Referenční informace o událostech normalizace událostí auditu Advanced Security Information Model (ASIM) (Public Preview)
Schéma normalizace událostí auditu služby Microsoft Sentinel představuje události přidružené ke záznamu auditu informačních systémů. Protokoluje aktivity konfigurace systému a změny zásad. Tyto změny často provádějí správci systému, ale mohou je také provádět uživatelé při konfiguraci nastavení vlastních aplikací.
Každý systém protokoluje události auditu spolu s základními protokoly aktivit. Brána firewall například bude protokolovat události týkající se síťových relací procesy a auditovat události týkající se změn konfigurace použitých u samotné brány firewall.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Schéma normalizace událostí auditu je aktuálně ve verzi Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb. Nedoporučujeme ho pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Přehled schématu
Hlavní pole události auditu jsou:
- Objekt, který může být například spravovaným prostředkem nebo pravidlem zásad, na který se událost zaměřuje, reprezentovaná polem Object. Pole ObjectType určuje typ objektu.
- Kontext aplikace objektu reprezentovaný polem TargetAppName, které je aliasem aplikace.
- Operace provedená u objektu reprezentovaná poli EventType a Operation. Operace je hodnota hlášená zdrojem, EventType je normalizovaná verze, která je konzistentnější napříč zdroji.
- Staré a nové hodnoty objektu, pokud je to možné, reprezentované OldValue a NewValue v uvedeném pořadí.
Události auditu také odkazují na následující entity, které jsou součástí operace konfigurace:
- Objekt actor – uživatel provádějící operaci konfigurace.
- TargetApp – aplikace nebo systém, pro který se vztahuje operace konfigurace.
- Target – systém, na kterém je spuštěná aplikace TaregtApp*.
- ActingApp – aplikace používaná objektem Actor k provedení operace konfigurace.
- Src – systém používaný objektem Actor k zahájení operace konfigurace, pokud se liší od cíle.
Popisovač Dvc se používá pro zařízení pro generování sestav, což je místní systém pro relace hlášené koncovým bodem a zprostředkující nebo bezpečnostní zařízení v jiných případech.
Analyzátory
Nasazení a použití analyzátorů událostí auditu
Nasaďte analyzátory událostí auditu ASIM z úložiště GitHub pro Microsoft Sentinel. K dotazování napříč všemi zdroji událostí auditu použijte sjednocení analyzátoru imAuditEvent jako název tabulky v dotazu.
Další informace o používání analyzátorů ASIM najdete v přehledu analyzátorů ASIM. Seznam analyzátorů událostí auditu, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro informační model událostí souboru pojmenujte funkce KQL pomocí následující syntaxe: imAuditEvent<vendor><Product>. V článku Správa analyzátorů ASIM se dozvíte, jak přidat vlastní analyzátory do analyzátoru událostí auditu.
Filtrování parametrů analyzátoru
Analyzátory událostí auditu podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name | Typ | Popis |
|---|---|---|
| čas zahájení | datetime | Filtrovat pouze události, které se spustily v tuto chvíli nebo po tomto okamžiku. Tento parametr používá TimeGenerated pole jako návrh času události. |
| endtime | datetime | Filtrovat pouze dotazy na události, které se dokončily v této době nebo dříve. Tento parametr používá TimeGenerated pole jako návrh času události. |
| srcipaddr_has_any_prefix | dynamic | Filtrujte pouze události z této zdrojové IP adresy, jak je znázorněno v poli SrcIpAddr . |
| eventtype_in | string | Filtrování pouze událostí, ve kterých je typ události reprezentovaný v poli EventType , jsou některé z zadaných termínů. |
| eventresult | string | Filtruje pouze události, ve kterých se výsledek události, jak je znázorněno v poli EventResult , rovná hodnotě parametru. |
| actorusername_has_any | dynamic/string | Vyfiltrujte pouze události, ve kterých název ActorUsername obsahuje některé z uvedených podmínek. |
| operation_has_any | dynamic/string | Vyfiltrujte pouze události, ve kterých pole Operace obsahuje některý z uvedených termínů. |
| object_has_any | dynamic/string | Vyfiltrujte pouze události, ve kterých pole Objekt obsahuje některý z zadaných termínů. |
| newvalue_has_any | dynamic/string | Vyfiltrujte pouze události, ve kterých pole NewValue obsahuje některý z zadaných termínů. |
Některý parametr může přijmout oba seznamy hodnot typu dynamic nebo jednu řetězcovou hodnotu. Pokud chcete předat literálový seznam parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.'])
Pokud například chcete filtrovat pouze události auditu s termíny install nebo update v poli Operace , použijte poslední den:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Podrobnosti schématu
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
V následujícím seznamu jsou uvedena pole s konkrétními pokyny pro události auditu:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Typ události | Povinné | Enumerated | Popisuje operaci auditovanou událostí pomocí normalizované hodnoty. Pomocí třídy EventSubType uveďte další podrobnosti, které normalizovaná hodnota nesděluje a operaci. uložení operace hlášené zařízením pro generování sestav. U záznamů událostí auditu jsou povolené hodnoty: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Události auditu představují širokou škálu operací a Other hodnota umožňuje mapování operací, které nemají odpovídající EventType. Použití Other omezení použitelnosti události a pokud je to možné, měli byste se jim vyhnout. |
| EventSubType | Volitelné | String | Poskytuje další podrobnosti, které normalizovaná hodnota v EventType nepředává. |
| EventSchema | Povinné | String | Název schématu popsaného zde je AuditEvent. |
| EventSchemaVersion | Povinné | String | Verze schématu. Verze zde popsaného schématu je 0.1. |
Všechna společná pole
Pole, která se zobrazují v tabulce, jsou společná pro všechna schémata ASIM. Všechny pokyny uvedené v tomto dokumentu přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další informace o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinné | - EventCount - EventStartTime - EventEndTime - Typ události - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené | - EventResultDetails - EventSeverity - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole auditování
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Operace | Povinné | String | Operace auditovaná podle hlášení zařízení pro generování sestav. |
| Objekt | Povinné | String | Název objektu, na kterém je provedena operace identifikovaná typem EventType . |
| ObjectType | Povinné | Enumerated | Typ objektu. Povolené hodnoty jsou následující: - Cloud Resource- Configuration Atom- Policy Rule-Jiný |
| OldValue | Volitelné | String | Stará hodnota objektu před operací, pokud je k dispozici. |
| NewValue | Volitelné | String | Nová hodnota objektu po provedení operace, pokud je k dispozici. |
| Hodnota | Alias | Alias do NewValue | |
| ValueType | Podmíněné | Enumerated | Typ starých a nových hodnot. Povolené hodnoty jsou -Jiný |
Pole objektu actor
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActorUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace objektu Actor. Další informace a alternativní pole pro jiná ID naleznete v tématu Entita Uživatel. Příklad: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Volitelné | String | Obor, například Název domény Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| ActorScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
| ActorUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli ActorUserId . Další informace a seznam povolených hodnot naleznete v části UserIdType v článku Přehled schématu. |
| ActorUsername | Doporučené | Username | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
| Uživatel | Alias | Alias pro ActorUsername | |
| ActorUsernameType | Podmíněné | UsernameType | Určuje typ uživatelského jména uloženého v poli ActorUsername . Další informace a seznam povolených hodnot naleznete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| ActorUserType | Volitelné | UserType | Typ objektu Actor. Další informace a seznam povolených hodnot naleznete v části UserType v článku Přehled schématu. Příklad: Guest |
| ActorOriginalUserType | Volitelné | UserType | Typ uživatele hlášený zařízením pro generování sestav. |
| ActorSessionId | Volitelné | String | Jedinečné ID přihlašovací relace objektu Actor. Příklad: 102pTUgC3p8RIqHvzxLCHnFlg |
Pole cílové aplikace
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| TargetAppId | Volitelné | String | ID aplikace, na kterou se událost vztahuje, včetně procesu, prohlížeče nebo služby. Příklad: 89162 |
| TargetAppName | Volitelné | String | Název aplikace, na kterou se událost vztahuje, včetně služby, adresy URL nebo aplikace SaaS. Příklad: Exchange 365 |
| Aplikace | Alias | Alias pro TargetAppName | |
| TargetAppType | Volitelné | Typ aplikace | Typ aplikace autorizující jménem objektu Actor. Další informace a seznam povolených hodnot naleznete v tématu AppType v článku Přehled schématu. |
| TargetUrl | Volitelné | Adresa URL | Adresa URL přidružená k cílové aplikaci. Příklad: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Pole cílového systému
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Dst | Alias | String | Jedinečný identifikátor cíle ověřování. Toto pole může aliasovat pole TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId nebo TargetAppName . Příklad: 192.168.12.1 |
| TargetHostname | Doporučené | Název hostitele | Název hostitele cílového zařízení s výjimkou informací o doméně. Příklad: DESKTOP-1282V4D |
| Cílová doména | Doporučené | String | Doména cílového zařízení. Příklad: Contoso |
| TargetDomainType | Podmíněné | Enumerated | Typ TargetDomain. Seznam povolených hodnot a další informace naleznete v části DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá cílová doména . |
| CílovýFQDN | Volitelné | String | Název hostitele cílového zařízení, včetně informací o doméně, pokud je k dispozici. Příklad: Contoso\DESKTOP-1282V4D Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. TargetDomainType odráží použitý formát. |
| TargetDescription | Volitelné | String | Popisný text přidružený k zařízení Například: Primary Domain Controller. |
| TargetDvcId | Volitelné | String | ID cílového zařízení. Pokud je k dispozici více ID, použijte ten nejdůležitější a uložte ostatní do polí TargetDvc<DvcIdType>. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. TargetDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| TargetDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. TargetDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| TargetDvcIdType | Podmíněné | Enumerated | Typ TargetDvcId. Seznam povolených hodnot a další informace najdete v části DvcIdType v článku Přehled schématu. Vyžaduje se, pokud se použije TargetDeviceId . |
| TargetDeviceType | Volitelné | Enumerated | Typ cílového zařízení. Seznam povolených hodnot a další informace najdete v části DeviceType v článku Přehled schématu. |
| TargetIpAddr | Volitelné | IP adresa | IP adresa cílového zařízení. Příklad: 2.2.2.2 |
| TargetDvcOs | Volitelné | String | Operační systém cílového zařízení. Příklad: Windows 10 |
| TargetPortNumber | Volitelné | Celé číslo | Port cílového zařízení. |
Pole aplikace pro herectví
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActingAppId | Volitelné | String | ID aplikace, která iniciovala nahlášenou aktivitu, včetně procesu, prohlížeče nebo služby. Příklad: 0x12ae8 |
| ActiveAppName | Volitelné | String | Název aplikace, která iniciovala ohlášenou aktivitu, včetně služby, adresy URL nebo aplikace SaaS. Příklad: C:\Windows\System32\svchost.exe |
| ActingAppType | Volitelné | Typ aplikace | Typ fungující aplikace. Další informace a seznam povolených hodnot naleznete v tématu AppType v článku Přehled schématu. |
| HttpUserAgent | Volitelné | String | Při ověřování prostřednictvím protokolu HTTP nebo HTTPS je hodnota tohoto pole user_agent hlavička HTTP poskytovaná hereckou aplikací při ověřování. Příklad: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Pole zdrojového systému
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Src | Alias | String | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Příklad: 192.168.12.1 |
| SrcIpAddr | Doporučené | IP adresa | IP adresa, ze které pochází připojení nebo relace. Příklad: 77.138.103.108 |
| IpAddr | Alias | Alias pro SrcIpAddr nebo TargetIpAddr, pokud není zadaný SrcIpAddr. | |
| SrcPortNumber | Volitelné | Celé číslo | Port IP, ze kterého připojení pochází. Nemusí být relevantní pro relaci, která obsahuje více připojení. Příklad: 2335 |
| SrcHostname | Doporučené | Název hostitele | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte do tohoto pole příslušnou IP adresu. Příklad: DESKTOP-1282V4D |
| SrcDomain | Doporučené | String | Doména zdrojového zařízení. Příklad: Contoso |
| SrcDomainType | Podmíněné | DomainType | Typ SrcDomain. Seznam povolených hodnot a další informace naleznete v části DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Volitelné | String | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole SrcDomainType odráží použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
| SrcDescription | Volitelné | String | Popisný text přidružený k zařízení Například: Primary Domain Controller. |
| SrcDvcId | Volitelné | String | ID zdrojového zařízení. Pokud je k dispozici více ID, použijte ten nejdůležitější a uložte ostatní do polí SrcDvc<DvcIdType>.Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | DvcIdType | Typ SrcDvcId. Seznam povolených hodnot a další informace najdete v části DvcIdType v článku Přehled schématu. Poznámka: Toto pole se vyžaduje, pokud se použije SrcDvcId . |
| SrcDeviceType | Volitelné | DeviceType | Typ zdrojového zařízení. Seznam povolených hodnot a další informace najdete v části DeviceType v článku Přehled schématu. |
| SrcSubscriptionId | Volitelné | String | ID předplatného cloudové platformy, do které zdrojové zařízení patří. SrcSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcGeoCountry | Volitelné | Země | Země přidružená ke zdrojové IP adrese. Příklad: USA |
| SrcGeoRegion | Volitelné | Oblast | Oblast v rámci země přidružené ke zdrojové IP adrese. Příklad: Vermont |
| SrcGeoCity | Volitelné | City | Město přidružené ke zdrojové IP adrese. Příklad: Burlington |
| SrcGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 44.475833 |
| SrcGeoLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 73.211944 |
Kontrolní pole
Následující pole slouží k reprezentaci kontroly prováděné systémem zabezpečení.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| RuleName | Volitelné | String | Název nebo ID pravidla přidružené k výsledkům kontroly. |
| RuleNumber | Volitelné | Celé číslo | Počet pravidel přidružených k výsledkům kontroly. |
| Pravidlo | Alias | String | Buď hodnota RuleName , nebo hodnota RuleNumber. Pokud se použije hodnota RuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Volitelné | String | ID hrozby nebo malwaru zjištěného v aktivitě auditu. |
| ThreatName | Volitelné | String | Název hrozby nebo malwaru zjištěného v aktivitě auditu. |
| ThreatCategory | Volitelné | String | Kategorie hrozby nebo malwaru zjištěného v aktivitě souboru auditu. |
| ThreatRiskLevel | Volitelné | Celé číslo | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Volitelné | String | Úroveň rizika hlášená zařízením pro generování sestav. |
| ThreatConfidence | Volitelné | Celé číslo | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Volitelné | String | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| ThreatIsActive | Volitelné | Logická hodnota | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Volitelné | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
| ThreatLastReportedTime | Volitelné | datetime | Čas posledního zjištění IP adresy nebo domény jako hrozby |
| ThreatIpAddr | Volitelné | IP adresa | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. |
| ThreatField | Volitelné | Enumerated | Pole, pro které byla zjištěna hrozba. Hodnota je buď SrcIpAddr nebo TargetIpAddr. |
Další kroky
Další informace naleznete v tématu: