共用方式為


進階安全性資訊模型 (ASIM) 驗證正規化架構參考 (公開預覽)

Microsoft Sentinel 驗證架構可用來描述與用戶驗證、登入和註銷相關的事件。驗證事件是由許多報告裝置傳送,通常是與其他事件一起作為事件數據流的一部分。 例如,Windows 會與其他OS活動事件一起傳送數個驗證事件。

驗證事件包括來自系統的事件,這些事件著重於驗證,例如 VPN 閘道或域控制器,以及直接驗證至終端系統,例如電腦或防火牆。

如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。

重要

驗證正規化架構目前為 PREVIEW。 此功能在沒有服務等級協議的情況下提供,不建議用於生產工作負載。

Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

剖析器

Microsoft Sentinel GitHub 存放庫部署 ASIM 驗證剖析器。 如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀文章

統一剖析器

若要使用將所有 ASIM 現成剖析器統一起來的剖析器,並確保分析在所有設定的來源上執行,請使用 imAuthentication 篩選剖析器或 ASimAuthentication 無參數剖析器。

來源特定剖析器

如需Microsoft Sentinel 提供的驗證剖析器清單, 請參閱 ASIM 剖析器清單

新增您自己的標準化剖析器

實作驗證資訊模型的自訂剖析器時,請使用下列語法為您的 KQL 函式命名:

  • vimAuthentication<vendor><Product> 用於篩選剖析器
  • ASimAuthentication<vendor><Product> 用於無參數剖析器

如需將自定義剖析器新增至統一剖析器的資訊,請參閱 管理 ASIM 剖析器

篩選剖析器參數

imvim* 剖析器支援篩選參數。 雖然這些剖析器是選擇性的,但它們可以改善查詢效能。

下列篩選參數可供使用:

名稱 類型​​ 描述
starttime Datetime 只篩選在此時間或之後執行的驗證事件。
endtime Datetime 只篩選目前或之前執行完畢的驗證事件。
targetusername_has 字串 僅篩選具有任何列出的使用者名稱的驗證事件。

例如,若要僅篩選過去一天到特定用戶的驗證事件,請使用:

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

提示

若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如: dynamic(['192.168.','10.'])

標準化內容

標準化的驗證分析規則在偵測到跨來源的攻擊時是獨一無二的。 因此,例如,如果使用者登入不同國家/地區的不同、不相關的系統,則Microsoft Sentinel 現在會偵測到此威脅。

如需使用標準化驗證事件之分析規則的完整清單,請參閱 驗證架構安全性內容

結構描述概觀

驗證資訊模型會與 OSSEM 登入實體架構一致。

下表所列的欄位專屬於驗證事件,但與其他架構中的欄位類似,並遵循類似的命名慣例。

驗證事件會參考下列實體:

  • TargetUser - 用來向系統驗證的用戶資訊。 TargetSystem 是驗證事件的主要主旨,而用戶別名則是已識別 TargetUser 的別名。
  • TargetApp - 已驗證的應用程式。
  • Target - TargetApp* 執行所在的系統。
  • 動作專案 - 如果與 TargetUser 不同,則起始驗證的使用者。
  • ActingApp - 動作專案用來執行驗證的應用程式。
  • Src - 動作項目用來起始驗證的系統。

這些實體之間的關聯性最好示範如下:

動作專案,在來源系統上執行代理應用程式代理程式代理程式 Src,會嘗試在目標系統上以 TargetUser 身分向目標應用程式 TargetApp 驗證 TargetDvc

架構詳細數據

在下表中, Type 是指邏輯類型。 如需詳細資訊,請參閱邏輯類型

一般 ASIM 欄位

重要

ASIM 通用欄位一文會詳細說明 所有架構的通用欄位

具有特定指導方針的常見欄位

下列清單提及具有驗證事件特定指導方針的欄位:

欄位 類別 類型 描述
EventType 必要 Enumerated 描述記錄所報告的作業。

針對驗證記錄,支援的值包括:
- Logon
- Logoff
- Elevate
EventResultDetails 建議需求 String 與事件結果相關聯的詳細數據。 當結果失敗時,通常會填入此欄位。

允許的值包括:
- No such user or password. 當原始事件報告沒有這類使用者,而不參考密碼時,也應該使用此值。
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. 當原始事件報告時,應該使用此值,例如:需要 MFA、在工作時間以外登入、條件式存取限制,或嘗試太頻繁。
- Session expired
- Other

您可以使用不同的詞彙,在來源記錄中提供此值,這應該會正規化為這些值。 原始值應該儲存在 EventOriginalResultDetails 字段中
EventSubType 選擇性 String 登入類型。 允許的值包括:
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote - 當遠端登入的類型未知時,請使用 。
- AssumeRole - 通常當事件類型為 Elevate時使用。

您可以使用不同的詞彙,在來源記錄中提供此值,這應該會正規化為這些值。 原始值應該儲存在 EventOriginalSubType 欄位中
EventSchemaVersion 必要 String 結構描述的版本。 這裡記載的架構版本如下 0.1.3
EventSchema 必要 String 這裡記載的架構名稱是 驗證
Dvc 欄位 - - 針對驗證事件,裝置欄位會參考報告事件的系統。

所有通用欄位

下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的進一步詳細數據,請參閱 ASIM 通用欄位 一文。

類別 欄位
必要 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
建議需求 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
選擇性 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

驗證特定欄位

欄位 類別 類型 描述
LogonMethod 選擇性 String 用來執行驗證的方法。

範例:Username & PasswordPKI
LogonProtocol 選擇性 String 用來執行驗證的通訊協定。

範例: NTLM

動作專案欄位

欄位 類別 類型 描述
ActorUserId 選擇性 String 機器可讀取、英數位元、動作專案的唯一表示法。 如需詳細資訊,以及其他標識碼的替代字段,請參閱 用戶實體

範例: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope 選擇性 String 範圍,例如Microsoft Entra 租使用者,其中 已定義ActorUserIdActorUsername 。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。
ActorScopeId 選擇性 String 定義 ActorUserIdActorUsername 的範圍標識碼,例如 Microsoft Entra Directory ID。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。
ActorUserIdType 條件 UserIdType 儲存在 ActorUserId 字段中的識別碼類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserIdType。
ActorUsername 選擇性 使用者名稱 動作項目的用戶名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱使用者實體

範例: AlbertE
ActorUsernameType 條件 UsernameType 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱架構概觀一文中的UsernameType。

範例: Windows
ActorUserType 選擇性 UserType 動作項目的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。

例如:Guest
ActorOriginalUserType 選擇性 UserType 報告裝置所報告的用戶類型。
ActorSessionId 選擇性 String 動作專案之登入會話的唯一標識符。

範例: 102pTUgC3p8RIqHvzxLCHnFlg

代理應用程式欄位

欄位 類別 類型 描述
ActingAppId 選擇性 String 代表動作專案授權的應用程式識別碼,包括進程、瀏覽器或服務。

例如:0x12ae8
ActingAppName 選擇性 String 代表動作專案授權的應用程式名稱,包括進程、瀏覽器或服務。

例如:C:\Windows\System32\svchost.exe
ActingAppType 選擇性 AppType 代理應用程式的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。
HttpUserAgent 選擇性 String 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。

例如:Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

目標使用者欄位

欄位 類別 類型 描述
TargetUserId 選擇性 UserId 計算機可讀取、英數位元、目標使用者的唯一表示法。 如需詳細資訊,以及其他標識碼的替代字段,請參閱 用戶實體

範例: 00urjk4znu3BcncfY0h7
TargetUserScope 選擇性 String 定義 TargetUserIdTargetUsername 的 entra 租使用者,例如Microsoft範圍。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。
TargetUserScopeId 選擇性 String 定義 TargetUserIdTargetUsername 的範圍標識碼,例如 Microsoft Entra Directory 識別符。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。
TargetUserIdType 條件 UserIdType 儲存在 TargetUserId 字段中的使用者識別碼類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserIdType。

範例: SID
TargetUsername 選擇性 使用者名稱 目標用戶名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱使用者實體

範例: MarieC
TargetUsernameType 條件 UsernameType 指定儲存在 TargetUsername 欄位中的使用者名稱 類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UsernameType。
TargetUserType 選擇性 UserType 目標使用者的型別。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。

例如:Member
TargetSessionId 選擇性 String 來源裝置上 TargetUser 的登入會話標識碼。
TargetOriginalUserType 選擇性 UserType 報告裝置所報告的用戶類型。
使用者 Alias 使用者名稱 如果未定義 TargetUsername,則為 TargetUsernameTargetUserId 的別名。

範例: CONTOSO\dadmin

來源系統欄位

欄位 類別 類型 描述
Src 建議需求 String 來源裝置的唯一標識碼。

此欄位可能會將 SrcDvcIdSrcHostnameSrcIpAddr 字段別名。

範例: 192.168.12.1
SrcDvcId 選擇性 String 來源裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 SrcDvc<DvcIdType>

範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 選擇性 String 裝置所屬的雲端平台範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。
SrcDvcScope 選擇性 String 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
SrcDvcIdType 條件 DvcIdType SrcDvcId 的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。

注意:如果使用 SrcDvcId ,則需要此欄位。
SrcDeviceType 選擇性 DeviceType 來源裝置的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的DeviceType。
SrcHostname 建議需求 主機名稱 來源裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。

範例: DESKTOP-1282V4D
SrcDomain 建議需求 String 來源裝置的網域。

範例: Contoso
SrcDomainType 條件 DomainType SrcDomain 的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的 DomainType。

如果使用 SrcDomain ,則為必要項。
SrcFQDN 選擇性 String 來源裝置主機名,包括可用時的網域資訊。

注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。

範例: Contoso\DESKTOP-1282V4D
SrcDescription 選擇性 String 與裝置相關聯的描述性文字。 例如: Primary Domain Controller
SrcIpAddr 選擇性 IP 位址 來源裝置的 IP 位址。

範例: 2.2.2.2
SrcPortNumber 選擇性 整數 線上來源 IP 連接埠。

範例: 2335
SrcDvcOs 選擇性 String 來源裝置的OS。

範例: Windows 10
IpAddr Alias SrcIpAddr 的 別名
SrcIsp 選擇性 String 來源裝置用來連線到因特網的因特網服務提供者 (ISP)。

範例: corpconnect
SrcGeoCountry 選擇性 Country 範例: Canada

如需詳細資訊,請參閱邏輯類型
SrcGeoCity 選擇性 縣/市 範例: Montreal

如需詳細資訊,請參閱邏輯類型
SrcGeoRegion 選擇性 區域 範例: Quebec

如需詳細資訊,請參閱邏輯類型
SrcGeoLongtitude 選擇性 經度 範例: -73.614830

如需詳細資訊,請參閱邏輯類型
SrcGeoLatitude 選擇性 緯度 範例: 45.505918

如需詳細資訊,請參閱邏輯類型
SrcRiskLevel 選擇性 整數 與來源相關聯的風險層級。 此值應調整為 的範圍,01000針對良性和100高風險。

範例: 90
SrcOriginalRiskLevel 選擇性 整數 與來源相關聯的風險層級,如報告裝置所報告。

範例: Suspicious

目標應用程式欄位

欄位 類別 類型 描述
TargetAppId 選擇性 String 需要授權的應用程式識別碼,通常是由報告裝置指派。

範例: 89162
TargetAppName 選擇性 String 需要授權的應用程式名稱,包括服務、URL 或 SaaS 應用程式。

範例: Saleforce
TargetAppType 選擇性 AppType 代表動作專案授權的應用程式類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。
TargetUrl 選擇性 URL 與目標應用程式相關聯的URL。

範例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget Alias TargetAppNameTargetUrlTargetHostname 的別名,無論哪一個字段最能描述驗證目標。

目標系統欄位

欄位 類別 類型 描述
Dst Alias String 驗證目標的唯一標識碼。

此欄位可能會將 TargerDvcId、TargetHostnameTargetIpAddrTargetAppIdTargetAppName 欄位別名。

範例: 192.168.12.1
TargetHostname 建議需求 主機名稱 目標裝置主機名,不包括網域資訊。

範例: DESKTOP-1282V4D
TargetDomain 建議需求 String 目標裝置的網域。

範例: Contoso
TargetDomainType 條件 Enumerated TargetDomain 的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的 DomainType。

如果使用 TargetDomain ,則為必要專案。
TargetFQDN 選擇性 String 目標裝置主機名,包括可用時的網域資訊。

範例: Contoso\DESKTOP-1282V4D

注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 TargetDomainType 會反映所使用的格式。
TargetDescription 選擇性 String 與裝置相關聯的描述性文字。 例如: Primary Domain Controller
TargetDvcId 選擇性 String 目標裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 TargetDvc<DvcIdType>

範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId 選擇性 String 裝置所屬的雲端平台範圍識別碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
TargerDvcScope 選擇性 String 裝置所屬的雲端平台範圍。 TargetDvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
TargetDvcIdType 條件 Enumerated TargetDvcId 的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。

如果使用 TargetDeviceId ,則為必要專案。
TargetDeviceType 選擇性 Enumerated 目標裝置的類型。 如需允許值的清單和進一步資訊,請參閱架構概觀一文中的DeviceType。
TargetIpAddr 選擇性 IP 位址 目標裝置的IP位址。

範例: 2.2.2.2
TargetDvcOs 選擇性 String 目標裝置的OS。

範例: Windows 10
TargetPortNumber 選擇性 整數 目標裝置的埠。
TargetGeoCountry 選擇性 Country 與目標IP位址相關聯的國家/地區。

範例: USA
TargetGeoRegion 選擇性 區域 與目標IP位址相關聯的區域。

範例: Vermont
TargetGeoCity 選擇性 縣/市 與目標IP位址相關聯的城市。

範例: Burlington
TargetGeoLatitude 選擇性 緯度 與目標IP位址相關聯的地理座標緯度。

範例: 44.475833
TargetGeoLongitude 選擇性 經度 與目標IP位址相關聯的地理座標經度。

範例: 73.211944
TargetRiskLevel 選擇性 整數 與目標相關聯的風險層級。 此值應調整為 的範圍,01000針對良性和100高風險。

範例: 90
TargetOriginalRiskLevel 選擇性 整數 與目標相關聯的風險層級,如報告裝置所報告。

範例: Suspicious

檢查欄位

下列欄位用來代表安全性系統所執行的檢查。

欄位 類別 類型 描述
RuleName 選擇性 String 與檢查結果相關聯的規則名稱或標識碼。
RuleNumber 選擇性 整數 與檢查結果相關聯的規則數目。
規則 Alias String RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。
ThreatId 選擇性 String 稽核活動中識別的威脅或惡意代碼標識碼。
ThreatName 選擇性 String 稽核活動中識別的威脅或惡意代碼名稱。
ThreatCategory 選擇性 String 稽核檔案活動中所識別的威脅或惡意代碼類別。
ThreatRiskLevel 選擇性 整數 與所識別威脅相關聯的風險層級。 層級應該是介於 0100 之間的數位。

注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。
ThreatOriginalRiskLevel 選擇性 String 報告裝置所報告的風險層級。
ThreatConfidence 選擇性 整數 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。
ThreatOriginalConfidence 選擇性 String 所識別威脅的原始信賴等級,如報告裝置所報告。
ThreatIsActive 選擇性 布林值 如果識別的威脅被視為作用中威脅,則為 True。
ThreatFirstReportedTime 選擇性 Datetime 第一次將IP位址或網域識別為威脅。
ThreatLastReportedTime 選擇性 Datetime 上次將IP位址或網域識別為威脅的時間。
ThreatIpAddr 選擇性 IP 位址 識別威脅的IP位址。 Field ThreatField 包含 ThreatIpAddr 字段的名稱
ThreatField 選擇性 Enumerated 識別威脅的欄位。 值為 SrcIpAddrTargetIpAddr

架構更新

這些是架構 0.1.1 版的變更:

  • 已更新使用者和裝置實體欄位,以配合其他架構。
  • TargetDvc 將和 SrcDvc 分別重新命名為 TargetSrc ,以符合目前的 ASIM 指導方針。 重新命名的欄位將會實作為別名,直到 2022 年 7 月 1 日為止。 這些欄位包括:SrcDvcHostname、、SrcDvcTypeTargetDvcHostnameTargetDvcHostnameTypeSrcDvcHostnameTypeSrcDvcIpAddrTargetDvcTypeTargetDvcIpAddr和 。TargetDvc
  • 新增別名 SrcDst
  • 新增欄位SrcDvcIdTypeSrcDeviceTypeTargetDvcIdTypeTargetDeviceType與 。 EventSchema

這些是架構 0.1.2 版的變更:

  • 新增欄ActorScope位、TargetUserScope、、、SrcDvcScopeIdTargetDvcScopeIdSrcDvcScopeTargetDvcScopeDvcScopeIdDvcScope

這些是架構 0.1.3 版的變更:

  • 已新增 、、、ActorScopeIdTargetOriginalUserTypeTargetUserScopeIdSrcRiskLevelSrcDescriptionSrcOriginalRiskLevel、 和 欄位。SrcPortNumberTargetDescriptionActorOriginalUserType
  • 已新增檢查欄位
  • 已新增目標系統地理位置欄位。

下一步

如需詳細資訊,請參閱