Megosztás a következőn keresztül:


Az Advanced Security Information Model (ASIM) riasztási sémareferenciája

A Microsoft Sentinel riasztási sémája úgy lett kialakítva, hogy normalizálja a különböző termékek biztonsági riasztásainak szabványosított formátumát a Microsoft Advanced Security Information Modelben (ASIM). Ez a séma kizárólag a biztonsági eseményekre összpontosít, így egységes és hatékony elemzést biztosít a különböző adatforrások között.

A riasztási séma különböző típusú biztonsági riasztásokat jelöl, például fenyegetéseket, gyanús tevékenységeket, felhasználói viselkedési rendellenességeket és megfelelőségi szabálysértéseket. Ezeket a riasztásokat különböző biztonsági termékek és rendszerek jelentik, beleértve többek között az EDR-eket, a víruskereső szoftvereket, a behatolásészlelési rendszereket, az adatveszteség-megelőzési eszközöket stb.

A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.

Fontos

A riasztás normalizálási sémája jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el. Éles számítási feladatokhoz nem javasoljuk.

Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Elemzők

Az ASIM-elemzőkkel kapcsolatos további információkért tekintse meg az ASIM-elemzők áttekintését.

Elemzők egyesítése

Ha olyan elemzőket szeretne használni, amelyek egyesítik az összes beépített ASIM-elemzőt, és biztosítják, hogy az elemzés az összes konfigurált forrásban fusson, használja a _Im_AlertEvent szűrőelemzőt vagy a _ASim_AlertEvent paraméter nélküli elemzőt. A munkaterületen üzembe helyezett imAlertEvent és ASimAlertEvent elemzőket is használhatja a Microsoft Sentinel GitHub-adattárból való üzembe helyezéssel.

További információkért lásd a beépített ASIM-elemzőket és a munkaterületen üzembe helyezett elemzőket.

Házon kívül, forrásspecifikus elemzők

A Microsoft Sentinel által biztosított riasztáselemzők listájához tekintse meg az ASIM-elemzők listáját.

Saját normalizált elemzők hozzáadása

A riasztási információs modell egyéni elemzőinek fejlesztésekor nevezze el a KQL-függvényeket a következő szintaxissal:

  • vimAlertEvent<vendor><Product> paraméteres elemzők esetén
  • ASimAlertEvent<vendor><Product> normál elemzőkhöz

Az ASIM-elemzők kezelésével foglalkozó cikkből megtudhatja, hogyan adhat hozzá egyéni elemzőket a riasztások egyesítő elemzőihez.

Elemzési paraméterek szűrése

A riasztáselemzők különböző szűrési paramétereket támogatnak a lekérdezési teljesítmény javítása érdekében. Ezek a paraméterek nem kötelezőek, de növelhetik a lekérdezés teljesítményét. A következő szűrési paraméterek érhetők el:

Név Típus Leírás
indítási idő dátum/idő Szűrjön csak azokat a riasztásokat, amelyek ekkor vagy azt követően kezdődtek.
endtime dátum/idő Szűrjön csak azokat a riasztásokat, amelyek ekkor vagy azt megelőzően kezdődtek.
ipaddr_has_any_prefix dinamikus Csak olyan riasztások szűrése, amelyeknél a DvcIpAddr mező a felsorolt értékek egyikében található.
hostname_has_any dinamikus Csak olyan riasztások szűrése, amelyeknél a "DvcHostname" mező a felsorolt értékek egyikében található.
username_has_any dinamikus Csak olyan riasztások szűrése, amelyeknél a "Felhasználónév" mező szerepel a felsorolt értékek egyikében.
attacktactics_has_any dinamikus Csak olyan riasztások szűrése, amelyeknél az "AttackTactics" mező a felsorolt értékek egyikében található.
attacktechniques_has_any dinamikus Csak olyan riasztások szűrése, amelyeknél az "AttackTechniques" mező a felsorolt értékek egyikében található.
threatcategory_has_any dinamikus Csak olyan riasztások szűrése, amelyeknél a "ThreatCategory" mező a felsorolt értékek egyikében található.
alertverdict_has_any dinamikus Csak olyan riasztások szűrése, amelyeknél a "AlertVerdict" mező a felsorolt értékek egyikében található.
eventseverity_has_any dinamikus Csak olyan riasztások szűrése, amelyeknél az "EventSeverity" mező a felsorolt értékek egyikében található.

Séma áttekintése

A riasztási séma számos biztonsági eseményt szolgál ki, amelyek azonos mezőkkel osztoznak. Ezeket az eseményeket az EventType mező azonosítja:

  • Fenyegetésekkel kapcsolatos információk: Különböző típusú rosszindulatú tevékenységekhez, például kártevőkhez, adathalászathoz, zsarolóprogramokhoz és egyéb kiberfenyegetésekhez kapcsolódó riasztások.
  • Gyanús tevékenységek: Olyan tevékenységekre vonatkozó riasztások, amelyek nem feltétlenül megerősített fenyegetést jelentenek, de gyanúsak, és további vizsgálatot tesznek szükségessé, például több sikertelen bejelentkezési kísérlet vagy korlátozott fájlokhoz való hozzáférés.
  • Felhasználói viselkedés rendellenességei: Szokatlan vagy váratlan felhasználói viselkedést jelző riasztások, amelyek biztonsági problémát jelezhetnek, például rendellenes bejelentkezési időket vagy szokatlan adathozzáférési mintákat.
  • Megfelelőségi szabálysértések: A szabályozási vagy belső szabályzatok meg nem felelésével kapcsolatos riasztások. Például egy nyílt nyilvános portokkal rendelkező virtuális gép sebezhető a támadásoknak (Cloud Security Alert).

Fontos

A riasztási séma relevanciájának és hatékonyságának megőrzése érdekében csak a biztonsággal kapcsolatos riasztásokat kell leképezni.

A riasztási séma a következő entitásokra hivatkozik a riasztás részleteinek rögzítéséhez:

  • A dvc mezőkkel rögzíthetők a riasztáshoz társított gazdagép vagy IP-cím adatai
  • A felhasználói mezők a riasztáshoz társított felhasználó adatait rögzítik.
  • Hasonlóképpen a Folyamat, a Fájl, az URL, a Beállításjegyzék és az E-mail mezők is csak a riasztáshoz társított folyamat, fájl, URL-cím, beállításjegyzék és e-mail kulcsadatainak rögzítésére szolgálnak.

Fontos

  • Termékspecifikus elemző létrehozásakor használja az ASIM riasztási sémát, ha a riasztás egy biztonsági incidenssel vagy potenciális fenyegetéssel kapcsolatos információkat tartalmaz, és az elsődleges adatok közvetlenül leképezhetők az elérhető riasztási sémamezőkre. A riasztási séma ideális az összefoglaló információk átfogó entitásspecifikus mezők nélküli rögzítéséhez.
  • Ha azonban úgy találja, hogy a közvetlen mező egyezések hiánya miatt az alapvető mezőket az "AdditionalFields"-ben helyezi el, fontolja meg egy speciálisabb sémát. Ha például egy riasztás olyan hálózattal kapcsolatos adatokat tartalmaz, mint például több IP-cím, például SrcIpAdr, DstIpAddr, PortNumber stb., akkor a NetworkSession sémát a riasztási sémán keresztül választhatja. A specializált sémák dedikált mezőket is biztosítanak a fenyegetésekkel kapcsolatos információk rögzítéséhez, az adatminőség javításához és a hatékony elemzés megkönnyítéséhez.

Séma részletei

Gyakori ASIM-mezők

Az alábbi lista azokat a mezőket sorolja fel, amelyek speciális irányelvekkel rendelkeznek a riasztási eseményekhez:

Mező Osztály Típus Leírás
EventType Kötelező Enumerated Az esemény típusa.

A támogatott értékek a következők:
-Alert
EventSubType Ajánlott Enumerated A riasztási esemény altípusát vagy kategóriáját adja meg, amely részletesebb információt nyújt a szélesebb körű eseménybesoroláson belül. Ez a mező segít megkülönböztetni az észlelt probléma jellegét, javítva az incidensek rangsorolását és a válaszstratégiát.

A támogatott értékek a következők:
- Threat (Megerősített vagy nagy valószínűséggel rosszindulatú tevékenységet jelöl, amely veszélyeztetheti a rendszert vagy a hálózatot)
- Suspicious Activity (Szokatlannak vagy gyanúsnak tűnő viselkedést vagy eseményeket jelöl, bár még nem erősítették meg rosszindulatúként)
- Anomaly (A normál mintáktól való eltéréseket azonosítja, amelyek potenciális biztonsági kockázatot vagy működési problémát jelezhetnek)
- Compliance Violation (Kiemeli a szabályozási, szabályzati vagy megfelelőségi szabványokat sértő tevékenységeket)
EventUid Kötelező húr Géppel olvasható alfanumerikus sztring, amely egyedileg azonosít egy riasztást egy rendszeren belül.
például: A1bC2dE3fH4iJ5kL6mN7oP8qR9s
EventMessage Választható húr Részletes információk a riasztásról, beleértve annak kontextusát, okát és lehetséges hatását.
például: Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets.
IpAddr Alias A mező aliasa vagy rövid neve DvcIpAddr .
Állomásnév Alias A mező aliasa vagy rövid neve DvcHostname .
EventSchema Kötelező húr Az eseményhez használt séma. Az itt dokumentált séma a következő AlertEvent: .
EventSchemaVersion Kötelező húr A séma verziója. Az itt dokumentált séma verziója.0.1

Minden gyakori mező

Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további információkért tekintse meg az ASIM Common Fields cikket.

Osztály Mezők
Kötelező - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventUid
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
Ajánlott - EventSubType
- EventSeverity
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
Választható - EventMessage
- EventOriginalType
- EventOriginalSubType
- EventOriginalSeverity
- EventProductVersion
- EventOriginalUid
- EventReportUrl
- EventResult
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcAction
- DvcOriginalAction
- DvcInterface
- További mezők
- DvcDescription
- DvcScopeId
- DvcScope

Vizsgálati mezők

Az alábbi táblázat azokat a mezőket ismerteti, amelyek kritikus betekintést nyújtanak a riasztásokkal kapcsolatos szabályokba és fenyegetésekbe. Ezek együttesen segítenek a riasztás kontextusának bővítésében, így a biztonsági elemzők könnyebben megérthetik a riasztás eredetét és jelentőségét.

Mező Osztály Típus Leírás
AlertId Alias húr A mező aliasa vagy rövid neve EventUid .
AlertName Ajánlott húr A riasztás címe vagy neve.
például: Possible use of the Rubeus kerberoasting tool
AlertDescription Alias húr A mező aliasa vagy rövid neve EventMessage .
AlertVerdict Választható Enumerated A riasztás végleges meghatározása vagy eredménye, amely azt jelzi, hogy a riasztás fenyegetésként lett-e megerősítve, gyanúsnak minősült vagy hamis pozitívként lett-e feloldva.

A támogatott értékek a következők:
- True Positive (Megbízható fenyegetésként megerősítve)
- False Positive (Helytelenül fenyegetésként azonosítva)
- Benign Positive (ha az esemény ártalmatlannak minősül)
- Unknown (Bizonytalan vagy meghatározatlan állapot)
AlertStatus Választható Enumerated A riasztás aktuális állapotát vagy állapotát jelzi.

A támogatott értékek a következők:
- Active
- Closed
AlertOriginalStatus Választható húr A riasztás állapota a kiinduló rendszer által jelentett módon.
DetectionMethod Választható Enumerated Részletes információkat nyújt a riasztás generálásához hozzájáruló konkrét észlelési módszerről, technológiáról vagy adatforrásról. Ez a mező nagyobb betekintést nyújt a riasztás észlelésének vagy aktiválásának módjába, segítve az észlelési környezet és a megbízhatóság megértését.

A támogatott értékek a következők:
- EDR: Végpontészlelési és válaszrendszerek, amelyek a fenyegetések azonosítása érdekében figyelik és elemzik a végponttevékenységeket.
- Behavioral Analytics: Olyan technikák, amelyek rendellenes mintázatokat észlelnek a felhasználó, az eszköz vagy a rendszer viselkedésében.
- Reputation: Fenyegetésészlelés az IP-címek, tartományok vagy fájlok hírneve alapján.
- Threat Intelligence: Külső vagy belsőintelligencia-hírcsatornák, amelyek adatokat szolgáltatnak az ismert fenyegetésekről vagy támadó taktikákról.
- Intrusion Detection: A hálózati forgalmat vagy a behatolások vagy támadások jeleit figyelő rendszerek.
- Automated Investigation: Automatizált rendszerek, amelyek riasztásokat elemeznek és vizsgálnak, csökkentve a manuális számítási feladatokat.
- Antivirus: Hagyományos víruskereső motorok, amelyek aláírások és heurisztika alapján észlelik a kártevőket.
- Data Loss Prevention: A jogosulatlan adatátvitel vagy szivárgás megelőzésére összpontosító megoldások.
- User Defined Blocked List: A felhasználók által meghatározott egyéni listák adott IP-címek, tartományok vagy fájlok letiltásához.
- Cloud Security Posture Management: Olyan eszközök, amelyek a biztonsági kockázatokat értékelik és kezelik a felhőkörnyezetekben.
- Cloud Application Security: Felhőalkalmazásokat és adatokat biztonságossá tevő megoldások.
- Scheduled Alerts: Előre meghatározott ütemezések vagy küszöbértékek alapján létrehozott riasztások.
- Other: A fenti kategóriák által nem érintett egyéb észlelési módszerek.
Szabály Alias húr A RuleName vagy a RuleNumber értéke. Ha a RuleNumber értékét használja, a típust sztringgé kell konvertálni.
RuleNumber Választható egész A riasztáshoz társított szabály száma.

például: 123456
RuleName Választható húr A riasztáshoz társított szabály neve vagy azonosítója.

például: Server PSEXEC Execution via Remote Access
Szabálydescription Választható húr A riasztáshoz társított szabály leírása.

például: This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network
ThreatId Választható húr A riasztásban azonosított fenyegetés vagy kártevő azonosítója.

például: 1234567891011121314
ThreatName Választható húr A riasztásban azonosított fenyegetés vagy kártevő neve.

például: Init.exe
ThreatFirstReportedTime Választható dátum/idő A fenyegetés első bejelentésének dátuma és időpontja.

például: 2024-09-19T10:12:10.0000000Z
ThreatLastReportedTime Választható dátum/idő A fenyegetés legutóbbi bejelentésének dátuma és időpontja.

például: 2024-09-19T10:12:10.0000000Z
ThreatCategory Ajánlott Enumerated A riasztásban azonosított fenyegetés vagy kártevők kategóriája.

Támogatott értékek: Malware, Ransomware, Trojan, Virus, Worm, Adware, Spyware, Rootkit, Cryptominor, , Phishing, , MaliciousUrlSpoofingSecurity Policy ViolationSpamUnknown
ThreatOriginalCategory Választható húr A fenyegetésnek a kiindulási rendszer által jelentett kategóriája.
ThreatIsActive Választható logikai Azt jelzi, hogy a fenyegetés jelenleg aktív-e.

A támogatott értékek a következők: True, False
ThreatRiskLevel Választható egész A fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie.

Megjegyzés: Előfordulhat, hogy az érték egy másik skálával jelenik meg a forrásrekordban, amelyet erre a skálára kell normalizálni. Az eredeti értéket a ThreatRiskLevelOriginal fájlban kell tárolni.
ThreatOriginalRiskLevel Választható húr A kiinduló rendszer által jelentett kockázati szint.
ThreatConfidence Választható egész A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva.
ThreatOriginalConfidence Választható húr A kiindulási rendszer által jelentett megbízhatósági szint.
IndicatorType Ajánlott Enumerated A mutató típusa vagy kategóriája

A támogatott értékek a következők:
-Ip
-User
-Process
-Registry
-Url
-Host
-Cloud Resource
-Application
-File
-Email
-Mailbox
-Logon Session
IndicatorAssociation Választható Enumerated Megadja, hogy a mutató a fenyegetéshez van-e társítva, vagy közvetlenül hatással van-e gombra.

A támogatott értékek a következők:
-Associated
-Targeted
AttackTactics Ajánlott húr A riasztáshoz társított támadási taktikák (név, azonosító vagy mindkettő).
Előnyben részesített formátum:

például: Persistence, Privilege Escalation
AttackTechniques Ajánlott húr A riasztáshoz társított támadási technikák (név, azonosító vagy mindkettő).
Előnyben részesített formátum:

például: Local Groups (T1069.001), Domain Groups (T1069.002)
AttackRemediationSteps Ajánlott húr Az azonosított támadás vagy fenyegetés mérséklésére vagy elhárítására javasolt műveletek vagy lépések.
Például:
1. Make sure the machine is completely updated and all your software has the latest patch.
2. Contact your incident response team.

Felhasználói mezők

Ez a szakasz a riasztáshoz társított felhasználók azonosításához és besorolásához kapcsolódó mezőket határozza meg, így egyértelművé teszi az érintett felhasználót és az identitás formátumát. Ha a riasztás további, több felhasználóhoz kapcsolódó mezőt tartalmaz, amelyek túllépik az itt leképezett mezőket, megfontolhatja, hogy egy speciális séma, például a hitelesítési eseményséma megfelelőbb-e az adatok teljes megjelenítéséhez.

Mező Osztály Típus Leírás
UserId Választható húr A riasztáshoz társított felhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása.

például: A1bC2dE3fH4iJ5kL6mN7o
UserIdType Feltételes Enumerated A felhasználói azonosító típusa, például GUID: , SIDvagy Email.

A támogatott értékek a következők:
- GUID
- SID
- Email
- Username
- Phone
- Other
Felhasználónév Ajánlott húr A riasztáshoz társított felhasználó neve, beleértve a tartományinformációkat is, ha elérhető.

például vagy Contoso\JSmithjohn.smith@contoso.com
Felhasználó Alias húr A mező aliasa vagy rövid neve Username .
UsernameType Feltételes UsernameType A mezőben tárolt Username felhasználónév típusát adja meg. További információ és az engedélyezett értékek listája: UsernameType a Séma áttekintése című cikkben.

például: Windows
UserType Választható UserType Az Aktor típusa. További információ és az engedélyezett értékek listája: UserType a Séma áttekintése című cikkben.

például: Guest
OriginalUserType Választható húr A felhasználó típusa a jelentéskészítő eszköz által jelentett módon.
UserSessionId Választható húr A felhasználó riasztáshoz társított munkamenetének egyedi azonosítója.

például: a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u
UserScopeId Választható húr A hatókör azonosítója, például a Microsoft Entra Directory azonosítója, amelyben a UserId és a Felhasználónév definiálva van.

például: a1bc2de3-fh4i-j5kl-6mn7-op8qrs
UserScope Választható húr A hatókör, például a Microsoft Entra-bérlő, amelyben a UserId és a Felhasználónév definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben.

például: Contoso Directory

Folyamatmezők

Ez a szakasz lehetővé teszi a riasztásban részt vevő folyamatentitások adatainak rögzítését a megadott mezők használatával. Ha a riasztás további, részletes folyamattal kapcsolatos mezőket tartalmaz, amelyek túllépik az itt leképezett mezőket, megfontolhatja, hogy egy speciális séma, például a folyamatesemény-séma megfelelőbb lehet-e az adatok teljes megjelenítéséhez.

Mező Osztály Típus Leírás
ProcessId Választható húr A riasztáshoz társított folyamatazonosító (PID).

például: 12345678
ProcessCommandLine Választható húr A folyamat elindításához használt parancssor.

például: "choco.exe" -v
ProcessName Választható húr A folyamat neve.

például: C:\Windows\explorer.exe
ProcessFileCompany Választható húr A folyamat képfájlját létrehozó vállalat.

például: Microsoft

Fájlmezők

Ez a szakasz lehetővé teszi a riasztásban részt vevő fájlentitások adatainak rögzítését. Ha a riasztás további, részletes fájlokkal kapcsolatos mezőket tartalmaz, amelyek túllépik az itt leképezett mezőket, megfontolhatja, hogy egy speciális séma, például a Fájlesemény séma megfelelőbb lehet-e az adatok teljes megjelenítéséhez.

Mező Osztály Típus Leírás
Fájlnév Választható húr A riasztáshoz társított fájl neve elérési út vagy hely nélkül.

például: Notepad.exe
FilePath Választható húr a célfájl teljes, normalizált elérési útja, beleértve a mappát vagy helyet, a fájl nevét és a bővítményt.

például: C:\Windows\System32\notepad.exe
FileSHA1 Választható húr A fájl SHA1 kivonata.

például: j5kl6mn7op8qr9st0uv1
FileSHA256 Választható húr A fájl SHA256 kivonata.

például: a1bc2de3fh4ij5kl6mn7op8qrs2de3
FileMD5 Választható húr A fájl MD5 kivonata.

például: j5kl6mn7op8qr9st0uv1wx2yz3ab4c
Fájlméret Választható hosszú A fájl mérete bájtban.

például: 123456

URL-mező

Ha a riasztás tartalmaz információkat az URL-entitásról, az alábbi mezők rögzíthetik az URL-sel kapcsolatos adatokat.

Mező Osztály Típus Leírás
URL-cím Választható húr A riasztásban rögzített URL-sztring.

például: https://contoso.com/fo/?k=v&amp;q=u#f

Beállításjegyzék-mezők

Ha a riasztás tartalmazza a beállításjegyzék-entitás adatait, az alábbi mezőkkel rögzíthet meghatározott beállításjegyzék-információkat.

Mező Osztály Típus Leírás
Beállításkulcs Választható húr A riasztáshoz társított beállításkulcs, amely normál gyökérkulcs-elnevezési konvenciókra van normalizálva.

például: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue Választható húr Beállításjegyzék-érték.

például: ImagePath
RegistryValueData Választható húr A beállításjegyzék-érték adatai.

például: C:\Windows\system32;C:\Windows;
RegistryValueType Választható Enumerated A beállításjegyzék-érték típusa.

például: Reg_Expand_Sz

E-mail mezők

Ha a riasztás tartalmaz információkat az e-mail entitásról, az alábbi mezők használatával rögzítheti az e-mailekkel kapcsolatos konkrét adatokat.

Mező Osztály Típus Leírás
EmailMessageId Választható húr A riasztáshoz társított e-mail egyedi azonosítója.

például: Request for Invoice Access
EmailSubject Választható húr Az e-mail tárgya.

például: j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c

Sémafrissítések

A séma különböző verzióinak változásai a következők:

  • 0.1-es verzió: Kezdeti kiadás.