共用方式為


進階安全性資訊模型 (ASIM) 稽核事件正規化架構參考 (公開預覽)

Microsoft Sentinel Audit 事件正規化架構代表與信息系統稽核記錄相關聯的事件。 稽核記錄系統設定活動和原則變更。 這類變更通常是由系統管理員執行,但也可以在設定自己的應用程式設定時由用戶執行。

每個系統都會記錄稽核事件及其核心活動記錄。 例如,防火牆會記錄網路會話的相關事件是處理程式,以及稽核套用至防火牆本身之設定變更的相關事件。

如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。

重要

Audit Event normalization 架構目前為預覽狀態。 此功能已推出但不提供服務等級協定。 不建議用於生產工作負載。

Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

結構描述概觀

稽核事件的主要欄位如下:

  • 物件,例如,事件所關注的 Managed 資源或原則規則,以 Field Object 表示。 Field ObjectType 指定對象的類型。
  • 對象的應用程式內容,由Application所別名的TargetAppName欄位表示。
  • 在對象上執行的作業,以 EventTypeOperation 字段表示。 雖然 Operation 是來源所報告的值, 但 EventType 是跨來源更一致的標準化版本。
  • 對象的舊值和新值,如果適用,則分別以 OldValue 和 NewValue 表示。

稽核事件也會參考下列與組態作業相關的實體:

  • 動作專案 - 執行設定作業的使用者。
  • TargetApp - 套用組態作業的應用程式或系統。
  • 目標 - TaregtApp* 執行所在的系統。
  • ActingApp - 動作專案用來執行設定作業的應用程式。
  • Src - 動作項目用來起始組態作業的系統,如果與 Target 不同。

描述項 Dvc 用於報告裝置,這是端點所報告會話的本機系統,在其他情況下則是中繼或安全性裝置。

剖析器

部署和使用稽核事件剖析器

Microsoft Sentinel GitHub 存放庫部署 ASIM 稽核事件剖析器。 若要查詢所有稽核事件來源,請使用統一剖析器 imAuditEvent 作為查詢中的數據表名稱。

如需使用 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀。 如需稽核事件剖析器清單,Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單

新增您自己的標準化剖析器

實作檔案事件資訊模型的自定義剖析器時,請使用下列語法為您的 KQL 函式命名: imAuditEvent<vendor><Product>。 請參閱管理 ASIM 剖析器一文,瞭解如何將自定義剖析器新增至稽核事件統一剖析器。

篩選剖析器參數

稽核事件剖析器支援 篩選參數。 雖然這些參數是選擇性的,但它們可以改善查詢效能。

下列篩選參數可供使用:

名稱 類型​​ 描述
starttime Datetime 只篩選在此時間或之後執行的事件。 此參數會 TimeGenerated 使用 欄位作為事件的時間指示項。
endtime Datetime 只篩選目前或之前執行完畢的事件查詢。 此參數會 TimeGenerated 使用 欄位作為事件的時間指示項。
srcipaddr_has_any_prefix dynamic 僅篩選來自此來源IP位址的事件,如SrcIpAddr欄位中所代表。
eventtype_in 字串 只篩選事件類型的事件,如 EventType 欄位中所代表的任何字詞。
eventresult 字串 只篩選事件結果所在的事件,如 EventResult 字段中所表示,等於參數值。
actorusername_has_any 動態/字串 僅篩選 ActorUsername 包含所提供任何字詞的事件
operation_has_any 動態/字串 僅篩選 [作業] 欄位包含任何提供條款的事件
object_has_any 動態/字串 僅篩選 Object 字段包含任何提供詞彙的事件
newvalue_has_any 動態/字串 僅篩選 NewValue 字段包含所提供任何字詞的事件

某些參數可以接受類型的 dynamic 值清單或單一字串值。 若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如:dynamic(['192.168.','10.'])

例如,若要只篩選具有字詞 install 的稽核事件,或 update 在其 [作業 ] 字段中,從最後一天開始,請使用:

imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())

架構詳細數據

一般 ASIM 欄位

重要

ASIM 通用欄位一文會詳細說明 所有架構的通用欄位

具有特定指導方針的常見欄位

下列清單提及具有稽核事件特定指導方針的欄位:

欄位 類別 類型 描述
EventType 必要 Enumerated 描述事件使用正規化值稽核的作業。 使用 EventSubType 提供進一步的詳細數據,正規化值不會傳達和 Operation。 以儲存報告裝置所報告的作業。

針對稽核事件記錄,允許的值如下:
- Set
- Read
- Create
- Delete
- Execute
- Install
- Clear
- Enable
- Disable
- Other

稽核事件代表各種不同的作業,而 Other 值可啟用沒有對應 EventType的對應作業。 不過,使用 Other 會限制事件的可用性,並應盡可能避免使用。
EventSubType 選擇性 String 提供 EventType正規化值不會傳達的進一步詳細數據。
EventSchema 必要 String 這裡記載的架構名稱為 AuditEvent
EventSchemaVersion 必要 String 結構描述的版本。 這裡記載的架構版本為 0.1

所有通用欄位

出現在數據表中的欄位適用於所有 ASIM 架構。 本檔中指定的任何指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。

類別 欄位
必要 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
建議需求 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
選擇性 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

稽核欄位

欄位 類別 類型 描述
運算 必要 String 報告裝置所報告的作業稽核。
Object 必要 String 執行 EventType 所識別作業的物件名稱。
ObjectType 必要 Enumerated Object 的類型。 允許的值如下:
- Cloud Resource
- Configuration Atom
- Policy Rule
-其他
OldValue 選擇性 String 作業之前 Object舊值,如果適用的話。
NewValue 選擇性 String 如果適用,在作業執行之後,Object 的新值
ReplTest1 Alias NewValue 的 別名
ValueType 條件 Enumerated 舊值和新值的型別。 允許的值為
-其他

動作專案欄位

欄位 類別 類型 描述
ActorUserId 選擇性 String 機器可讀取、英數位元、動作專案的唯一表示法。 如需詳細資訊,以及其他標識碼的替代字段,請參閱 用戶實體

範例: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope 選擇性 String 定義 ActorUserIdActorUsername 的範圍,例如Microsoft Entra 功能變數名稱。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。
ActorScopeId 選擇性 String 定義 ActorUserIdActorUsername 的範圍標識碼,例如 Microsoft Entra Directory ID。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。
ActorUserIdType 條件 UserIdType 儲存在 ActorUserId 字段中的識別碼類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserIdType。
ActorUsername 建議需求 使用者名稱 動作項目的用戶名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱使用者實體

範例: AlbertE
使用者 Alias ActorUsername 的 別名
ActorUsernameType 條件 UsernameType 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱架構概觀一文中的UsernameType。

範例: Windows
ActorUserType 選擇性 UserType 動作項目的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。

例如:Guest
ActorOriginalUserType 選擇性 UserType 報告裝置所報告的用戶類型。
ActorSessionId 選擇性 String 動作專案之登入會話的唯一標識符。

範例: 102pTUgC3p8RIqHvzxLCHnFlg

目標應用程式欄位

欄位 類別 類型 描述
TargetAppId 選擇性 String 套用事件的應用程式識別碼,包括進程、瀏覽器或服務。

範例: 89162
TargetAppName 選擇性 String 要套用事件的應用程式名稱,包括服務、URL 或 SaaS 應用程式。

範例: Exchange 365
應用程式 Alias TargetAppName 的 別名
TargetAppType 選擇性 AppType 代表動作專案授權的應用程式類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。
TargetUrl 選擇性 URL 與目標應用程式相關聯的URL。

範例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b

目標系統欄位

欄位 類別 類型 描述
Dst Alias String 驗證目標的唯一標識碼。

此欄位可能會將 TargerDvcId、TargetHostnameTargetIpAddrTargetAppIdTargetAppName 欄位別名。

範例: 192.168.12.1
TargetHostname 建議需求 主機名稱 目標裝置主機名,不包括網域資訊。

範例: DESKTOP-1282V4D
TargetDomain 建議需求 String 目標裝置的網域。

範例: Contoso
TargetDomainType 條件 Enumerated TargetDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。

如果使用 TargetDomain ,則為必要專案。
TargetFQDN 選擇性 String 目標裝置主機名,包括可用時的網域資訊。

範例: Contoso\DESKTOP-1282V4D

注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 TargetDomainType 會反映所使用的格式。
TargetDescription 選擇性 String 與裝置相關聯的描述性文字。 例如: Primary Domain Controller
TargetDvcId 選擇性 String 目標裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 TargetDvc<DvcIdType>

範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId 選擇性 String 裝置所屬的雲端平台範圍識別碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
TargetDvcScope 選擇性 String 裝置所屬的雲端平台範圍。 TargetDvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
TargetDvcIdType 條件 Enumerated TargetDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。

如果使用 TargetDeviceId ,則為必要專案。
TargetDeviceType 選擇性 Enumerated 目標裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。
TargetIpAddr 選擇性 IP 位址 目標裝置的IP位址。

範例: 2.2.2.2
TargetDvcOs 選擇性 String 目標裝置的OS。

範例: Windows 10
TargetPortNumber 選擇性 整數 目標裝置的埠。

代理應用程式欄位

欄位 類別 類型 描述
ActingAppId 選擇性 String 起始活動之應用程式的識別碼,包括進程、瀏覽器或服務。

例如:0x12ae8
ActiveAppName 選擇性 String 起始活動之應用程式的名稱,包括服務、URL 或 SaaS 應用程式。

例如:C:\Windows\System32\svchost.exe
ActingAppType 選擇性 AppType 代理應用程式的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。
HttpUserAgent 選擇性 String 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。

例如:Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

來源系統欄位

欄位 類別 類型 描述
Src Alias String 來源裝置的唯一標識碼。

此欄位可能會將 SrcDvcIdSrcHostnameSrcIpAddr 字段別名。

範例: 192.168.12.1
SrcIpAddr 建議需求 IP 位址 線上或會話的來源IP位址。

範例: 77.138.103.108
IpAddr Alias SrcIpAddr 的別名,如果未提供 SrcIpAddr,則為 TargetIpAddr。
SrcPortNumber 選擇性 整數 線上來源 IP 連接埠。 可能與組成多個連線的會話無關。

範例: 2335
SrcHostname 建議需求 主機名稱 來源裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。

範例: DESKTOP-1282V4D
SrcDomain 建議需求 String 來源裝置的網域。

範例: Contoso
SrcDomainType 條件 DomainType SrcDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。

如果使用 SrcDomain ,則為必要項。
SrcFQDN 選擇性 String 來源裝置主機名,包括可用時的網域資訊。

注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。

範例: Contoso\DESKTOP-1282V4D
SrcDescription 選擇性 String 與裝置相關聯的描述性文字。 例如: Primary Domain Controller
SrcDvcId 選擇性 String 來源裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 SrcDvc<DvcIdType>

範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 選擇性 String 裝置所屬的雲端平台範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。
SrcDvcScope 選擇性 String 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
SrcDvcIdType 條件 DvcIdType SrcDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。

注意:如果使用 SrcDvcId ,則需要此欄位。
SrcDeviceType 選擇性 DeviceType 來源裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。
SrcSubscriptionId 選擇性 String 來源裝置所屬的雲端平臺訂用帳戶標識碼。 SrcSubscriptionId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。
SrcGeoCountry 選擇性 Country 與來源IP位址相關聯的國家/地區。

範例: USA
SrcGeoRegion 選擇性 區域 與來源IP位址相關聯的國家/地區內的區域。

範例: Vermont
SrcGeoCity 選擇性 縣/市 與來源IP位址相關聯的城市。

範例: Burlington
SrcGeoLatitude 選擇性 緯度 與來源IP位址相關聯的地理座標緯度。

範例: 44.475833
SrcGeoLongitude 選擇性 經度 與來源IP位址相關聯的地理座標經度。

範例: 73.211944

檢查欄位

下列欄位用來代表安全性系統所執行的檢查。

欄位 類別 類型 描述
RuleName 選擇性 String 與檢查結果相關聯的規則名稱或標識碼。
RuleNumber 選擇性 整數 與檢查結果相關聯的規則數目。
規則 Alias String RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。
ThreatId 選擇性 String 稽核活動中識別的威脅或惡意代碼標識碼。
ThreatName 選擇性 String 稽核活動中識別的威脅或惡意代碼名稱。
ThreatCategory 選擇性 String 稽核檔案活動中所識別的威脅或惡意代碼類別。
ThreatRiskLevel 選擇性 整數 與所識別威脅相關聯的風險層級。 層級應該是介於 0100 之間的數位。

注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。
ThreatOriginalRiskLevel 選擇性 String 報告裝置所報告的風險層級。
ThreatConfidence 選擇性 整數 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。
ThreatOriginalConfidence 選擇性 String 所識別威脅的原始信賴等級,如報告裝置所報告。
ThreatIsActive 選擇性 布林值 如果識別的威脅被視為作用中威脅,則為 True。
ThreatFirstReportedTime 選擇性 Datetime 第一次將IP位址或網域識別為威脅。
ThreatLastReportedTime 選擇性 Datetime 上次將IP位址或網域識別為威脅的時間。
ThreatIpAddr 選擇性 IP 位址 識別威脅的IP位址。 Field ThreatField 包含 ThreatIpAddr 字段的名稱
ThreatField 選擇性 Enumerated 識別威脅的欄位。 值為 SrcIpAddrTargetIpAddr

下一步

如需詳細資訊,請參閱