實體。 範例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
ActorScope | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍,例如Microsoft Entra 功能變數名稱。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
ActorScopeId | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍標識碼,例如 Microsoft Entra Directory ID。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
ActorUserIdType | 條件 | UserIdType | 儲存在 ActorUserId 字段中的識別碼類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserIdType。 |
ActorUsername | 建議需求 | 使用者名稱 | 動作項目的用戶名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱使用者實體。 範例: AlbertE |
使用者 | Alias | ActorUsername 的 別名 | |
ActorUsernameType | 條件 | UsernameType | 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱架構概觀一文中的UsernameType。 範例: Windows |
ActorUserType | 選擇性 | UserType | 動作項目的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。 例如: Guest |
ActorOriginalUserType | 選擇性 | UserType | 報告裝置所報告的用戶類型。 |
ActorSessionId | 選擇性 | String | 動作專案之登入會話的唯一標識符。 範例: 102pTUgC3p8RIqHvzxLCHnFlg |
目標應用程式欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
TargetAppId | 選擇性 | String | 套用事件的應用程式識別碼,包括進程、瀏覽器或服務。 範例: 89162 |
TargetAppName | 選擇性 | String | 要套用事件的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 範例: Exchange 365 |
應用程式 | Alias | TargetAppName 的 別名 | |
TargetAppType | 選擇性 | AppType | 代表動作專案授權的應用程式類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。 |
TargetUrl | 選擇性 | URL | 與目標應用程式相關聯的URL。 範例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
目標系統欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
Dst | Alias | String | 驗證目標的唯一標識碼。 此欄位可能會將 TargerDvcId、TargetHostname、TargetIpAddr、TargetAppId 或 TargetAppName 欄位別名。 範例: 192.168.12.1 |
TargetHostname | 建議需求 | 主機名稱 | 目標裝置主機名,不包括網域資訊。 範例: DESKTOP-1282V4D |
TargetDomain | 建議需求 | String | 目標裝置的網域。 範例: Contoso |
TargetDomainType | 條件 | Enumerated | TargetDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 TargetDomain ,則為必要專案。 |
TargetFQDN | 選擇性 | String | 目標裝置主機名,包括可用時的網域資訊。 範例: Contoso\DESKTOP-1282V4D 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 TargetDomainType 會反映所使用的格式。 |
TargetDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
TargetDvcId | 選擇性 | String | 目標裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 TargetDvc<DvcIdType> 。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
TargetDvcScopeId | 選擇性 | String | 裝置所屬的雲端平台範圍識別碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
TargetDvcScope | 選擇性 | String | 裝置所屬的雲端平台範圍。 TargetDvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
TargetDvcIdType | 條件 | Enumerated | TargetDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 如果使用 TargetDeviceId ,則為必要專案。 |
TargetDeviceType | 選擇性 | Enumerated | 目標裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
TargetIpAddr | 選擇性 | IP 位址 | 目標裝置的IP位址。 範例: 2.2.2.2 |
TargetDvcOs | 選擇性 | String | 目標裝置的OS。 範例: Windows 10 |
TargetPortNumber | 選擇性 | 整數 | 目標裝置的埠。 |
代理應用程式欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
ActingAppId | 選擇性 | String | 起始活動之應用程式的識別碼,包括進程、瀏覽器或服務。 例如: 0x12ae8 |
ActiveAppName | 選擇性 | String | 起始活動之應用程式的名稱,包括服務、URL 或 SaaS 應用程式。 例如: C:\Windows\System32\svchost.exe |
ActingAppType | 選擇性 | AppType | 代理應用程式的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。 |
HttpUserAgent | 選擇性 | String | 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
來源系統欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
Src | Alias | String | 來源裝置的唯一標識碼。 此欄位可能會將 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段別名。 範例: 192.168.12.1 |
SrcIpAddr | 建議需求 | IP 位址 | 線上或會話的來源IP位址。 範例: 77.138.103.108 |
IpAddr | Alias | SrcIpAddr 的別名,如果未提供 SrcIpAddr,則為 TargetIpAddr。 | |
SrcPortNumber | 選擇性 | 整數 | 線上來源 IP 連接埠。 可能與組成多個連線的會話無關。 範例: 2335 |
SrcHostname | 建議需求 | 主機名稱 | 來源裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
SrcDomainType | 條件 | DomainType | SrcDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 SrcDomain ,則為必要項。 |
SrcFQDN | 選擇性 | String | 來源裝置主機名,包括可用時的網域資訊。 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
SrcDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
SrcDvcId | 選擇性 | String | 來源裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 SrcDvc<DvcIdType> 。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平台範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 注意:如果使用 SrcDvcId ,則需要此欄位。 |
SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
SrcSubscriptionId | 選擇性 | String | 來源裝置所屬的雲端平臺訂用帳戶標識碼。 SrcSubscriptionId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
SrcGeoCountry | 選擇性 | Country | 與來源IP位址相關聯的國家/地區。 範例: USA |
SrcGeoRegion | 選擇性 | 區域 | 與來源IP位址相關聯的國家/地區內的區域。 範例: Vermont |
SrcGeoCity | 選擇性 | 縣/市 | 與來源IP位址相關聯的城市。 範例: Burlington |
SrcGeoLatitude | 選擇性 | 緯度 | 與來源IP位址相關聯的地理座標緯度。 範例: 44.475833 |
SrcGeoLongitude | 選擇性 | 經度 | 與來源IP位址相關聯的地理座標經度。 範例: 73.211944 |
檢查欄位
下列欄位用來代表安全性系統所執行的檢查。
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
RuleName | 選擇性 | String | 與檢查結果相關聯的規則名稱或標識碼。 |
RuleNumber | 選擇性 | 整數 | 與檢查結果相關聯的規則數目。 |
規則 | Alias | String | RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。 |
ThreatId | 選擇性 | String | 稽核活動中識別的威脅或惡意代碼標識碼。 |
ThreatName | 選擇性 | String | 稽核活動中識別的威脅或惡意代碼名稱。 |
ThreatCategory | 選擇性 | String | 稽核檔案活動中所識別的威脅或惡意代碼類別。 |
ThreatRiskLevel | 選擇性 | 整數 | 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
ThreatOriginalRiskLevel | 選擇性 | String | 報告裝置所報告的風險層級。 |
ThreatConfidence | 選擇性 | 整數 | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
ThreatFirstReportedTime | 選擇性 | Datetime | 第一次將IP位址或網域識別為威脅。 |
ThreatLastReportedTime | 選擇性 | Datetime | 上次將IP位址或網域識別為威脅的時間。 |
ThreatIpAddr | 選擇性 | IP 位址 | 識別威脅的IP位址。 Field ThreatField 包含 ThreatIpAddr 字段的名稱。 |
ThreatField | 選擇性 | Enumerated | 識別威脅的欄位。 值為 SrcIpAddr 或 TargetIpAddr 。 |
下一步
如需詳細資訊,請參閱