A referência do esquema de alerta ASIM (Advanced Security Information Model)
O esquema de alerta do Microsoft Sentinel foi projetado para normalizar alertas relacionados à segurança de vários produtos em um formato padronizado no Microsoft Advanced Security Information Model (ASIM). Esse esquema se concentra exclusivamente em eventos de segurança, garantindo análises consistentes e eficientes em diferentes fontes de dados.
O Esquema de Alerta representa vários tipos de alertas de segurança, como ameaças, atividades suspeitas, anomalias de comportamento do usuário e violações de conformidade. Esses alertas são relatados por diferentes produtos e sistemas de segurança, incluindo, entre outros, EDRs, software antivírus, sistemas de deteção de intrusão, ferramentas de prevenção de perda de dados, etc.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Importante
O esquema de normalização de alertas está atualmente em visualização. Este recurso é fornecido sem um contrato de nível de serviço. Não recomendamos para cargas de trabalho de produção.
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Analisadores
Para obter mais informações sobre analisadores ASIM, consulte a visão geral dos analisadores ASIM.
Analisadores unificadores
Para usar analisadores que unifiquem todos os analisadores ASIM prontos para uso e garantir que sua análise seja executada em todas as fontes configuradas, use o _Im_AlertEvent analisador de filtragem ou o _ASim_AlertEvent analisador sem parâmetros. Você também pode usar o espaço de trabalho implantado imAlertEvent e ASimAlertEvent analisadores implantando-os a partir do repositório GitHub do Microsoft Sentinel.
Para obter mais informações, consulte Analisadores ASIM internos e analisadores implantados no espaço de trabalho.
Analisadores prontos para uso e específicos da fonte
Para obter a lista dos analisadores de alerta fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM.
Adicione seus próprios analisadores normalizados
Ao desenvolver analisadores personalizados para o modelo de informações de alerta, nomeie suas funções KQL usando a seguinte sintaxe:
-
vimAlertEvent<vendor><Product>para analisadores parametrizados -
ASimAlertEvent<vendor><Product>para analisadores regulares
Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados aos analisadores unificadores de alerta.
Filtrando parâmetros do analisador
Os analisadores de alerta suportam vários parâmetros de filtragem para melhorar o desempenho da consulta. Esses parâmetros são opcionais, mas podem melhorar o desempenho da consulta. Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Description |
|---|---|---|
| Hora de início | datetime | Filtre apenas os alertas iniciados durante ou após este período. |
| tempo de fim | datetime | Filtre apenas os alertas iniciados nesse horário ou antes dele. |
| ipaddr_has_any_prefix | dynamic | Filtre apenas alertas para os quais o campo 'DvcIpAddr' esteja em um dos valores listados. |
| hostname_has_any | dynamic | Filtre apenas alertas para os quais o campo 'DvcHostname' esteja em um dos valores listados. |
| username_has_any | dynamic | Filtre apenas alertas para os quais o campo 'Nome de usuário' esteja em um dos valores listados. |
| attacktactics_has_any | dynamic | Filtre apenas alertas para os quais o campo 'AttackTactics' esteja em um dos valores listados. |
| attacktechniques_has_any | dynamic | Filtre apenas alertas para os quais o campo 'AttackTechniques' esteja em um dos valores listados. |
| threatcategory_has_any | dynamic | Filtre apenas alertas para os quais o campo 'ThreatCategory' esteja em um dos valores listados. |
| alertverdict_has_any | dynamic | Filtre apenas alertas para os quais o campo 'AlertVerdict' esteja em um dos valores listados. |
| eventseverity_has_any | dynamic | Filtre apenas alertas para os quais o campo 'EventSeverity' esteja em um dos valores listados. |
Visão geral do esquema
O Esquema de Alerta serve vários tipos de eventos de segurança, que compartilham os mesmos campos. Esses eventos são identificados pelo campo EventType:
- Informações sobre ameaças: alertas relacionados a vários tipos de atividades maliciosas, como malware, phishing, ransomware e outras ameaças cibernéticas.
- Atividades suspeitas: alertas para atividades que não são necessariamente ameaças confirmadas, mas são suspeitas e exigem investigação adicional, como várias tentativas de login fracassadas ou acesso a arquivos restritos.
- Anomalias de comportamento do usuário: alertas que indicam um comportamento incomum ou inesperado do usuário que pode sugerir um problema de segurança, como tempos de login anormais ou padrões de acesso a dados incomuns.
- Violações de Conformidade: Alertas relacionados à não conformidade com políticas regulatórias ou internas. Por exemplo, uma VM exposta com portas públicas abertas vulneráveis a ataques (Cloud Security Alert).
Importante
Para preservar a relevância e a eficácia do Esquema de Alertas, apenas os alertas relacionados à segurança devem ser mapeados.
O esquema de alerta refere-se às seguintes entidades para capturar detalhes sobre o alerta:
-
Os campos Dvc são usados para capturar detalhes sobre o host ou Ip associado ao alerta
-
Os campos de usuário são usados para capturar detalhes sobre o usuário associado ao alerta.
- Da mesma forma, os campos Processo, Arquivo, Url, Registro e E-mail são usados para capturar apenas detalhes importantes sobre o processo, arquivo, Url, registro e e-mail associados ao alerta, respectivamente.
Importante
- Ao criar um analisador específico do produto, use o esquema ASIM Alert quando o alerta contiver informações sobre um incidente de segurança ou ameaça potencial e os detalhes principais puderem ser mapeados diretamente para os campos disponíveis do esquema de alerta. O esquema de alerta é ideal para capturar informações resumidas sem campos extensos específicos da entidade.
- No entanto, se você estiver colocando campos essenciais em 'AdditionalFields' devido à falta de correspondências diretas de campo, considere um esquema mais especializado. Por exemplo, se um alerta incluir detalhes relacionados à rede, como vários endereços IP, por exemplo, SrcIpAdr, DstIpAddr, PortNumber etc., você pode optar pelo esquema NetworkSession em vez do esquema Alert. Esquemas especializados também fornecem campos dedicados para capturar informações relacionadas a ameaças, melhorando a qualidade dos dados e facilitando análises eficientes.
Detalhes do esquema
Campos comuns do ASIM
A lista a seguir menciona campos que têm diretrizes específicas para eventos de alerta:
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| Tipo de Evento | Obrigatório | Enumerated | Tipo do evento. Os valores suportados são: - Alert |
| SubTipo de Evento | Recomendado | Enumerated | Especifica o subtipo ou categoria do evento de alerta, fornecendo detalhes mais granulares dentro da classificação de evento mais ampla. Este campo ajuda a distinguir a natureza do problema detetado, melhorando a priorização de incidentes e as estratégias de resposta. Os valores suportados incluem: - Threat (Representa uma atividade maliciosa confirmada ou altamente provável que pode comprometer o sistema ou a rede)- Suspicious Activity (Sinaliza comportamentos ou eventos que parecem incomuns ou suspeitos, embora ainda não confirmados como maliciosos)- Anomaly (Identifica desvios dos padrões normais que podem indicar um potencial risco de segurança ou problema operacional)- Compliance Violation (Destaca atividades que violam os padrões regulamentares, de política ou de conformidade) |
| EventUid | Obrigatório | string | Uma cadeia alfanumérica legível por máquina que identifica exclusivamente um alerta dentro de um sistema. por exemplo, A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Opcional | string | Informações detalhadas sobre o alerta, incluindo seu contexto, causa e impacto potencial. por exemplo, Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias ou nome amigável para DvcIpAddr campo. |
|
| Nome de Anfitrião | Alias | Alias ou nome amigável para DvcHostname campo. |
|
| EventSchema | Obrigatório | string | O esquema usado para o evento. O esquema documentado aqui é AlertEvent. |
| EventSchemaVersion | Obrigatório | string | A versão do esquema. A versão do esquema documentada aqui é 0.1. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos comuns do ASIM.
| Classe | Campos |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - Tipo de Evento - EventUid - EventoProduto - EventVendor - EventSchema - EventSchemaVersion |
| Recomendado |
-
SubTipo de Evento - EventSeverity - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Opcional |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos de Inspeção
A tabela a seguir abrange campos que fornecem informações críticas sobre as regras e ameaças associadas aos alertas. Juntos, eles ajudam a enriquecer o contexto do alerta, tornando mais fácil para os analistas de segurança entenderem sua origem e significado.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| AlertId | Alias | string | Alias ou nome amigável para EventUid campo. |
| Nome do alerta | Recomendado | string | Título ou nome do alerta. por exemplo, Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | string | Alias ou nome amigável para EventMessage campo. |
| Veredicto de alerta | Opcional | Enumerated | A determinação final ou o resultado do alerta, indicando se o alerta foi confirmado como uma ameaça, considerado suspeito ou resolvido como um falso positivo. Os valores suportados são: - True Positive (Confirmada como uma ameaça legítima)- False Positive (Identificada incorretamente como uma ameaça)- Benign Positive (quando o evento é determinado como inofensivo)- Unknown (Estado incerto ou indeterminado) |
| Status de alerta | Opcional | Enumerated | Indica o estado atual ou o progresso do alerta. Os valores suportados são: - Active- Closed |
| AlertOriginalStatus | Opcional | string | O status do alerta conforme comunicado pelo sistema de origem. |
| Método de deteção | Opcional | Enumerated | Fornece informações detalhadas sobre o método de deteção, tecnologia ou fonte de dados específica que contribuiu para a geração do alerta. Este campo oferece uma maior visão sobre como o alerta foi detetado ou disparado, ajudando na compreensão do contexto de deteção e confiabilidade. Os valores suportados incluem: - EDR: Sistemas de Deteção e Resposta de Pontos Finais que monitorizam e analisam as atividades dos terminais para identificar ameaças.- Behavioral Analytics: Técnicas que detetam padrões anormais no comportamento do usuário, dispositivo ou sistema.- Reputation: Deteção de ameaças com base na reputação de endereços IP, domínios ou arquivos.- Threat Intelligence: Feeds de inteligência externos ou internos que fornecem dados sobre ameaças conhecidas ou táticas adversárias.- Intrusion Detection: Sistemas que monitorizam o tráfego ou as atividades da rede em busca de sinais de intrusões ou ataques.- Automated Investigation: Sistemas automatizados que analisam e investigam alertas, reduzindo a carga de trabalho manual.- Antivirus: Mecanismos antivírus tradicionais que detetam malware com base em assinaturas e heurísticas.- Data Loss Prevention: Soluções focadas na prevenção de transferências ou vazamentos de dados não autorizados.- User Defined Blocked List: Listas personalizadas definidas pelos usuários para bloquear IPs, domínios ou arquivos específicos.- Cloud Security Posture Management: Ferramentas que avaliam e gerenciam riscos de segurança em ambientes de nuvem.- Cloud Application Security: Soluções que protegem aplicações e dados na nuvem.- Scheduled Alerts: Alertas gerados com base em agendas ou limites predefinidos.- Other: Qualquer outro método de deteção não abrangido pelas categorias acima. |
| Regra | Alias | string | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string. |
| Número da regra | Opcional | número inteiro | O número da regra associada ao alerta. por exemplo, 123456 |
| RuleName | Opcional | string | O nome ou ID da regra associada ao alerta. por exemplo, Server PSEXEC Execution via Remote Access |
| Descrição da regra | Opcional | string | Descrição da regra associada ao alerta. por exemplo, This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Opcional | string | O ID da ameaça ou malware identificado no alerta. por exemplo, 1234567891011121314 |
| Nome da Ameaça | Opcional | string | O nome da ameaça ou malware identificado no alerta. por exemplo, Init.exe |
| ThreatFirstReportedTime | Opcional | datetime | Data e hora em que a ameaça foi comunicada pela primeira vez. por exemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcional | datetime | Data e hora em que a ameaça foi comunicada pela última vez. por exemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Recomendado | Enumerated | A categoria da ameaça ou malware identificado no alerta. Os valores suportados são: , , , , WormVirus, , RootkitPhishingMaliciousUrlSecurity Policy ViolationSpamSpywareCryptominorSpoofingAdwareTrojanRansomwareMalwareUnknown |
| ThreatOriginalCategory | Opcional | string | A categoria da ameaça comunicada pelo sistema de origem. |
| ThreatIsActive | Opcional | booleano | Indica se a ameaça está ativa no momento. Os valores suportados são: True, False |
| ThreatRiskLevel | Opcional | número inteiro | O nível de risco associado à ameaça. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | string | O nível de risco comunicado pelo sistema de origem. |
| ThreatConfidence | Opcional | número inteiro | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | string | O nível de confiança comunicado pelo sistema de origem. |
| Tipo de Indicador | Recomendado | Enumerated | O tipo ou categoria do indicador Os valores suportados são: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Opcional | Enumerated | Especifica se o indicador está ligado ou é diretamente afetado pela ameaça. Os valores suportados são: - Associated- Targeted |
| Táticas de Ataque | Recomendado | string | As táticas de ataque (nome, ID ou ambos) associadas ao alerta. Formato preferido: Por exemplo: Persistence, Privilege Escalation |
| Técnicas de Ataque | Recomendado | string | As técnicas de ataque (nome, ID ou ambos) associadas ao alerta. Formato preferido: Por exemplo: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Recomendado | string | Ações ou passos recomendados para mitigar ou remediar o ataque ou ameaça identificados. Por exemplo 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Campos do usuário
Esta seção define campos relacionados à identificação e classificação de usuários associados a um alerta, fornecendo clareza sobre o usuário afetado e o formato de sua identidade. Se o alerta contiver vários campos adicionais relacionados ao usuário que excedam o que é mapeado aqui, você pode considerar se um esquema especializado, como o esquema de Evento de Autenticação, pode ser mais apropriado para representar totalmente os dados.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| UserId | Opcional | string | Uma representação única, alfanumérica e legível por máquina do utilizador associado ao alerta. por exemplo, A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Condicional | Enumerated | O tipo de ID do usuário, como GUID, SIDou Email.Os valores suportados são: - GUID- SID- Email- Username- Phone- Other |
| Nome de utilizador | Recomendado | string | Nome do usuário associado ao alerta, incluindo informações de domínio, quando disponíveis. por exemplo, Contoso\JSmith ou john.smith@contoso.com |
| Utilizador | Alias | string | Alias ou nome amigável para Username campo. |
| UsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no Username campo. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema.por exemplo, Windows |
| Tipo de usuário | Opcional | UserType | O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. por exemplo, Guest |
| OriginalUserType | Opcional | string | O tipo de usuário conforme relatado pelo dispositivo de relatório. |
| UserSessionId | Opcional | string | O ID exclusivo da sessão do usuário associada ao alerta. por exemplo, a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Opcional | string | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual UserId e Username são definidos. por exemplo, a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Opcional | string | O escopo, como o locatário do Microsoft Entra, no qual UserId e Username são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. por exemplo, Contoso Directory |
Campos de processo
Esta seção permite capturar detalhes relacionados a uma entidade de processo envolvida em um alerta usando os campos especificados. Se o alerta contiver campos adicionais e detalhados relacionados ao processo que excedam o que é mapeado aqui, você pode considerar se um esquema especializado, como o esquema de Evento de Processo, pode ser mais apropriado para representar totalmente os dados.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| ProcessId | Opcional | string | A ID do processo (PID) associada ao alerta. por exemplo, 12345678 |
| ProcessCommandLine | Opcional | string | Linha de comando usada para iniciar o processo. por exemplo, "choco.exe" -v |
| ProcessName | Opcional | string | Nome do processo. por exemplo, C:\Windows\explorer.exe |
| ProcessFileCompany | Opcional | string | Empresa que criou o arquivo de imagem do processo. por exemplo, Microsoft |
Campos de arquivo
Esta seção permite capturar detalhes relacionados a uma entidade de arquivo envolvida em um alerta. Se o alerta contiver campos adicionais e detalhados relacionados a arquivos que excedam o que é mapeado aqui, você pode considerar se um esquema especializado, como o esquema de evento de arquivo, pode ser mais apropriado para representar totalmente os dados.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| Nome do arquivo | Opcional | string | Nome do arquivo associado ao alerta, sem caminho ou local. por exemplo, Notepad.exe |
| FilePath | Opcional | string | o caminho completo e normalizado do arquivo de destino, incluindo a pasta ou o local, o nome do arquivo e a extensão. por exemplo, C:\Windows\System32\notepad.exe |
| FileSHA1 | Opcional | string | SHA1 hash do arquivo. por exemplo, j5kl6mn7op8qr9st0uv1 |
| ArquivoSHA256 | Opcional | string | SHA256 hash do arquivo. por exemplo, a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| ArquivoMD5 | Opcional | string | Hash MD5 do arquivo. por exemplo, j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Tamanho do arquivo | Opcional | long | Tamanho do ficheiro em bytes. por exemplo, 123456 |
Campo Url
Se o alerta incluir informações sobre a entidade Url, os campos a seguir poderão capturar dados relacionados à URL.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| Url | Opcional | string | A cadeia de caracteres de URL capturada no alerta. por exemplo, https://contoso.com/fo/?k=v&q=u#f |
Campos do Registo
Se o alerta incluir detalhes sobre a entidade do Registro, use os campos a seguir para capturar informações específicas relacionadas ao Registro.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| RegistryKey | Opcional | string | A chave do Registro associada ao alerta, normalizada para convenções de nomenclatura de chave raiz padrão. por exemplo, HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Opcional | string | Valor do Registro. por exemplo, ImagePath |
| RegistryValueData | Opcional | string | Dados do valor do registo. por exemplo, C:\Windows\system32;C:\Windows; |
| RegistryValueType | Opcional | Enumerated | Tipo do valor do Registro. por exemplo, Reg_Expand_Sz |
Campos de e-mail
Se o alerta incluir informações sobre a entidade de email, use os campos a seguir para capturar detalhes específicos relacionados ao email.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| EmailMessageId | Opcional | string | Identificador exclusivo da mensagem de e-mail, associado ao alerta. por exemplo, Request for Invoice Access |
| EmailSubject | Opcional | string | Assunto do e-mail. por exemplo, j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Atualizações do Esquema
A seguir estão as alterações em várias versões do esquema:
- Versão 0.1: Versão inicial.