다음을 통해 공유


ASIM(고급 보안 정보 모델) 경고 스키마 참조

Microsoft Sentinel 경고 스키마는 다양한 제품의 보안 관련 경고를 ASIM(Microsoft Advanced Security Information Model) 내에서 표준화된 형식으로 정규화하도록 설계되었습니다. 이 스키마는 보안 이벤트에만 중점을 두어 다양한 데이터 원본에서 일관되고 효율적인 분석을 보장합니다.

경고 스키마는 위협, 의심스러운 활동, 사용자 동작 이상 및 규정 준수 위반과 같은 다양한 유형의 보안 경고를 나타냅니다. 이러한 경고는 EDR, 바이러스 백신 소프트웨어, 침입 탐지 시스템, 데이터 손실 방지 도구 등을 포함하지만 이에 국한되지 않는 다양한 보안 제품 및 시스템에 의해 보고됩니다.

Microsoft Sentinel의 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.

Important

경고 정규화 스키마는 현재 미리 보기로 제공됩니다. 해당 기능은 별도의 서비스 수준 규약 없이 이용할 수 있습니다. 프로덕션 워크로드에는 권장하지 않습니다.

Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

파서

ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요.

파서 통합

모든 ASIM 기본 파서를 통합하고 구성된 모든 원본에서 분석이 실행되도록 하는 파서를 사용하려면 필터링 파서 또는 _ASim_AlertEvent 매개 변수가 없는 파서를 사용합니다_Im_AlertEvent. 또한 Microsoft Sentinel GitHub 리포지토리에서 배포하여 작업 영역에 배포된 imAlertEventASimAlertEvent 파서를 사용할 수 있습니다.

자세한 내용은 기본 제공 ASIM 파서 및 작업 영역 배포 파서를 참조하세요.

기본 제공 원본별 파서

Microsoft Sentinel에서 제공하는 경고 파서 목록은 ASIM 파서 목록을 참조하세요.

사용자 고유의 정규화된 파서 추가

경고 정보 모델에 대한 사용자 지정 파서를 개발할 때 다음 구문을 사용하여 KQL 함수의 이름을 지정합니다.

  • vimAlertEvent<vendor><Product> 매개 변수가 있는 파서의 경우
  • ASimAlertEvent<vendor><Product> - 일반 파서의 경우

경고 통합 파서에 사용자 지정 파서를 추가하는 방법을 알아보려면 ASIM 파서 관리 문서를 참조하세요.

파서 매개 변수 필터링

경고 파서는 쿼리 성능을 향상시키기 위해 다양한 필터링 매개 변수 를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다. 다음 필터링 매개 변수를 사용할 수 있습니다.

속성 형식 설명
starttime 날짜/시간 이 시간 이후에 시작된 경고만 필터링합니다.
endtime 날짜/시간 이 시간 또는 그 이전에 시작된 경고만 필터링합니다.
ipaddr_has_any_prefix dynamic 'DvcIpAddr' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다.
hostname_has_any dynamic 'DvcHostname' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다.
username_has_any dynamic '사용자 이름' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다.
attacktactics_has_any dynamic 'AttackTactics' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다.
attacktechniques_has_any dynamic 'AttackTechniques' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다.
threatcategory_has_any dynamic 'ThreatCategory' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다.
alertverdict_has_any dynamic 'AlertVerdict' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다.
eventseverity_has_any dynamic 'EventSeverity' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다.

스키마 개요

경고 스키마는 동일한 필드를 공유하는 여러 유형의 보안 이벤트를 제공합니다. 이러한 이벤트는 EventType 필드로 식별됩니다.

  • 위협 정보: 맬웨어, 피싱, 랜섬웨어 및 기타 사이버 위협과 같은 다양한 유형의 악성 활동과 관련된 경고입니다.
  • 의심스러운 활동: 반드시 확인된 위협은 아니지만 의심스럽고 여러 번의 로그인 시도 또는 제한된 파일에 대한 액세스와 같은 추가 조사를 보증하는 활동에 대한 경고입니다.
  • 사용자 동작 변칙: 비정상적인 로그인 시간 또는 비정상적인 데이터 액세스 패턴과 같은 보안 문제를 제안할 수 있는 비정상적이거나 예기치 않은 사용자 동작을 나타내는 경고입니다.
  • 규정 준수 위반: 규정 또는 내부 정책의 비준수와 관련된 경고입니다. 예를 들어 개방형 공용 포트로 노출된 VM은 공격에 취약합니다(클라우드 보안 경고).

Important

경고 스키마의 관련성과 효율성을 유지하려면 보안 관련 경고만 매핑해야 합니다.

경고 스키마는 다음 엔터티를 참조하여 경고에 대한 세부 정보를 캡처합니다.

  • Dvc 필드는 경고와 연결된 호스트 또는 IP에 대한 세부 정보를 캡처하는 데 사용됩니다.
  • 사용자 필드는 경고와 연결된 사용자에 대한 세부 정보를 캡처하는 데 사용됩니다.
  • 마찬가지로 프로세스, 파일, URL, 레지스트리 및 전자 메일 필드는 각각 경고와 연결된 프로세스, 파일, URL, 레지스트리 및 전자 메일에 대한 주요 세부 정보만 캡처하는 데 사용됩니다.

Important

  • 제품별 파서를 빌드할 때 경고에 보안 인시던트 또는 잠재적 위협에 대한 정보가 포함되어 있고 기본 세부 정보를 사용 가능한 경고 스키마 필드에 직접 매핑할 수 있는 경우 ASIM 경고 스키마를 사용합니다. 경고 스키마는 광범위한 엔터티별 필드 없이 요약 정보를 캡처하는 데 적합합니다.
  • 그러나 직접 필드 일치가 부족하여 'AdditionalFields'에 필수 필드를 배치하는 경우 보다 특수한 스키마를 고려합니다. 예를 들어 경고에 여러 IP 주소(예: SrcIpAdr, DstIpAddr, PortNumber 등)와 같은 네트워크 관련 세부 정보가 포함된 경우 경고 스키마를 통해 NetworkSession 스키마를 선택할 수 있습니다. 또한 특수 스키마는 위협 관련 정보를 캡처하고, 데이터 품질을 향상시키고, 효율적인 분석을 용이하게 하는 전용 필드를 제공합니다.

스키마 세부 정보

일반 ASIM 필드

다음 목록에서는 경고 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.

필드 클래스 Type 설명
EventType 필수 Enumerated 이벤트의 유형입니다.

지원되는 값은 다음과 같습니다.
-Alert
EventSubType 권장 Enumerated 경고 이벤트의 하위 유형 또는 범주를 지정하여 더 광범위한 이벤트 분류 내에서 보다 세부적인 세부 정보를 제공합니다. 이 필드는 감지된 문제의 특성을 구분하여 인시던트 우선 순위 지정 및 대응 전략을 개선하는 데 도움이 됩니다.

지원되는 값은 다음과 같습니다.
- Threat (시스템 또는 네트워크를 손상시킬 수 있는 확인되거나 가능성이 높은 악의적인 활동을 나타냅니다.)
- Suspicious Activity (비정상적이거나 의심스러운 것으로 보이는 동작 또는 이벤트에 플래그를 지정하지만 아직 악성으로 확인되지는 않음)
- Anomaly (잠재적인 보안 위험 또는 운영 문제를 나타낼 수 있는 일반 패턴의 편차를 식별합니다.)
- Compliance Violation (규정, 정책 또는 규정 준수 표준을 위반하는 활동을 강조 표시합니다.)
EventUid 필수 string 시스템 내에서 경고를 고유하게 식별하는 컴퓨터에서 읽을 수 있는 영숫자 문자열입니다.
예: A1bC2dE3fH4iJ5kL6mN7oP8qR9s
EventMessage 선택 사항 string 컨텍스트, 원인 및 잠재적 영향을 포함하여 경고에 대한 자세한 정보입니다.
예: Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets.
IpAddr Alias 필드의 별칭 또는 이름 DvcIpAddr 입니다.
Hostname Alias 필드의 별칭 또는 이름 DvcHostname 입니다.
EventSchema 필수 string 이벤트에 사용되는 스키마입니다. 여기에 설명된 스키마는 다음과 같습니다 AlertEvent.
EventSchemaVersion 필수 string 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 0.1입니다.

모든 공통 필드

아래 표에 나열된 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.

클래스 필드
필수 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventUid
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
권장 - EventSubType
- EventSeverity
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
선택 사항 - EventMessage
- EventOriginalType
- EventOriginalSubType
- EventOriginalSeverity
- EventProductVersion
- EventOriginalUid
- EventReportUrl
- EventResult
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcAction
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

검사 필드

다음 표에서는 경고와 관련된 규칙 및 위협에 대한 중요한 인사이트를 제공하는 필드를 다룹니다. 함께 사용하면 경고의 컨텍스트를 보강하여 보안 분석가가 해당 출처와 중요성을 더 쉽게 이해할 수 있습니다.

필드 클래스 Type 설명
AlertId Alias string 필드의 별칭 또는 이름 EventUid 입니다.
AlertName 권장 string 경고의 제목 또는 이름입니다.
예: Possible use of the Rubeus kerberoasting tool
AlertDescription Alias string 필드의 별칭 또는 이름 EventMessage 입니다.
AlertVerdict 선택 사항 Enumerated 경고가 위협으로 확인되었는지, 의심스러운 것으로 간주되는지 또는 가양성으로 확인되었는지를 나타내는 경고의 최종 결정 또는 결과입니다.

지원되는 값은 다음과 같습니다.
- True Positive (합법적인 위협으로 확인됨)
- False Positive (위협으로 잘못 식별됨)
- Benign Positive (이벤트가 무해한 것으로 판단되는 경우)
- Unknown (불확실하거나 결정되지 않은 상태)
AlertStatus 선택 사항 Enumerated 경고의 현재 상태 또는 진행률을 나타냅니다.

지원되는 값은 다음과 같습니다.
- Active
- Closed
AlertOriginalStatus 선택 사항 string 원래 시스템에서 보고한 경고의 상태입니다.
DetectionMethod 선택 사항 Enumerated 경고 생성에 기여한 특정 검색 방법, 기술 또는 데이터 원본에 대한 자세한 정보를 제공합니다. 이 필드는 경고가 검색되거나 트리거되는 방법에 대한 더 큰 인사이트를 제공하여 검색 컨텍스트 및 안정성을 이해하는 데 도움이 됩니다.

지원되는 값은 다음과 같습니다.
- EDR: 엔드포인트 활동을 모니터링하고 분석하여 위협을 식별하는 엔드포인트 검색 및 응답 시스템입니다.
- Behavioral Analytics: 사용자, 디바이스 또는 시스템 동작에서 비정상적인 패턴을 감지하는 기술입니다.
- Reputation: IP 주소, 도메인 또는 파일의 평판을 기반으로 위협 탐지
- Threat Intelligence: 알려진 위협 또는 악의적인 전술에 대한 데이터를 제공하는 외부 또는 내부 인텔리전스 피드입니다.
- Intrusion Detection: 침입 또는 공격의 징후에 대한 네트워크 트래픽 또는 활동을 모니터링하는 시스템입니다.
- Automated Investigation: 경고를 분석하고 조사하는 자동화된 시스템으로 수동 워크로드를 줄입니다.
- Antivirus: 서명 및 추론을 기반으로 맬웨어를 검색하는 기존 바이러스 백신 엔진입니다.
- Data Loss Prevention: 무단 데이터 전송 또는 누출을 방지하는 데 중점을 두는 솔루션입니다.
- User Defined Blocked List: 특정 IP, 도메인 또는 파일을 차단하기 위해 사용자가 정의한 사용자 지정 목록입니다.
- Cloud Security Posture Management: 클라우드 환경에서 보안 위험을 평가하고 관리하는 도구입니다.
- Cloud Application Security: 클라우드 애플리케이션 및 데이터를 보호하는 솔루션입니다.
- Scheduled Alerts: 미리 정의된 일정 또는 임계값에 따라 생성된 경고입니다.
- Other: 위의 범주에서 다루지 않는 다른 검색 방법입니다.
규칙 Alias string RuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다.
RuleNumber 선택 사항 int 경고와 연결된 규칙의 수입니다.

예: 123456
RuleName 선택 사항 string 경고와 연결된 규칙의 이름 또는 ID입니다.

예: Server PSEXEC Execution via Remote Access
RuleDescription 선택 사항 string 경고와 연결된 규칙에 대한 설명입니다.

예: This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network
ThreatId 선택 사항 string 경고에서 식별된 위협 또는 맬웨어의 ID입니다.

예: 1234567891011121314
ThreatName 선택 사항 string 경고에서 식별된 위협 또는 맬웨어의 이름입니다.

예: Init.exe
ThreatFirstReportedTime 선택 사항 날짜/시간 위협이 처음 보고된 날짜 및 시간입니다.

예: 2024-09-19T10:12:10.0000000Z
ThreatLastReportedTime 선택 사항 날짜/시간 위협이 마지막으로 보고된 날짜 및 시간입니다.

예: 2024-09-19T10:12:10.0000000Z
ThreatCategory 권장 Enumerated 경고에서 식별된 위협 또는 맬웨어의 범주입니다.

지원되는 값은 다음과 같습니다. , ,, Virus, WormAdware, , PhishingSpoofingSecurity Policy ViolationSpamRootkitCryptominorMaliciousUrlSpywareTrojanRansomwareMalwareUnknown
ThreatOriginalCategory 선택 사항 string 원래 시스템에서 보고한 위협의 범주입니다.
ThreatIsActive 선택 사항 bool 위협이 현재 활성 상태인지 여부를 나타냅니다.

지원되는 값은 다음과 True같습니다. False
ThreatRiskLevel 선택 사항 int 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다.

참고: 이 척도로 정규화되어야 하는 다른 척도를 사용하여 값을 원본 레코드에 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장해야 합니다.
ThreatOriginalRiskLevel 선택 사항 string 원래 시스템에서 보고한 위험 수준입니다.
ThreatConfidence 선택 사항 int 식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다.
ThreatOriginalConfidence 선택 사항 string 원래 시스템에서 보고한 신뢰 수준입니다.
IndicatorType 권장 Enumerated 표시기의 형식 또는 범주

지원되는 값은 다음과 같습니다.
-Ip
-User
-Process
-Registry
-Url
-Host
-Cloud Resource
-Application
-File
-Email
-Mailbox
-Logon Session
IndicatorAssociation 선택 사항 Enumerated 표시기가 위협에 연결되었는지 또는 직접적인 영향을 받는지를 지정합니다.

지원되는 값은 다음과 같습니다.
-Associated
-Targeted
AttackTactics 권장 string 경고와 관련된 공격 전술(이름, ID 또는 둘 다)입니다.
기본 설정 형식:

예: Persistence, Privilege Escalation
AttackTechniques 권장 string 경고와 관련된 공격 기술(이름, ID 또는 둘 다)입니다.
기본 설정 형식:

예: Local Groups (T1069.001), Domain Groups (T1069.002)
AttackRemediationSteps 권장 string 식별된 공격 또는 위협을 완화하거나 수정하기 위한 권장 작업 또는 단계입니다.
예:
1. Make sure the machine is completely updated and all your software has the latest patch.
2. Contact your incident response team.

사용자 필드

이 섹션에서는 경고와 연결된 사용자의 식별 및 분류와 관련된 필드를 정의하여 영향을 받은 사용자 및 해당 ID의 형식을 명확하게 설명합니다. 경고에 여기에 매핑된 필드를 초과하는 여러 사용자 관련 필드가 추가로 포함된 경우 인증 이벤트 스키마와 같은 특수 스키마가 데이터를 완전히 나타내는 데 더 적합한지 여부를 고려할 수 있습니다.

필드 클래스 Type 설명
UserId 선택 사항 string 경고와 연결된 사용자의 컴퓨터 읽기 가능 영숫자 고유 표현입니다.

예: A1bC2dE3fH4iJ5kL6mN7o
UserIdType 조건부 Enumerated 사용자 ID의 형식(예: GUID, SID또는 Email.

지원되는 값은 다음과 같습니다.
- GUID
- SID
- Email
- Username
- Phone
- Other
사용자 이름 권장 string 사용 가능한 경우 도메인 정보를 포함하여 경고와 연결된 사용자의 이름입니다.

예: Contoso\JSmith 또는 john.smith@contoso.com
사용자 Alias string 필드의 별칭 또는 이름 Username 입니다.
UsernameType 조건부 UsernameType 필드에 저장된 사용자 이름의 형식을 Username 지정합니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UsernameType을 참조하세요.

예: Windows
UserType 선택 사항 UserType 행위자의 형식입니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UserType을 참조하세요.

예: Guest
OriginalUserType 선택 사항 string 보고 디바이스에서 보고한 사용자 유형입니다.
UserSessionId 선택 사항 string 경고와 연결된 사용자 세션의 고유 ID입니다.

예: a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u
UserScopeId 선택 사항 string UserId 및 Username이 정의된 Microsoft Entra Directory ID와 같은 범위 ID입니다.

예: a1bc2de3-fh4i-j5kl-6mn7-op8qrs
UserScope 선택 사항 string UserId 및 Username이 정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope참조하세요.

예: Contoso Directory

프로세스 필드

이 섹션에서는 지정된 필드를 사용하여 경고와 관련된 프로세스 엔터티와 관련된 세부 정보를 캡처할 수 있습니다. 경고에 여기에 매핑된 필드를 초과하는 자세한 추가 프로세스 관련 필드가 포함된 경우 프로세스 이벤트 스키마와 같은 특수 스키마가 데이터를 완전히 나타내는 데 더 적합한지 여부를 고려할 수 있습니다.

필드 클래스 Type 설명
ProcessId 선택 사항 string 경고와 연결된 프로세스 ID(PID)입니다.

예: 12345678
ProcessCommandLine 선택 사항 string 프로세스를 시작하는 데 사용되는 명령줄입니다.

예: "choco.exe" -v
ProcessName 선택 사항 string 프로세스의 이름입니다.

예: C:\Windows\explorer.exe
ProcessFileCompany 선택 사항 string 프로세스 이미지 파일을 만든 회사입니다.

예: Microsoft

파일 필드

이 섹션에서는 경고와 관련된 파일 엔터티와 관련된 세부 정보를 캡처할 수 있습니다. 경고에 여기에 매핑된 필드를 초과하는 자세한 추가 파일 관련 필드가 포함된 경우 파일 이벤트 스키마와 같은 특수 스키마가 데이터를 완전히 나타내는 데 더 적합한지 여부를 고려할 수 있습니다.

필드 클래스 Type 설명
FileName 선택 사항 string 경로 또는 위치 없이 경고와 연결된 파일의 이름입니다.

예: Notepad.exe
FilePath 선택 사항 string 폴더 또는 위치, 파일 이름 및 확장명을 포함하여 대상 파일의 정규화된 전체 경로입니다.

예: C:\Windows\System32\notepad.exe
FileSHA1 선택 사항 string 파일의 SHA1 해시입니다.

예: j5kl6mn7op8qr9st0uv1
FileSHA256 선택 사항 string 파일의 SHA256 해시입니다.

예: a1bc2de3fh4ij5kl6mn7op8qrs2de3
FileMD5 선택 사항 string 파일의 MD5 해시입니다.

예: j5kl6mn7op8qr9st0uv1wx2yz3ab4c
FileSize 선택 사항 long 파일의 크기(바이트).

예: 123456

URL 필드

경고에 URL 엔터티에 대한 정보가 포함된 경우 다음 필드에서 URL 관련 데이터를 캡처할 수 있습니다.

필드 클래스 Type 설명
Url 선택 사항 string 경고에 캡처된 URL 문자열입니다.

예: https://contoso.com/fo/?k=v&amp;q=u#f

레지스트리 필드

경고에 레지스트리 엔터티에 대한 세부 정보가 포함된 경우 다음 필드를 사용하여 특정 레지스트리 관련 정보를 캡처합니다.

필드 클래스 Type 설명
RegistryKey 선택 사항 string 경고와 연결된 레지스트리 키로, 표준 루트 키 명명 규칙으로 정규화됩니다.

예: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue 선택 사항 string 레지스트리 값입니다.

예: ImagePath
RegistryValueData 선택 사항 string 레지스트리 값의 데이터입니다.

예: C:\Windows\system32;C:\Windows;
RegistryValueType 선택 사항 Enumerated 레지스트리 값의 형식입니다.

예: Reg_Expand_Sz

전자 메일 필드

경고에 전자 메일 엔터티에 대한 정보가 포함된 경우 다음 필드를 사용하여 특정 전자 메일 관련 세부 정보를 캡처합니다.

필드 클래스 Type 설명
EmailMessageId 선택 사항 string 경고와 연결된 전자 메일 메시지의 고유 식별자입니다.

예: Request for Invoice Access
EmailSubject 선택 사항 string 전자 메일의 제목입니다.

예: j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c

스키마 업데이트

다음은 다양한 스키마 버전의 변경 내용입니다.

  • 버전 0.1: 초기 릴리스.