Az Advanced Security Information Model (ASIM) naplózási események normalizálási sémájának referenciája (nyilvános előzetes verzió)
A Microsoft Sentinel auditesemények normalizálási sémája az információs rendszerek naplózási nyomvonalához kapcsolódó eseményeket jelöli. Az auditnapló naplózza a rendszerkonfigurációs tevékenységeket és a szabályzat módosításait. Ezeket a módosításokat gyakran a rendszergazdák hajtják végre, de a felhasználók saját alkalmazásuk beállításainak konfigurálásakor is végrehajthatják őket.
Minden rendszer naplózza az eseményeket az alapvető tevékenységnaplók mellett. A tűzfal például naplózza a hálózati munkamenetek eseményeit, és naplózza a tűzfalra alkalmazott konfigurációs módosításokat.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.
Fontos
A naplózási esemény normalizálási sémája jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el. Éles számítási feladatokhoz nem javasoljuk.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Séma áttekintése
A naplózási esemény fő mezői a következők:
- Az objektum, amely lehet például egy felügyelt erőforrás vagy szabályzatszabály, amelyre az esemény összpontosít, és amelyet az Objektum mező jelöl. Az ObjectType mező az objektum típusát határozza meg.
- Az objektum alkalmazáskörnyezete, amelyet az Alkalmazás által aliasolt TargetAppName mező jelöl.
- Az objektumon végrehajtott művelet, amelyet az EventType és a Művelet mező jelöl. Bár a művelet a jelentett forrás értéke, az EventType egy normalizált verzió, amely a források között konzisztensebb.
- Az objektum régi és új értékei, ha vannak, az OldValue és a NewValue értékeket jelölik.
A naplózási események a konfigurációs műveletben részt vevő alábbi entitásokra is hivatkoznak:
- Színész – A konfigurációs műveletet végrehajtó felhasználó.
- TargetApp – Az az alkalmazás vagy rendszer, amelyre a konfigurációs művelet vonatkozik.
- Cél – Az a rendszer, amelyen a TargetApp* fut.
- ActingApp – Az Aktor által a konfigurációs művelet végrehajtásához használt alkalmazás.
- Src – Az Aktor által a konfigurációs művelet elindításához használt rendszer, ha eltér a Céltól.
A leírót Dvc a jelentéskészítő eszközhöz használják, amely a végpont által jelentett munkamenetek helyi rendszere, más esetekben pedig a közvetítő vagy a biztonsági eszköz.
Elemzők
Naplózási események elemzőinek üzembe helyezése és használata
Az ASIM-naplózási események elemzőinek üzembe helyezése a Microsoft Sentinel GitHub-adattárból. Az összes naplózási eseményforrás lekérdezéséhez használja az egyesítő elemzőt imAuditEvent táblanévként a lekérdezésben.
Az ASIM-elemzők használatáról további információt az ASIM-elemzők áttekintésében talál. A Microsoft Sentinel által a naplózási eseményelemzők listájához elérhető az ASIM-elemzők listája
Saját normalizált elemzők hozzáadása
A fájlesemény-információs modell egyéni elemzőinek implementálásakor nevezze el a KQL-függvényeket a következő szintaxissal: imAuditEvent<vendor><Product>. Az ASIM-elemzők kezelésével foglalkozó cikkből megtudhatja, hogyan adhat hozzá egyéni elemzőket a naplózási eseményegyesítési elemzőhöz.
Szűrőelemző paraméterek
A naplózási események elemzői támogatják a szűrési paramétereket. Bár ezek a paraméterek nem kötelezőek, javíthatják a lekérdezés teljesítményét.
A következő szűrési paraméterek érhetők el:
| Név | Típus | Leírás |
|---|---|---|
| indítási idő | dátum/idő | Szűrjön csak azokat az eseményeket, amelyek az adott időpontban vagy után futottak. Ez a paraméter a TimeGenerated mezőt használja az esemény időtervezőjeként. |
| endtime | dátum/idő | Csak azokat az esemény-lekérdezéseket szűrje, amelyek ekkor vagy azt megelőzően futottak. Ez a paraméter a TimeGenerated mezőt használja az esemény időtervezőjeként. |
| srcipaddr_has_any_prefix | dinamikus | Csak a forrás IP-címéből származó események szűrése az SrcIpAddr mezőben látható módon. |
| eventtype_in | húr | Csak azokat az eseményeket szűrheti, amelyekben az Eseménytípus mezőben szereplő eseménytípus a megadott feltételek bármelyike. |
| eventresult | húr | Szűrjön csak olyan eseményeket, amelyekben az Eseményresult mezőben szereplő esemény eredménye megegyezik a paraméter értékével. |
| actorusername_has_any | dinamikus/sztring | Csak olyan események szűrése, amelyekben az ActorUsername tartalmazza a megadott kifejezéseket. |
| operation_has_any | dinamikus/sztring | Csak olyan események szűrése, amelyekben a Művelet mező a megadott feltételek bármelyikét tartalmazza. |
| object_has_any | dinamikus/sztring | Csak olyan események szűrése, amelyekben az Objektum mező a megadott feltételek bármelyikét tartalmazza. |
| newvalue_has_any | dinamikus/sztring | Csak olyan események szűrése, amelyekben a NewValue mező tartalmazza a megadott kifejezéseket. |
Egyes paraméterek a típusértékek dynamic listáját vagy egy sztringértéket is elfogadnak. Ha egy konstanslistát dinamikus értéket váró paramétereknek szeretne átadni, használjon explicit módon egy dinamikus literált. Például: dynamic(['192.168.','10.'])
Ha például csak a feltételekkel install vagy updatea Művelet mezőben szereplő naplózási eseményeket szeretné szűrni az elmúlt napból, használja a következőt:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Séma részletei
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők konkrét irányelvekkel
Az alábbi lista olyan mezőket említ, amelyek a naplózási eseményekre vonatkozó konkrét irányelvekkel rendelkeznek:
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| EventType | Kötelező | Enumerated | Az esemény által normalizált érték használatával naplózott műveletet ismerteti. Az EventSubType használatával további részleteket adhat meg, amelyeket a normalizált érték nem közvetít, és a művelet. a műveletet a jelentéskészítő eszköz által jelentett módon tárolja. A naplózási eseményrekordok esetében az engedélyezett értékek a következők: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other A naplózási események számos különféle műveletet jelentenek, és az érték lehetővé teszi a Other megfeleltetés EventTypenélküli leképezési műveleteket. A használat Other azonban korlátozza az esemény használhatóságát, és lehetőség szerint kerülni kell. |
| EventSubType | Választható | Sztring | További részletekkel szolgál, amelyeket az EventType normalizált értéke nem közvetít. |
| EventSchema | Kötelező | Sztring | Az itt dokumentált séma neve.AuditEvent |
| EventSchemaVersion | Kötelező | Sztring | A séma verziója. Az itt dokumentált séma verziója.0.1 |
Minden gyakori mező
A táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A dokumentumban megadott irányelvek felülírják a mezőre vonatkozó általános irányelveket. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további információkért tekintse meg az ASIM Common Fields című cikket.
| Osztály | Mezők |
|---|---|
| Kötelező |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Választható |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Naplózási mezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Művelet | Kötelező | Sztring | A jelentéskészítő eszköz által jelentett módon naplózott művelet. |
| Objektum | Kötelező | Sztring | Annak az objektumnak a neve, amelyen az EventType által azonosított művelet végrehajtása történik. |
| ObjectType | Kötelező | Enumerated | Az objektum típusa. Az engedélyezett értékek a következők: - Cloud Resource- Configuration Atom- Policy Rule-Más |
| OldValue | Választható | Sztring | A művelet előtti objektum régi értéke, ha van ilyen. |
| NewValue | Választható | Sztring | Az objektum új értéke a művelet végrehajtása után, ha van ilyen. |
| Érték | Alias | Alias – NewValue | |
| ValueType | Feltételes | Enumerated | A régi és az új értékek típusa. Az engedélyezett értékek a következők: -Más |
Aktormezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| ActorUserId | Választható | Sztring | Az Aktor géppel olvasható, alfanumerikus, egyedi ábrázolása. További információkért és más azonosítók alternatív mezőiért lásd a Felhasználó entitást. Példa: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Választható | Sztring | A hatókör, például a Microsoft Entra tartománynév, amelyben az ActorUserId és az ActorUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
| ActorScopeId | Választható | Sztring | A hatókör azonosítója, például a Microsoft Entra Directory azonosítója, amelyben az ActorUserId és az ActorUsername definiálva van. További információ és az engedélyezett értékek listája: UserScopeId a Séma áttekintése című cikkben. |
| ActorUserIdType | Feltételes | UserIdType | Az ActorUserId mezőben tárolt azonosító típusa. További információ és az engedélyezett értékek listája: UserIdType a Séma áttekintése című cikkben. |
| ActorUsername | Ajánlott | Felhasználónév | Az Aktor felhasználóneve, beleértve a tartományinformációkat is, ha elérhető. További információt a Felhasználó entitás című témakörben talál. Példa: AlbertE |
| Felhasználó | Alias | Alias – ActorUsername | |
| ActorUsernameType | Feltételes | UsernameType | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. További információ és az engedélyezett értékek listája: UsernameType a Séma áttekintése című cikkben. Példa: Windows |
| ActorUserType | Választható | UserType | Az Aktor típusa. További információ és az engedélyezett értékek listája: UserType a Séma áttekintése című cikkben. Például: Guest |
| AktorOriginalUserType | Választható | UserType | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
| ActorSessionId | Választható | Sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. Példa: 102pTUgC3p8RIqHvzxLCHnFlg |
Célalkalmazás mezői
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| TargetAppId | Választható | Sztring | Annak az alkalmazásnak az azonosítója, amelyre az esemény vonatkozik, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. Példa: 89162 |
| TargetAppName | Választható | Sztring | Annak az alkalmazásnak a neve, amelyre az esemény vonatkozik, beleértve a szolgáltatást, egy URL-címet vagy egy SaaS-alkalmazást. Példa: Exchange 365 |
| Alkalmazás | Alias | Alias – TargetAppName | |
| TargetAppType | Választható | AppType | Az Aktor nevében engedélyező alkalmazás típusa. További információ és az értékek engedélyezett listája: AppType a Séma áttekintése című cikkben. |
| TargetUrl | Választható | URL-cím | A célalkalmazáshoz társított URL-cím. Példa: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Célrendszermezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Dst | Alias | Sztring | A hitelesítési cél egyedi azonosítója. Ez a mező aliasként használhatja a TargetDvcId, a TargetHostname, a TargetIpAddr, a TargetAppId vagy a TargetAppName mezőket. Példa: 192.168.12.1 |
| TargetHostname | Ajánlott | Hostname (Gazdanév) | A céleszköz állomásneve, a tartományadatok kivételével. Példa: DESKTOP-1282V4D |
| TargetDomain | Ajánlott | Sztring | A céleszköz tartománya. Példa: Contoso |
| TargetDomainType | Feltételes | Enumerated | A TargetDomain típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DomainType témakört a Séma áttekintése című cikkben. A TargetDomain használata esetén kötelező megadni. |
| TargetFQDN | Választható | Sztring | A céleszköz állomásneve, beleértve a tartományinformációkat, ha elérhetőek. Példa: Contoso\DESKTOP-1282V4D Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. A TargetDomainType a használt formátumot tükrözi. |
| TargetDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
| TargetDvcId | Választható | Sztring | A céleszköz azonosítója. Ha több azonosító is elérhető, használja a legfontosabbat, és tárolja a többit a mezőkben TargetDvc<DvcIdType>. Példa: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A TargetDvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| TargetDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A TargetDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| TargetDvcIdType | Feltételes | Enumerated | A TargetDvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t a Séma áttekintése című cikkben. A TargetDeviceId használata esetén kötelező megadni. |
| TargetDeviceType | Választható | Enumerated | A céleszköz típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DeviceType-t a Séma áttekintése című cikkben. |
| TargetIpAddr | Választható | IP Address | A céleszköz IP-címe. Példa: 2.2.2.2 |
| TargetDvcOs | Választható | Sztring | A céleszköz operációs rendszere. Példa: Windows 10 |
| TargetPortNumber | Választható | Egész | A céleszköz portja. |
Eljáró alkalmazásmezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| ActingAppId | Választható | Sztring | A jelentett tevékenységet kezdeményező alkalmazás azonosítója, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. Például: 0x12ae8 |
| ActiveAppName | Választható | Sztring | A jelentett tevékenységet kezdeményező alkalmazás neve, beleértve a szolgáltatást, egy URL-címet vagy egy SaaS-alkalmazást. Például: C:\Windows\System32\svchost.exe |
| ActingAppType | Választható | AppType | Az eljáró alkalmazás típusa. További információ és az értékek engedélyezett listája: AppType a Séma áttekintése című cikkben. |
| HttpUserAgent | Választható | Sztring | Ha a hitelesítés HTTP-en vagy HTTPS-en keresztül történik, a mező értéke az user_agent HTTP-fejléc, amelyet az eljáró alkalmazás biztosít a hitelesítés végrehajtásakor. Például: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Forrásrendszermezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Src | Alias | Sztring | A forráseszköz egyedi azonosítója. Ez a mező aliasa lehet az SrcDvcId, az SrcHostname vagy a SrcIpAddr mező. Példa: 192.168.12.1 |
| SrcIpAddr | Ajánlott | IP-cím | Az IP-cím, amelyről a kapcsolat vagy a munkamenet származik. Példa: 77.138.103.108 |
| IpAddr | Alias | Alias a SrcIpAddrhez vagy a TargetIpAddrhez, ha a SrcIpAddr nincs megadva. | |
| SrcPortNumber | Választható | Egész | Az IP-port, ahonnan a kapcsolat származik. Lehet, hogy nem releváns több kapcsolatot tartalmazó munkamenet esetén. Példa: 2335 |
| SrcHostname | Ajánlott | Hostname (Gazdanév) | A forráseszköz gazdagépneve, a tartományinformációk kivételével. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet. Példa: DESKTOP-1282V4D |
| SrcDomain | Ajánlott | Sztring | A forráseszköz tartománya. Példa: Contoso |
| SrcDomainType | Feltételes | DomainType | A SrcDomain típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DomainType témakört a Séma áttekintése című cikkben. A SrcDomain használata esetén kötelező megadni. |
| SrcFQDN | Választható | Sztring | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. Az SrcDomainType mező a használt formátumot tükrözi. Példa: Contoso\DESKTOP-1282V4D |
| SrcDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
| SrcDvcId | Választható | Sztring | A forráseszköz azonosítója. Ha több azonosító is elérhető, használja a legfontosabbat, és tárolja a többit a mezőkben SrcDvc<DvcIdType>.Példa: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Az SrcDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| SrcDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| SrcDvcIdType | Feltételes | DvcIdType | Az SrcDvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t a Séma áttekintése című cikkben. Megjegyzés: Ez a mező SrcDvcId használata esetén kötelező. |
| SrcDeviceType | Választható | DeviceType | A forráseszköz típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DeviceType-t a Séma áttekintése című cikkben. |
| SrcSubscriptionId | Választható | Sztring | A felhőplatform-előfizetés azonosítója, amelyhez a forráseszköz tartozik. SrcSubscriptionId-leképezés az Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra. |
| SrcGeoCountry | Választható | Ország | A forrás IP-címéhez társított ország/régió. Példa: USA |
| SrcGeoRegion | Választható | Régió | A forrás IP-címhez társított országon/régión belüli régió. Példa: Vermont |
| SrcGeoCity | Választható | Város | A forrás IP-címéhez társított város. Példa: Burlington |
| SrcGeoLatitude | Választható | Latitude | A forrás IP-címhez társított földrajzi koordináták szélessége. Példa: 44.475833 |
| SrcGeoLongitude | Választható | Longitude | A forrás IP-címhez társított földrajzi koordináták hosszúsága. Példa: 73.211944 |
Vizsgálati mezők
A rendszer a következő mezőket használja a biztonsági rendszer által végzett ellenőrzés ábrázolására.
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| RuleName | Választható | Sztring | A szabály neve vagy azonosítója a vizsgálati eredményekhez társítva. |
| RuleNumber | Választható | Egész | A vizsgálati eredményekhez társított szabály száma. |
| Szabály | Alias | Sztring | A RuleName vagy a RuleNumber értéke. Ha a RuleNumber értékét használja, a típust sztringgé kell konvertálni. |
| ThreatId | Választható | Sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
| ThreatName | Választható | Sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő neve. |
| ThreatCategory | Választható | Sztring | A naplózási fájltevékenységben azonosított fenyegetés vagy kártevők kategóriája. |
| ThreatRiskLevel | Választható | Egész | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. Megjegyzés: Előfordulhat, hogy az érték egy másik skálával jelenik meg a forrásrekordban, amelyet erre a skálára kell normalizálni. Az eredeti értéket a ThreatRiskLevelOriginal fájlban kell tárolni. |
| ThreatOriginalRiskLevel | Választható | Sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
| ThreatConfidence | Választható | Egész | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| ThreatOriginalConfidence | Választható | Sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
| ThreatIsActive | Választható | Logikai | Igaz, ha az azonosított fenyegetés aktív fenyegetésnek minősül. |
| ThreatFirstReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
| ThreatLastReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
| ThreatIpAddr | Választható | IP Address | Egy IP-cím, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatIpAddr által képviselt mező nevét tartalmazza. |
| ThreatField | Választható | Enumerated | Az a mező, amelyhez fenyegetést azonosítottak. Az érték vagy SrcIpAddrTargetIpAddr. |
Következő lépések
További információk: