共用方式為


進階安全性資訊模型 (ASIM) 警示架構參考

Microsoft Sentinel 警示架構的設計目的是將各種產品的安全性相關警示標準化為Microsoft進階安全性資訊模型 (ASIM) 內的標準化格式。 此架構著重於安全性事件,確保跨不同數據源進行一致且有效率的分析。

警示架構代表各種類型的安全性警示,例如威脅、可疑活動、用戶行為異常和合規性違規。 這些警示是由不同的安全性產品和系統報告,包括但不限於 EDR、防病毒軟體、入侵檢測系統、數據外洩防護工具等。

如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。

重要

警示正規化架構目前為預覽狀態。 此功能已推出但不提供服務等級協定。 不建議用於生產工作負載。

Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

剖析器

如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀

統一剖析器

若要使用將所有 ASIM 現成剖析器統一起來的剖析器,並確保分析會跨所有設定的來源執行,請使用 _Im_AlertEvent 篩選剖析器或 _ASim_AlertEvent 無參數剖析器。 您也可以從 Sentinel GitHub 存放庫Microsoft部署工作區imAlertEventASimAlertEvent剖析器。

如需詳細資訊,請參閱 內建的 ASIM 剖析器和工作區部署的剖析器

現用、來源特定剖析器

如需Microsoft Sentinel 提供的警示剖析器清單,請參閱 ASIM 剖析器清單

新增您自己的標準化剖析器

開發警示資訊模型的自訂剖析器,請使用下列語法為您的 KQL 函式命名:

  • vimAlertEvent<vendor><Product> 用於參數化剖析器
  • ASimAlertEvent<vendor><Product> 適用於一般剖析器

請參閱管理 ASIM 剖析器一文,瞭解如何將自定義剖析器新增至警示統一剖析器。

篩選剖析器參數

警示剖析器支援各種 篩選參數 ,以改善查詢效能。 這些參數是選擇性參數,但可以增強查詢效能。 下列篩選參數可供使用:

名稱 類型​​ 描述
starttime Datetime 僅篩選在此時間或之後啟動的警示。
endtime Datetime 僅篩選此時或之前啟動的警示。
ipaddr_has_any_prefix dynamic 僅篩選 『DvcIpAddr』 字段位於其中一個所列值的警示
hostname_has_any dynamic 僅篩選 『DvcHostname』 字段位於其中一個所列值的警示
username_has_any dynamic 僅篩選 [用戶名稱] 字段位於其中一個所列值的警示
attacktactics_has_any dynamic 僅篩選 『AttackTactics』 字段位於其中一個所列值的警示
attacktechniques_has_any dynamic 僅篩選 『AttackTechniques』 字段位於其中一個所列值的警示
threatcategory_has_any dynamic 僅篩選 『ThreatCategory』 字段位於其中一個列出的值中的警示
alertverdict_has_any dynamic 僅篩選 『AlertVerdict』 字段位於其中一個列出的值中的警示
eventseverity_has_any dynamic 只篩選 『EventSeverity』 字段在其中一個列出的值中的警示

架構概觀

警示架構提供數種類型的安全性事件,這些事件會共用相同的欄位。 這些事件是由 EventType 欄位所識別:

  • 威脅資訊:與各種類型的惡意活動相關的警示,例如惡意代碼、網路釣魚、勒索軟體和其他網路威脅。
  • 可疑活動:不一定已確認威脅但可疑且需要進一步調查的活動警示,例如多次失敗的登入嘗試或存取受限制的檔案。
  • 使用者行為異常:指出可能建議安全性問題的異常或非預期用戶行為的警示,例如異常登入時間或不尋常的數據存取模式。
  • 合規性違規:與法規或內部原則不符合規範相關的警示。 例如,以開放公用埠公開的 VM 容易遭受攻擊(雲端安全性警示)。

重要

若要保留警示架構的相關性和有效性,應該只對應安全性相關的警示。

警示架構會參考下列實體來擷取警示的詳細數據:

  • Dvc 欄位可用來擷取與警示相關聯的主機或 Ip 相關詳細數據
  • 使用者 字段可用來擷取與警示相關聯之使用者的詳細數據。
  • 同樣地,[處理]、[檔案][URL]、[登錄] 和 [電子郵件] 欄位會分別用來擷取與警示相關聯之進程、檔案、Url、登錄和電子郵件的主要詳細數據。

重要

  • 建置產品特定的剖析器時,當警示包含安全性事件或潛在威脅的相關信息時,請使用 ASIM 警示架構架構,而主要詳細數據可以直接對應至可用的警示架構欄位。 警示架構很適合用來擷取摘要資訊,而不需要廣泛的實體特定欄位。
  • 不過,如果您發現自己因為缺乏直接字段相符而將基本字段放在 『AdditionalFields』 中,請考慮更特殊的架構。 例如,如果警示包含網路相關詳細數據,例如多個IP位址,例如SrcIpAdr、DstIpAddr、PortNumber等,則您可以選擇透過警示架構選擇 NetworkSession 架構。 特製化架構也提供專用字段來擷取威脅相關信息、增強數據品質,以及促進有效率的分析。

架構詳細數據

一般 ASIM 欄位

下列清單提及具有警示事件特定指導方針的欄位:

欄位 類別 類型 描述
EventType 必要 Enumerated 事件的類型。

支援的值為:
-Alert
EventSubType 建議需求 Enumerated 指定警示事件的子類型或類別,在更廣泛的事件分類中提供更細微的詳細數據。 此欄位有助於區分偵測到問題的本質、改善事件優先順序和回應策略。

支援的值包括:
- Threat (代表可能危害系統或網路的已確認或極可能惡意活動)
- Suspicious Activity (標幟異常或可疑的行為或事件,但尚未確認為惡意)
- Anomaly (識別可能表示潛在安全性風險或作問題的正常模式偏差)
- Compliance Violation (強調違反法規、政策或合規性標準的活動)
EventUid 必要 字串 計算機可讀取的英數位元字串,可唯一識別系統中的警示。
例如,A1bC2dE3fH4iJ5kL6mN7oP8qR9s
EventMessage 選擇性 字串 警示的詳細資訊,包括其內容、原因和潛在影響。
例如,Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets.
IpAddr Alias 欄位的 DvcIpAddr 別名或易記名稱。
主機名稱 Alias 欄位的 DvcHostname 別名或易記名稱。
EventSchema 必要 字串 用於事件的架構。 這裡記載的架構為 AlertEvent
EventSchemaVersion 必要 字串 結構描述的版本。 這裡記載的架構版本為 0.1

所有通用欄位

下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。

類別 欄位
必要 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventUid
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
建議需求 - EventSubType
- EventSeverity
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
選擇性 - EventMessage
- EventOriginalType
- EventOriginalSubType
- EventOriginalSeverity
- EventProductVersion
- EventOriginalUid
- EventReportUrl
- EventResult
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcAction
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

檢查欄位

下表涵蓋提供與警示相關聯之規則和威脅的重要見解的欄位。 它們一起有助於豐富警示的內容,讓安全性分析師更容易瞭解其來源和重要性。

欄位 類別 類型 描述
AlertId Alias 字串 欄位的 EventUid 別名或易記名稱。
AlertName 建議需求 字串 警示的標題或名稱。
例如,Possible use of the Rubeus kerberoasting tool
AlertDescription Alias 字串 欄位的 EventMessage 別名或易記名稱。
AlertVerdict 選擇性 Enumerated 警示的最終判斷或結果,指出警示是否已確認為威脅、視為可疑或解析為誤判。

支援的值為:
- True Positive (確認為合法威脅)
- False Positive (錯誤地識別為威脅)
- Benign Positive (當事件確定為無害時)
- Unknown (不確定或不確定的狀態)
AlertStatus 選擇性 Enumerated 指出警示的目前狀態或進度。

支援的值為:
- Active
- Closed
AlertOriginalStatus 選擇性 字串 由原始系統回報的警示狀態。
DetectionMethod 選擇性 Enumerated 提供有關產生警示的特定偵測方法、技術或數據源的詳細資訊。 此欄位提供更深入的警示偵測或觸發方式,協助瞭解偵測內容和可靠性。

支援的值包括:
- EDR:監視和分析端點活動的端點偵測和響應系統,以識別威脅。
- Behavioral Analytics:偵測使用者、裝置或系統行為異常模式的技術。
- Reputation:根據IP位址、網域或檔案的信譽進行威脅偵測。
- Threat Intelligence:外部或內部情報摘要提供已知威脅或敵人策略的數據。
- Intrusion Detection:監視網路流量或活動是否有入侵或攻擊跡象的系統。
- Automated Investigation:分析及調查警示的自動化系統,減少手動工作負載。
- Antivirus:根據簽章和啟發學習法偵測惡意代碼的傳統防毒引擎。
- Data Loss Prevention:著重於防止未經授權的數據傳輸或外泄的解決方案。
- User Defined Blocked List:使用者定義的自定義清單,以封鎖特定IP、網域或檔案。
- Cloud Security Posture Management:評估及管理雲端環境中安全性風險的工具。
- Cloud Application Security:保護雲端應用程式和數據的解決方案。
- Scheduled Alerts:根據預先定義的排程或閾值產生的警示。
- Other:上述類別未涵蓋的任何其他偵測方法。
規則 Alias 字串 RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。
RuleNumber 選擇性 int 與警示相關聯的規則數目。

例如,123456
RuleName 選擇性 字串 與警示相關聯的規則名稱或標識碼。

例如,Server PSEXEC Execution via Remote Access
RuleDescription 選擇性 字串 與警示相關聯的規則描述。

例如,This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network
ThreatId 選擇性 字串 警示中識別的威脅或惡意代碼標識碼。

例如,1234567891011121314
ThreatName 選擇性 字串 警示中所識別的威脅或惡意代碼名稱。

例如,Init.exe
ThreatFirstReportedTime 選擇性 Datetime 第一次報告威脅的日期和時間。

例如,2024-09-19T10:12:10.0000000Z
ThreatLastReportedTime 選擇性 Datetime 上次報告威脅的日期和時間。

例如,2024-09-19T10:12:10.0000000Z
ThreatCategory 建議需求 Enumerated 警示中識別的威脅或惡意代碼類別。

支援的值為:Malware、、VirusRansomwareTrojanSpywareRootkitAdwareWorm、、 SpoofingSecurity Policy ViolationCryptominorPhishingSpamMaliciousUrlUnknown
ThreatOriginalCategory 選擇性 字串 原始系統所報告的威脅類別。
ThreatIsActive 選擇性 bool 指出威脅目前是否作用中。

支援的值包括: TrueFalse
ThreatRiskLevel 選擇性 int 與威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。

注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。
ThreatOriginalRiskLevel 選擇性 字串 原始系統所報告的風險層級。
ThreatConfidence 選擇性 int 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。
ThreatOriginalConfidence 選擇性 字串 原始系統所報告的信賴等級。
IndicatorType 建議需求 Enumerated 指標的類型或類別

支援的值為:
-Ip
-User
-Process
-Registry
-Url
-Host
-Cloud Resource
-Application
-File
-Email
-Mailbox
-Logon Session
IndicatorAssociation 選擇性 Enumerated 指定指標是否連結至威脅,或受到威脅直接影響。

支援的值為:
-Associated
-Targeted
AttackTactics 建議需求 字串 與警示相關聯的攻擊策略(名稱、標識碼或兩者) 。
慣用格式:

例如: Persistence, Privilege Escalation
AttackTechniques 建議需求 字串 與警示相關聯的攻擊技術(名稱、標識元或兩者) 。
慣用格式:

例如: Local Groups (T1069.001), Domain Groups (T1069.002)
AttackRemediationSteps 建議需求 字串 建議的動作或步驟,以減輕或補救已識別的攻擊或威脅。
例如:
1. Make sure the machine is completely updated and all your software has the latest patch.
2. Contact your incident response team.

使用者欄位

本節會定義與警示相關聯之使用者的識別和分類相關的欄位,以清楚說明受影響的使用者及其身分識別的格式。 如果警示包含其他超過此處所對應的多個使用者相關欄位,您可以考慮是否更適合用來完整表示數據的特製化架構,例如驗證事件架構。

欄位 類別 類型 描述
UserId 選擇性 字串 計算機可讀取、英數位元、與警示相關聯之使用者的唯一表示法。

例如,A1bC2dE3fH4iJ5kL6mN7o
UserIdType 條件 Enumerated 使用者識別碼的類型,例如 GUIDSIDEmail

支援的值為:
- GUID
- SID
- Email
- Username
- Phone
- Other
使用者名稱 建議需求 字串 與警示相關聯的用戶名稱,包括可用時的網域資訊。

例如 Contoso\JSmithjohn.smith@contoso.com
使用者 Alias 字串 欄位的 Username 別名或易記名稱。
UsernameType 條件 UsernameType 指定儲存在 Username 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱架構概觀一文中的UsernameType。

例如,Windows
UserType 選擇性 UserType 動作項目的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。

例如,Guest
OriginalUserType 選擇性 字串 報告裝置所報告的用戶類型。
UserSessionId 選擇性 字串 與警示相關聯之用戶會話的唯一標識符。

例如,a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u
UserScopeId 選擇性 字串 定義 UserId 和 Username 的範圍識別碼,例如 Microsoft Entra 目錄識別碼。

例如,a1bc2de3-fh4i-j5kl-6mn7-op8qrs
UserScope 選擇性 字串 定義 UserId 和 Username 的範圍,例如 Microsoft Entra 租使用者。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。

例如,Contoso Directory

處理欄位

本節可讓您使用指定的字段,擷取與警示中涉及的進程實體相關的詳細數據。 如果警示包含超過此處所對應專案的其他詳細進程相關欄位,您可以考慮是否更適合用來完整表示數據的特製化架構,例如進程事件架構。

欄位 類別 類型 描述
ProcessId 選擇性 字串 與警示相關聯的進程標識碼 (PID)。

例如,12345678
ProcessCommandLine 選擇性 字串 用來啟動程式的命令行。

例如,"choco.exe" -v
ProcessName 選擇性 字串 進程的名稱。

例如,C:\Windows\explorer.exe
ProcessFileCompany 選擇性 字串 建立程式映像檔的公司。

例如,Microsoft

檔案欄位

本節可讓您擷取與警示相關檔案實體的相關詳細數據。 如果警示包含超過此處所對應專案的其他詳細檔案相關欄位,您可以考慮是否更適合用來完整表示數據的特製化架構,例如檔案事件架構。

欄位 類別 類型 描述
FileName 選擇性 字串 與警示相關聯的檔名,不含路徑或位置。

例如,Notepad.exe
FilePath 選擇性 字串 他完整、標準化的目標檔案路徑,包括資料夾或位置、檔名和擴展名。

例如,C:\Windows\System32\notepad.exe
FileSHA1 選擇性 字串 檔案的SHA1哈希。

例如,j5kl6mn7op8qr9st0uv1
FileSHA256 選擇性 字串 檔案的SHA256哈希。

例如,a1bc2de3fh4ij5kl6mn7op8qrs2de3
FileMD5 選擇性 字串 檔案的 MD5 哈希。

例如,j5kl6mn7op8qr9st0uv1wx2yz3ab4c
FileSize 選擇性 long 檔案大小,以位元組為單位。

例如,123456

URL 欄位

如果您的警示包含 URL 實體的相關信息,下列欄位可以擷取 URL 相關數據。

欄位 類別 類型 描述
Url 選擇性 字串 警示中擷取的 URL 字串。

例如,https://contoso.com/fo/?k=v&amp;q=u#f

登錄欄位

如果您的警示包含登錄實體的詳細數據,請使用下列欄位來擷取特定登錄相關信息。

欄位 類別 類型 描述
RegistryKey 選擇性 字串 與警示相關聯的登錄機碼,標準化為標準根密鑰命名慣例。

例如,HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue 選擇性 字串 登錄值。

例如,ImagePath
RegistryValueData 選擇性 字串 登錄值的數據。

例如,C:\Windows\system32;C:\Windows;
RegistryValueType 選擇性 Enumerated 登錄值的型別。

例如,Reg_Expand_Sz

電子郵件欄位

如果您的警示包含電子郵件實體的相關信息,請使用下列欄位來擷取特定電子郵件相關詳細數據。

欄位 類別 類型 描述
EmailMessageId 選擇性 字串 與警示相關聯的電子郵件訊息的唯一標識符。

例如,Request for Invoice Access
EmailSubject 選擇性 字串 電子郵件的主旨。

例如,j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c

架構更新

以下是各種架構版本的變更:

  • 版本 0.1:初始版本。