Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Denetim Olayları normalleştirme şema başvurusu (Genel önizleme)

Microsoft Sentinel Denetim olayları normalleştirme şeması, bilgi sistemlerinin denetim kaydıyla ilişkili olayları temsil eder. Denetim izi, sistem yapılandırma etkinliklerini ve ilke değişikliklerini günlüğe kaydeder. Bu tür değişiklikler genellikle sistem yöneticileri tarafından gerçekleştirilir, ancak kendi uygulamalarının ayarları yapılandırılırken kullanıcılar tarafından da gerçekleştirilebilir.

Her sistem, denetim olaylarını temel etkinlik günlüklerinin yanı sıra günlüğe kaydeder. Örneğin, güvenlik duvarı ağ oturumları ile ilgili olayları işlemler olarak günlüğe kaydeder ve Güvenlik Duvarı'nın kendisine uygulanan yapılandırma değişiklikleriyle ilgili olayları denetler.

Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).

Önemli

Denetim Olayı normalleştirme şeması şu anda önizleme aşamasındadır. Bu özellik, hizmet düzeyi sözleşmesi olmadan sağlanır. Üretim iş yükleri için önerilmez.

Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Şemaya genel bakış

Denetim olayının ana alanları şunlardır:

Denetim olayları, yapılandırma işlemine dahil olan aşağıdaki varlıklara da başvurur:

  • Actor - Yapılandırma işlemini gerçekleştiren kullanıcı.
  • TargetApp - Yapılandırma işleminin uygulandığı uygulama veya sistem.
  • Target - TaregtApp* uygulamasının çalıştığı sistem.
  • ActingApp - Aktör tarafından yapılandırma işlemini gerçekleştirmek için kullanılan uygulama.
  • Src - Target değerinden farklıysa, Aktör tarafından yapılandırma işlemini başlatmak için kullanılan sistem.

Tanımlayıcı Dvc , bir uç nokta tarafından bildirilen oturumlar için yerel sistem olan raporlama cihazı ve diğer durumlarda aracı veya güvenlik cihazı için kullanılır.

Çözümleyicileri

Denetim olayları ayrıştırıcılarını dağıtma ve kullanma

Microsoft Sentinel GitHub deposundan ASIM denetim olayları ayrıştırıcılarını dağıtın. Tüm denetim olayı kaynaklarını sorgulamak için, sorgunuzda tablo adı olarak birleştirici ayrıştırıcıyı imAuditEvent kullanın.

ASIM ayrıştırıcılarını kullanma hakkında daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış. Denetim olayı ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın

Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme

Dosya Olayı bilgi modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imAuditEvent<vendor><Product>. Özel ayrıştırıcılarınızı denetim olayı birleştirici ayrıştırıcısına eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.

Ayrıştırıcı parametrelerini filtreleme

Denetim olayları ayrıştırıcıları parametreleri filtrelemeyi destekler. Bu parametreler isteğe bağlı olsa da sorgu performansınızı artırabilir.

Aşağıdaki filtreleme parametreleri kullanılabilir:

Adı Tür Açıklama
starttime datetime Yalnızca bu sürenin sonunda veya sonrasında çalıştırılan olayları filtreleyin. Bu parametre, TimeGenerated olayı zaman belirleyicisi olarak alanını kullanır.
bitiş saati datetime Yalnızca şu anda veya öncesinde çalışması tamamlanan olay sorgularını filtreleyin. Bu parametre, TimeGenerated olayı zaman belirleyicisi olarak alanını kullanır.
srcipaddr_has_any_prefix dynamic SrcIpAddr alanında gösterildiği gibi yalnızca bu kaynak IP adresinden gelen olayları filtreleyin.
eventtype_in Dize Yalnızca EventType alanında gösterildiği gibi olay türünün sağlanan terimlerden herhangi biri olduğu olayları filtreleyin.
eventresult Dize Yalnızca EventResult alanında gösterildiği gibi olay sonucunun parametre değerine eşit olduğu olayları filtreleyin.
actorusername_has_any dinamik/dize Yalnızca ActorUsername öğesinin sağlanan terimlerden herhangi birini içerdiği olayları filtreleyin.
operation_has_any dinamik/dize Yalnızca İşlem alanının sağlanan terimlerden herhangi birini içerdiği olayları filtreleyin.
object_has_any dinamik/dize Yalnızca Object alanında sağlanan terimlerden herhangi birini içeren olayları filtreleyin.
newvalue_has_any dinamik/dize Yalnızca NewValue alanının sağlanan terimlerden herhangi birini içerdiği olayları filtreleyin.

Bazı parametreler hem tür dynamic değerleri listesini hem de tek bir dize değerini kabul edebilir. Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.'])

Örneğin, son günden itibaren yalnızca denetim olaylarını terimlerle install veya update İşlem alanlarında filtrelemek için şunu kullanın:

imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())

Şema ayrıntıları

Ortak ASIM alanları

Önemli

Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.

Belirli yönergelere sahip ortak alanlar

Aşağıdaki listede Denetim Olayları için belirli yönergelere sahip alanlardan bahsediliyor:

Alan Sınıf Type Açıklama
EventType Zorunlu Enumerated Olay tarafından normalleştirilmiş bir değer kullanılarak denetlenen işlemi açıklar. Normalleştirilmiş değerin iletmediği diğer ayrıntıları ve İşlem'i sağlamak için EventSubType'ı kullanın. raporlama cihazı tarafından bildirilen işlemi depolamak için.

Denetim Olayı kayıtları için izin verilen değerler şunlardır:
- Set
- Read
- Create
- Delete
- Execute
- Install
- Clear
- Enable
- Disable
- Other

Denetim olayları çok çeşitli işlemleri temsil eden bir değerdir Other ve değeri karşılık gelen EventTypeolmayan eşleme işlemlerini etkinleştirir. Ancak, kullanımı Other olayın kullanılabilirliğini sınırlar ve mümkünse kaçınılmalıdır.
EventSubType İsteğe bağlı String EventType'ta normalleştirilmiş değerin iletmediği diğer ayrıntıları sağlar.
EventSchema Zorunlu String Burada belgelenen şemanın adıdır AuditEvent.
EventSchemaVersion Zorunlu String Şema sürümü. Şemanın burada belgelenen sürümüdür 0.1.

Tüm ortak alanlar

Tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Bu belgede belirtilen yönergelerden herhangi biri alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.

Sınıf Alanlar
Zorunlu - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Önerilir - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
İsteğe bağlı - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- EkAlanlar
- DvcDescription
- DvcScopeId
- DvcScope

Denetim alanları

Alan Sınıf Type Açıklama
İşlem Zorunlu String İşlem, raporlama cihazı tarafından bildirilen şekilde denetlendi.
Nesne Zorunlu String EventType tarafından tanımlanan işlemin gerçekleştirildiği nesnenin adı.
ObjectType Zorunlu Enumerated Nesne türü. İzin verilen değerler şunlardır:
- Cloud Resource
- Configuration Atom
- Policy Rule
-Başka
OldValue İsteğe bağlı String İşlemden önceki Object değerinin (varsa) eski değeri.
YeniDeğer İsteğe bağlı String İşlem gerçekleştirildikten sonra object değerinin (varsa) yeni değeri.
Value Diğer ad NewValue diğer adı
ValueType Koşullu Enumerated Eski ve yeni değerlerin türü. İzin verilen değerler şunlardır:
-Başka

Aktör alanları

Alan Sınıf Type Açıklama
ActorUserId İsteğe bağlı String Aktör'ün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Daha fazla bilgi ve diğer kimlikler için alternatif alanlar için bkz . Kullanıcı varlığı.

Örnek: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope İsteğe bağlı String ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Etki Alanı Adı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın.
ActorScopeId İsteğe bağlı String ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın.
ActorUserIdType Koşullu UserIdType ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType bölümüne bakın.
ActorUsername Önerilir Username Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktörün kullanıcı adı. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: AlbertE
Kullanıcı Diğer ad ActorUsername diğer adı
ActorUsernameType Koşullu UsernameType ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UsernameType bölümüne bakın.

Örnek: Windows
ActorUserType İsteğe bağlı UserType Aktör türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserType bölümüne bakın.

Örneğin: Guest
ActorOriginalUserType İsteğe bağlı UserType Raporlama cihazı tarafından bildirilen kullanıcı türü.
ActorSessionId İsteğe bağlı String Aktör'ün oturum açma oturumunun benzersiz kimliği.

Örnek: 102pTUgC3p8RIqHvzxLCHnFlg

Hedef uygulama alanları

Alan Sınıf Type Açıklama
TargetAppId İsteğe bağlı String İşlem, tarayıcı veya hizmet de dahil olmak üzere olayın geçerli olduğu uygulamanın kimliği.

Örnek: 89162
TargetAppName İsteğe bağlı String Hizmet, URL veya SaaS uygulaması dahil olmak üzere olayın geçerli olduğu uygulamanın adı.

Örnek: Exchange 365
Uygulama Diğer ad TargetAppName diğer adı
TargetAppType İsteğe bağlı AppType Aktör adına yetkilendirilen uygulamanın türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindeki AppType'a bakın.
TargetUrl İsteğe bağlı URL Hedef uygulamayla ilişkili URL.

Örnek: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b

Hedef sistem alanları

Alan Sınıf Type Açıklama
Dst Diğer ad String Kimlik doğrulama hedefinin benzersiz tanımlayıcısı.

Bu alan TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId veya TargetAppName alanlarına diğer ad verebilir.

Örnek: 192.168.12.1
TargetHostname Önerilir Konak adı Etki alanı bilgileri hariç hedef cihaz ana bilgisayar adı.

Örnek: DESKTOP-1282V4D
TargetDomain Önerilir String Hedef cihazın etki alanı.

Örnek: Contoso
TargetDomainType Koşullu Enumerated TargetDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın.

TargetDomain kullanılıyorsa gereklidir.
TargetFQDN İsteğe bağlı String Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı.

Örnek: Contoso\DESKTOP-1282V4D

Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. TargetDomainType, kullanılan biçimi yansıtır.
TargetDescription İsteğe bağlı String Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller.
TargetDvcId İsteğe bağlı String Hedef cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın TargetDvc<DvcIdType>.

Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsam kimliği. TargetDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
TargetDvcScope İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsamı. TargetDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
TargetDvcIdType Koşullu Enumerated TargetDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın.

TargetDeviceId kullanılıyorsa gereklidir.
TargetDeviceType İsteğe bağlı Enumerated Hedef cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın.
TargetIpAddr İsteğe bağlı IP Adresi Hedef cihazın IP adresi.

Örnek: 2.2.2.2
TargetDvcOs İsteğe bağlı String Hedef cihazın işletim sistemi.

Örnek: Windows 10
TargetPortNumber İsteğe bağlı Tamsayı Hedef cihazın bağlantı noktası.

Uygulama Alanlarını Harekete Geçirme

Alan Sınıf Type Açıklama
ActingAppId İsteğe bağlı String İşlem, tarayıcı veya hizmet de dahil olmak üzere bildirilen etkinliği başlatan uygulamanın kimliği.

Örneğin: 0x12ae8
ActiveAppName İsteğe bağlı String Hizmet, URL veya SaaS uygulaması dahil olmak üzere bildirilen etkinliği başlatan uygulamanın adı.

Örneğin: C:\Windows\System32\svchost.exe
ActingAppType İsteğe bağlı AppType Eylem uygulama türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindeki AppType'a bakın.
HttpUserAgent İsteğe bağlı String Kimlik doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri, kimlik doğrulamasını gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir.

Örneğin: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Kaynak sistem alanları

Alan Sınıf Type Açıklama
Src Diğer ad String Kaynak cihazın benzersiz tanımlayıcısı.

Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarının diğer adını alabilir.

Örnek: 192.168.12.1
SrcIpAddr Önerilir IP Adresi Bağlantının veya oturumun kaynaklandığı IP adresi.

Örnek: 77.138.103.108
IpAddr Diğer ad SrcIpAddr için veya SrcIpAddr sağlanmadıysa TargetIpAddr için diğer ad.
SrcPortNumber İsteğe bağlı Tamsayı Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturumla ilgili olmayabilir.

Örnek: 2335
SrcHostname Önerilir Konak adı Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın.

Örnek: DESKTOP-1282V4D
SrcDomain Önerilir String Kaynak cihazın etki alanı.

Örnek: Contoso
SrcDomainType Koşullu DomainType SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın.

SrcDomain kullanılıyorsa gereklidir.
SrcFQDN İsteğe bağlı String Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı.

Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır.

Örnek: Contoso\DESKTOP-1282V4D
SrcDescription İsteğe bağlı String Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller.
SrcDvcId İsteğe bağlı String Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>.

Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcScope İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcIdType Koşullu DvcIdType SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın.

Not: SrcDvcId kullanılıyorsa bu alan gereklidir.
SrcDeviceType İsteğe bağlı DeviceType Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın.
SrcSubscriptionId İsteğe bağlı String Kaynak cihazın ait olduğu bulut platformu abonelik kimliği. SrcSubscriptionId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcGeoCountry İsteğe bağlı Ülke Kaynak IP adresiyle ilişkili ülke.

Örnek: USA
SrcGeoRegion İsteğe bağlı Bölge Kaynak IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge.

Örnek: Vermont
SrcGeoCity İsteğe bağlı City Kaynak IP adresiyle ilişkili şehir.

Örnek: Burlington
SrcGeoLatitude İsteğe bağlı Enlem Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi.

Örnek: 44.475833
SrcGeoLongitude İsteğe bağlı Boylam Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı.

Örnek: 73.211944

Denetim alanları

Aşağıdaki alanlar, bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır.

Alan Sınıf Type Açıklama
RuleName İsteğe bağlı String Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği.
KuralSayısı İsteğe bağlı Tamsayı denetim sonuçlarıyla ilişkili kuralın sayısı.
Kural Diğer ad String RuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, türü dizeye dönüştürülmelidir.
ThreatId İsteğe bağlı String Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği.
ThreatName İsteğe bağlı String Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı.
ThreatCategory İsteğe bağlı String Denetim dosyası etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi.
ThreatRiskLevel İsteğe bağlı Tamsayı Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır.

Not: Bu değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır.
ThreatOriginalRiskLevel İsteğe bağlı String Raporlama cihazı tarafından bildirilen risk düzeyi.
ThreatConfidence İsteğe bağlı Tamsayı Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir.
ThreatOriginalConfidence İsteğe bağlı String Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi.
ThreatIsActive İsteğe bağlı Boolean Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true.
ThreatFirstReportedTime İsteğe bağlı datetime IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı.
ThreatLastReportedTime İsteğe bağlı datetime IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman.
ThreatIpAddr İsteğe bağlı IP Adresi Bir tehdidin tanımlandığı IP adresi. ThreatField alanı ThreatIpAddr'ın temsil ettiği alanın adını içerir.
ThreatField İsteğe bağlı Enumerated Bir tehdidin tanımlandığı alan. Değer veya SrcIpAddr TargetIpAddrşeklindedir.

Sonraki adımlar

Daha fazla bilgi için bkz.