A referência do esquema de alerta do ASIM (Advanced Security Information Model)
O Esquema de Alerta do Microsoft Sentinel foi projetado para normalizar alertas relacionados à segurança de vários produtos em um formato padronizado no ASIM (Modelo de Informações de Segurança Avançadas) da Microsoft. Esse esquema se concentra exclusivamente em eventos de segurança, garantindo uma análise consistente e eficiente em diferentes fontes de dados.
O Esquema de Alerta representa vários tipos de alertas de segurança, como ameaças, atividades suspeitas, anomalias de comportamento do usuário e violações de conformidade. Esses alertas são relatados por diferentes produtos e sistemas de segurança, incluindo, entre outros, EDRs, software antivírus, sistemas de detecção de intrusão, ferramentas de prevenção de perda de dados, etc.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Importante
O esquema de normalização de alertas está atualmente em versão prévia. O recurso é fornecido sem um Contrato de Nível de Serviço. Não o recomendamos para carga de trabalho de produção.
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Analisadores
Para obter mais informações sobre os analisadores do ASIM, consulte a Visão geral dos analisadores do ASIM.
Analisadores unificadores
Para usar analisadores que unificam todos os analisadores prontos para uso do ASIM e garantir que sua análise seja executada em todas as fontes configuradas, use o _Im_AlertEvent analisador de filtragem ou o _ASim_AlertEvent analisador sem parâmetros. Você também pode usar os analisadores imAlertEvent e ASimAlertEvent implantados pelo workspace ao implantá-los no imAlertEvent.
Para obter mais informações, consulte Analisadores ASIM integrados e analisadores implantados no workspace.
Analisadores específicos de origem prontos para uso
Para obter a lista dos analisadores de alerta que o Microsoft Sentinel fornece prontos para uso, consulte a lista de analisadores do ASIM.
Adicionar seus próprios analisadores normalizados
Ao desenvolver analisadores personalizados para o modelo de informações de alerta, nomeie suas funções KQL usando a seguinte sintaxe:
-
vimAlertEvent<vendor><Product>para analisadores parametrizados -
ASimAlertEvent<vendor><Product>para analisadores regulares
Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados aos analisadores unificadores de alerta.
Filtrando parâmetros do analisador
Os analisadores de alerta dão suporte a vários parâmetros de filtragem para melhorar o desempenho da consulta. Esses parâmetros são opcionais, mas podem melhorar o desempenho da consulta. Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| starttime | datetime | Filtre apenas os alertas iniciados nesse horário ou após esse período. |
| endtime | datetime | Filtre apenas os alertas iniciados nesse horário ou antes. |
| ipaddr_has_any_prefix | dynamic | Filtre apenas alertas para os quais o campo 'DvcIpAddr' está em um dos valores listados. |
| hostname_has_any | dynamic | Filtre apenas os alertas para os quais o campo 'DvcHostname' está em um dos valores listados. |
| username_has_any | dynamic | Filtre apenas os alertas para os quais o campo "Nome de usuário" está em um dos valores listados. |
| attacktactics_has_any | dynamic | Filtre apenas os alertas para os quais o campo 'AttackTactics' está em um dos valores listados. |
| attacktechniques_has_any | dynamic | Filtre apenas os alertas para os quais o campo 'AttackTechniques' está em um dos valores listados. |
| threatcategory_has_any | dynamic | Filtre apenas os alertas para os quais o campo "ThreatCategory" está em um dos valores listados. |
| alertverdict_has_any | dynamic | Filtre apenas os alertas para os quais o campo "AlertVerdict" está em um dos valores listados. |
| eventseverity_has_any | dynamic | Filtre apenas os alertas para os quais o campo 'EventSeverity' está em um dos valores listados. |
Visão geral do esquema
O Esquema de alerta atende a vários tipos de eventos de segurança, que compartilham os mesmos campos. Esses eventos são identificados pelo campo EventType:
- Informações sobre ameaças: alertas relacionados a vários tipos de atividades maliciosas, como malware, phishing, ransomware e outras ameaças cibernéticas.
- Atividades suspeitas: Alertas para atividades que não são necessariamente ameaças confirmadas, mas são suspeitas e justificam uma investigação mais aprofundada, como várias tentativas de login com falha ou acesso a arquivos restritos.
- Anomalias de comportamento do usuário: alertas que indicam comportamento incomum ou inesperado do usuário que pode sugerir um problema de segurança, como horários de login anormais ou padrões incomuns de acesso a dados.
- Violações de conformidade: alertas relacionados à não conformidade com políticas regulatórias ou internas. Por exemplo, uma VM exposta com portas públicas abertas vulneráveis a ataques (Cloud Security Alert).
Importante
Para preservar a relevância e a eficácia do Esquema de Alerta, somente alertas relacionados à segurança devem ser mapeados.
O esquema de alerta refere-se às seguintes entidades para capturar detalhes sobre o alerta:
-
Os campos Dvc são usados para capturar detalhes sobre o host ou Ip associado ao alerta
-
Os campos de usuário são usados para capturar detalhes sobre o usuário associado ao alerta.
- Da mesma forma, os campos Processo, Arquivo, URL, Registro e E-mail são usados para capturar apenas detalhes importantes sobre o processo, arquivo, URL, registro e e-mail associados ao alerta, respectivamente.
Importante
- Ao criar um analisador específico do produto, use o esquema de alerta do ASIM quando o alerta contiver informações sobre um incidente de segurança ou ameaça potencial e os detalhes principais puderem ser mapeados diretamente para os campos de esquema de alerta disponíveis. O esquema de alerta é ideal para capturar informações de resumo sem campos extensos específicos da entidade.
- No entanto, se você estiver colocando campos essenciais em 'AdditionalFields' devido à falta de correspondências diretas de campo, considere um esquema mais especializado. Por exemplo, se um alerta incluir detalhes relacionados à rede, como vários endereços IP, por exemplo, SrcIpAdr, DstIpAddr, PortNumber etc., você poderá optar pelo esquema NetworkSession em vez do esquema Alert. Esquemas especializados também fornecem campos dedicados para capturar informações relacionadas a ameaças, melhorar a qualidade dos dados e facilitar a análise eficiente.
Detalhes do esquema
Campos comuns do ASIM
A lista a seguir menciona campos que têm diretrizes específicas para eventos de alerta:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerated | Tipo do evento. Os valores com suporte são: - Alert |
| EventSubType | Recomendadas | Enumerated | Especifica o subtipo ou a categoria do evento de alerta, fornecendo detalhes mais granulares dentro da classificação de evento mais ampla. Esse campo ajuda a distinguir a natureza do problema detectado, melhorando a priorização de incidentes e as estratégias de resposta. Os valores compatíveis incluem: - Threat (Representa uma atividade maliciosa confirmada ou altamente provável que pode comprometer o sistema ou a rede)- Suspicious Activity (Sinaliza comportamentos ou eventos que parecem incomuns ou suspeitos, embora ainda não confirmados como maliciosos)- Anomaly (Identifica desvios dos padrões normais que podem indicar um possível risco de segurança ou problema operacional)- Compliance Violation (Destaca atividades que violam padrões regulatórios, políticos ou de conformidade) |
| EventUid | Obrigatório | string | Uma cadeia de caracteres alfanumérica legível por máquina que identifica exclusivamente um alerta em um sistema. Por exemplo: A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Opcional | string | Informações detalhadas sobre o alerta, incluindo seu contexto, causa e impacto potencial. Por exemplo: Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias ou nome amigável para DvcIpAddr o campo. |
|
| Nome do host | Alias | Alias ou nome amigável para DvcHostname o campo. |
|
| EventSchema | Obrigatório | string | O esquema usado para o evento. O esquema documentado aqui é AlertEvent. |
| EventSchemaVersion | Obrigatório | string | A versão do esquema. A versão do esquema documentado aqui é 0.1. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.
| Classe | Campos |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Recomendadas |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Opcional |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de inspeção
A tabela a seguir aborda campos que fornecem insights críticos sobre as regras e ameaças associadas aos alertas. Juntos, eles ajudam a enriquecer o contexto do alerta, tornando mais fácil para os analistas de segurança entenderem sua origem e significado.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Identificação do alerta | Alias | string | Alias ou nome amigável para EventUid o campo. |
| AlertName | Recomendadas | string | Título ou nome do alerta. Por exemplo: Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | string | Alias ou nome amigável para EventMessage o campo. |
| Veredicto de alerta | Opcional | Enumerated | A determinação final ou o resultado do alerta, indicando se o alerta foi confirmado como uma ameaça, considerado suspeito ou resolvido como um falso positivo. Os valores com suporte são: - True Positive (Confirmado como uma ameaça legítima)- False Positive (Identificado incorretamente como uma ameaça)- Benign Positive (quando o evento é determinado como inofensivo)- Unknown (Status incerto ou indeterminado) |
| Status do alerta | Opcional | Enumerated | Indica o estado atual ou o progresso do alerta. Os valores com suporte são: - Active- Closed |
| AlertOriginalStatus | Opcional | string | O status do alerta conforme relatado pelo sistema de origem. |
| Método de detecção | Opcional | Enumerated | Fornece informações detalhadas sobre o método de detecção, a tecnologia ou a fonte de dados específicos que contribuíram para a geração do alerta. Esse campo oferece uma visão mais ampla de como o alerta foi detectado ou disparado, auxiliando na compreensão do contexto de detecção e da confiabilidade. Os valores compatíveis incluem: - EDR: Sistemas de detecção e resposta de endpoint que monitoram e analisam as atividades do endpoint para identificar ameaças.- Behavioral Analytics: Técnicas que detectam padrões anormais no comportamento do usuário, dispositivo ou sistema.- Reputation: Detecção de ameaças com base na reputação de endereços IP, domínios ou arquivos.- Threat Intelligence: Feeds de inteligência externa ou interna que fornecem dados sobre ameaças conhecidas ou táticas adversárias.- Intrusion Detection: Sistemas que monitoram o tráfego ou atividades de rede em busca de sinais de intrusões ou ataques.- Automated Investigation: Sistemas automatizados que analisam e investigam alertas, reduzindo a carga de trabalho manual.- Antivirus: Mecanismos antivírus tradicionais que detectam malware com base em assinaturas e heurísticas.- Data Loss Prevention: Soluções focadas na prevenção de transferências ou vazamentos de dados não autorizados.- User Defined Blocked List: Listas personalizadas definidas pelos usuários para bloquear IPs, domínios ou arquivos específicos.- Cloud Security Posture Management: Ferramentas que avaliam e gerenciam riscos de segurança em ambientes de nuvem.- Cloud Application Security: Soluções que protegem aplicativos e dados em nuvem.- Scheduled Alerts: Alertas gerados com base em agendamentos ou limites predefinidos.- Other: Qualquer outro método de detecção não abrangido pelas categorias acima. |
| Regra | Alias | string | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres. |
| RuleNumber | Opcional | INT | O número da regra associada ao alerta. Por exemplo: 123456 |
| RuleName | Opcional | string | O nome ou a ID da regra associada ao alerta. Por exemplo: Server PSEXEC Execution via Remote Access |
| Descrição da regra | Opcional | string | Descrição da regra associada ao alerta. Por exemplo: This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Opcional | string | O ID da ameaça ou malware identificado no alerta. Por exemplo: 1234567891011121314 |
| ThreatName | Opcional | string | O nome da ameaça ou malware identificado no alerta. Por exemplo: Init.exe |
| ThreatFirstReportedTime | Opcional | datetime | Data e hora em que a ameaça foi relatada pela primeira vez. Por exemplo: 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcional | datetime | Data e hora em que a ameaça foi relatada pela última vez. Por exemplo: 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Recomendadas | Enumerated | A categoria da ameaça ou malware identificado no alerta. Os valores suportados são: , , , WormAdwareCryptominorPhishingSpamSpoofingSecurity Policy ViolationSpywareMaliciousUrlVirusRootkitTrojanRansomwareMalwareUnknown |
| Categoria AmeaçaOriginal | Opcional | string | A categoria da ameaça conforme relatada pelo sistema de origem. |
| ThreatIsActive | Opcional | bool | Indica se a ameaça está ativa no momento. Os valores suportados são: True, False |
| ThreatRiskLevel | Opcional | INT | O nível de risco associado à ameaça. O nível deve ser um número entre 0 e 100. Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | string | O nível de risco conforme relatado pelo sistema de origem. |
| ThreatConfidence | Opcional | INT | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | string | O nível de confiança conforme relatado pelo sistema de origem. |
| Tipo de Indicador | Recomendadas | Enumerated | O tipo ou categoria do indicador Os valores com suporte são: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Opcional | Enumerated | Especifica se o indicador está vinculado ou diretamente afetado pela ameaça. Os valores com suporte são: - Associated- Targeted |
| Táticas de ataque | Recomendadas | string | As táticas de ataque (nome, ID ou ambos) associadas ao alerta. Formato preferido: por exemplo: Persistence, Privilege Escalation |
| Técnicas de ataque | Recomendadas | string | As técnicas de ataque (nome, ID ou ambos) associadas ao alerta. Formato preferido: por exemplo: Local Groups (T1069.001), Domain Groups (T1069.002) |
| Etapas de Correção de Ataque | Recomendadas | string | Ações ou etapas recomendadas para mitigar ou corrigir o ataque ou ameaça identificada. por ex. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Campos do Usuário
Esta seção define campos relacionados à identificação e classificação de usuários associados a um alerta, fornecendo clareza sobre o usuário afetado e o formato de sua identidade. Se o alerta contiver vários campos adicionais relacionados ao usuário que excedam o que está mapeado aqui, você poderá considerar se um esquema especializado, como o esquema de Evento de Autenticação, pode ser mais apropriado para representar totalmente os dados.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| UserId | Opcional | string | Uma representação exclusiva legível por máquina e alfanumérica do usuário associado ao alerta. Por exemplo: A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Condicional | Enumerated | O tipo de ID do usuário, como GUID, SID, ou Email.Os valores com suporte são: - GUID- SID- Email- Username- Phone- Other |
| Nome de usuário | Recomendadas | string | Nome do usuário associado ao alerta, incluindo informações de domínio, quando disponíveis. por exemplo, Contoso\JSmith ou john.smith@contoso.com |
| Usuário | Alias | string | Alias ou nome amigável para Username o campo. |
| UsernameType | Condicional | UsernameType | Especifica o tipo de nome de usuário armazenado no Username campo. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema.Por exemplo: Windows |
| UserType | Opcional | UserType | O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Guest |
| OriginalUserType | Opcional | string | O tipo de usuário, conforme relatado pelo dispositivo de relatório. |
| ID da sessão do usuário | Opcional | string | A ID exclusiva da sessão do usuário associada ao alerta. Por exemplo: a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Opcional | string | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual UserId e Username são definidos. Por exemplo: a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Opcional | string | O escopo, como o locatário do Microsoft Entra, no qual UserId e Username são definidos. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. Por exemplo: Contoso Directory |
Campos de processo
Esta seção permite capturar detalhes relacionados a uma entidade de processo envolvida em um alerta usando os campos especificados. Se o alerta contiver campos adicionais detalhados relacionados ao processo que excedam o que está mapeado aqui, você poderá considerar se um esquema especializado, como o esquema Evento do Processo, pode ser mais apropriado para representar totalmente os dados.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ProcessId | Opcional | string | A ID do processo (PID) associada ao alerta. Por exemplo: 12345678 |
| Linha de comando do processo | Opcional | string | Linha de comando usada para iniciar o processo. Por exemplo: "choco.exe" -v |
| Nome do processo | Opcional | string | Nome do processo. Por exemplo: C:\Windows\explorer.exe |
| ProcessFileCompany | Opcional | string | Empresa que criou o arquivo de imagem do processo. Por exemplo: Microsoft |
Campos de arquivo
Esta seção permite que você capture detalhes relacionados a uma entidade de arquivo envolvida em um alerta. Se o alerta contiver campos adicionais detalhados relacionados ao arquivo que excedam o que está mapeado aqui, você poderá considerar se um esquema especializado, como o esquema Evento de Arquivo, pode ser mais apropriado para representar totalmente os dados.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| FileName | Opcional | string | Nome do arquivo associado ao alerta, sem caminho ou local. Por exemplo: Notepad.exe |
| FilePath | Opcional | string | O caminho completo e normalizado do arquivo de destino, incluindo a pasta ou local, o nome do arquivo e a extensão. Por exemplo: C:\Windows\System32\notepad.exe |
| FileSHA1 | Opcional | string | SHA1 do arquivo. Por exemplo: j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Opcional | string | SHA256 do arquivo. Por exemplo: a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Opcional | string | Hash MD5 do arquivo. Por exemplo: j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Opcional | longo | Tamanho do arquivo em bytes. Por exemplo: 123456 |
Campo de URL
Se o alerta incluir informações sobre a entidade URL, os campos a seguir poderão capturar dados relacionados à URL.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| URL | Opcional | string | A cadeia de caracteres de URL capturada no alerta. Por exemplo: https://contoso.com/fo/?k=v&q=u#f |
Campos do Registro
Se o alerta incluir detalhes sobre a entidade do Registro, use os campos a seguir para capturar informações específicas relacionadas ao Registro.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RegistryKey | Opcional | string | A chave do Registro associada ao alerta, normalizada para as convenções de nomenclatura de chave raiz padrão. Por exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Opcional | string | Valor do Registro. Por exemplo: ImagePath |
| RegistryValueData | Opcional | string | Dados do valor do registro. Por exemplo: C:\Windows\system32;C:\Windows; |
| RegistryValueType | Opcional | Enumerated | Tipo do valor do Registro. Por exemplo: Reg_Expand_Sz |
Campos de e-mail
Se o alerta incluir informações sobre a entidade de email, use os campos a seguir para capturar detalhes específicos relacionados ao email.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EmailMessageId | Opcional | string | Identificador exclusivo da mensagem de email, associada ao alerta. Por exemplo: Request for Invoice Access |
| Assunto do e-mail | Opcional | string | Assunto do e-mail. Por exemplo: j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Atualizações de esquema
Veja a seguir as alterações em várias versões do esquema:
- Versão 0.1: Lançamento inicial.