Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein ASIM-Schema (Advanced Security Information Model) ist ein Satz von Feldern, die eine Aktivität oder Entität darstellen. Die Verwendung der Felder aus einem normalisierten Schema in einer Abfrage stellt sicher, dass die Abfrage mit jeder normalisierten Quelle funktioniert.
Informationen dazu, wie Schemas in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.
Aktivitäts-/Ereignisschemas
Schemaverweise beschreiben die Felder, aus denen die einzelnen Schemas bestehen. ASIM definiert derzeit die folgenden Schemas für Ereignisse:
| Schema | Schemaname für Tests | Version | Status |
|---|---|---|---|
| Warnungsereignis | AlertEvent |
0,1 | Allgemein verfügbar |
| Audit-Ereignis | AuditEvent |
0.1.2 | Allgemein verfügbar |
| Authentifizierungsereignis | Authentication |
0.1.4 | Allgemein verfügbar |
| DHCP-Aktivität | DhcpEvent |
0.1.1 | Allgemein verfügbar |
| DNS-Aktivität | Dns |
0.1.7 | Allgemein verfügbar |
| Dateiaktivität | FileEvent |
0.2.2 | Allgemein verfügbar |
| Netzwerksitzung | NetworkSession |
0.2.7 | Allgemein verfügbar |
| Prozessereignis | ProcessEvent |
0.1.4 | Allgemein verfügbar |
| Registrierungsereignis | RegistryEvent |
0.1.3 | Allgemein verfügbar |
| Benutzerverwaltung | UserManagement |
0.1.2 | Allgemein verfügbar |
| Websitzung | WebSession |
0.2.7 | Allgemein verfügbar |
Entitätsschemas
ASIM definiert derzeit die folgenden Schemas für Entitäten:
| Schema | Schemaname für Tests | Version | Status |
|---|---|---|---|
| Objektentität | AssetEntity |
0.1.0 | Allgemein verfügbar |
Informationen zu Entitäten, die Teil anderer ASIM-Schemas sind, finden Sie unter Ereignisentitäten.
Feldbenennung
Der Kern jedes Schemas sind die Feldnamen. Feldnamen gehören zu den folgenden Gruppen:
- Felder, die für alle Schemas gemeinsam sind.
- Felder, die für ein Schema spezifisch sind.
- Felder, die Entitäten darstellen, z. B. Benutzer, die am Schema teilnehmen. Felder, die Entitäten darstellen, sind schemaübergreifend ähnlich.
Wenn Quellen Über Felder verfügen, die im dokumentierten Schema nicht angezeigt werden, werden sie normalisiert, um die Konsistenz aufrechtzuerhalten. Wenn die zusätzlichen Felder eine Entität darstellen, werden sie basierend auf den Entitätsfeldrichtlinien normalisiert. Andernfalls streben die Schemas die Konsistenz aller Schemas an.
Während beispielsweise DNS-Serveraktivitätsprotokolle keine Benutzerinformationen bereitstellen, können DNS-Aktivitätsprotokolle von einem Endpunkt Benutzerinformationen enthalten, die gemäß den Richtlinien für Benutzerentitäten normalisiert werden können.
Allgemeine Felder
Einige Felder sind für alle ASIM-Schemas gemeinsam. Jedes Schema kann Richtlinien für die Verwendung einiger allgemeiner Felder im Kontext des spezifischen Schemas hinzufügen. Beispielsweise können zulässige Werte für das Feld EventType je nach Schema variieren, ebenso wie der Wert des Felds EventSchemaVersion .
Feldklassen
Felder können über mehrere Klassen verfügen, die definieren, wann die Felder von einem Parser implementiert werden sollen:
- Pflichtfelder müssen in jedem Parser enthalten sein. Wenn Ihre Quelle keine Informationen für diesen Wert bereitstellt oder die Daten nicht anderweitig hinzugefügt werden können, werden die meisten Inhaltselemente, die auf das normalisierte Schema verweisen, nicht unterstützt.
- Empfohlene Felder sollten normalisiert werden, sofern verfügbar. Sie sind jedoch möglicherweise nicht in jeder Quelle verfügbar. Jedes Inhaltselement, das auf dieses normalisierte Schema verweist, sollte die Verfügbarkeit berücksichtigen.
- Optionale Felder können, sofern verfügbar, normalisiert oder in ihrer ursprünglichen Form belassen werden. In der Regel würde ein minimaler Parser sie aus Leistungsgründen nicht normalisieren.
- Bedingte Felder sind obligatorisch, wenn das Feld, dem sie folgen, aufgefüllt wird. Bedingte Felder werden in der Regel verwendet, um den Wert in einem anderen Feld zu beschreiben. Beispielsweise beschreibt das allgemeine Feld DvcIdType den Wert int dem allgemeinen Feld DvcId und ist daher obligatorisch, wenn letzteres aufgefüllt wird.
- Alias ist ein spezieller Typ eines bedingten Felds und ist obligatorisch, wenn das Aliasfeld aufgefüllt wird.
Ereignisentitäten
Ereignisse entwickeln sich um Entitäten herum, z. B. Benutzer, Hosts, Prozesse oder Dateien. Jede Entität benötigt möglicherweise mehrere Felder, um sie zu beschreiben. Beispielsweise kann ein Host einen Namen und eine IP-Adresse haben.
Ein einzelner Datensatz kann mehrere Entitäten desselben Typs enthalten, z. B. sowohl einen Quell- als auch einen Zielhost.
ASIM definiert, wie Entitäten konsistent beschrieben werden, und Entitäten ermöglichen die Erweiterung der Schemas.
Während das Netzwerksitzungsschema beispielsweise keine Prozessinformationen enthält, stellen einige Ereignisquellen Prozessinformationen bereit, die hinzugefügt werden können. Weitere Informationen finden Sie unter Entitäten.
Um Entitätsfunktionen zu aktivieren, gelten für die Entitätsdarstellung die folgenden Richtlinien:
| Anleitung | Beschreibung |
|---|---|
| Präfixe und Aliasing | Da ein einzelnes Ereignis häufig mehr als eine Entität desselben Typs enthält, z. B. Quell- und Zielhosts, werden Präfixe verwendet, um die Entität zu identifizieren, die einem Feld zugeordnet ist. Um die Normalisierung aufrechtzuerhalten, verwendet ASIM einen kleinen Satz von Standardpräfixen, wobei die für die spezifische Rolle der Entitäten am besten geeigneten präfixiert werden. Wenn eine einzelne Entität eines Typs für ein Ereignis relevant ist, ist es nicht erforderlich, ein Präfix zu verwenden. Außerdem ist eine Gruppe von Feldern ohne Präfix die am häufigsten verwendete Entität für jeden Typ. |
| Bezeichner und Typen | Ein normalisiertes Schema ermöglicht mehrere Bezeichner für jede Entität, die in Ereignissen gleichzeitig vorhanden sein wird. Wenn das Quellereignis über andere Entitätsbezeichner verfügt, die dem normalisierten Schema nicht zugeordnet werden können, behalten Sie diese im Quellformular bei, oder verwenden Sie das dynamische Feld AdditionalFields . Um die Typinformationen für die Bezeichner beizubehalten, speichern Sie den Typ ggf. in einem Feld mit demselben Namen und dem Suffix Type. Beispiel: UserIdType. |
| Attribute | Entitäten verfügen häufig über andere Attribute, die nicht als Bezeichner dienen und auch mit einem Deskriptor qualifiziert werden können. Wenn der Quellbenutzer beispielsweise über Domäneninformationen verfügt, lautet das normalisierte Feld SrcUserDomain. |
Weitere Informationen zu bestimmten Entitätstypen finden Sie unter:
Weitere Informationen zu vollständigen Entitätsschemas finden Sie unter:
Aliases
Aliase lassen mehrere Namen für einen angegebenen Wert zu. In einigen Fällen erwarten verschiedene Benutzer, dass ein Feld unterschiedliche Namen hat. In der DNS-Terminologie können Sie beispielsweise ein Feld mit dem Namen DnsQuery erwarten, während es im Allgemeinen einen Domänennamen enthält. Der Alias Domain hilft dem Benutzer, indem er die Verwendung beider Namen zulässt.
Hinweis
Aliase sollen einem Analysten bei interaktiven Abfragen helfen. Wenn Sie Abfragen in wiederverwendbaren Inhalten wie benutzerdefinierten Erkennungen, Analyseregeln oder Arbeitsmappen verwenden, verwenden Sie anstelle des Alias das Aliasfeld. Die Verwendung des Aliasfelds sorgt für eine bessere Leistung, weniger Fehler und eine bessere Lesbarkeit der Abfrage.
In einigen Fällen kann ein Alias den Wert eines von mehreren Feldern aufweisen, je nachdem, welche Werte im Ereignis verfügbar sind. Beispielsweise verwendet der Dvc-Alias entweder die Felder DvcFQDN, DvcId, DvcHostname oder DvcIpAddr oder Ereignisprodukt . Wenn ein Alias mehrere Werte haben kann, muss sein Typ eine Zeichenfolge sein, um alle möglichen Aliaswerte zu berücksichtigen. Stellen Sie daher beim Zuweisen eines Werts zu einem solchen Alias sicher, dass Sie den Typ mithilfe der KQL-Funktion tostring in eine Zeichenfolge konvertieren.
Native normalisierte Tabellen enthalten keine Aliase, da dies imPlizieren von Datenspeichern bedeuten würde. Stattdessen fügen die Stubparser die Aliase hinzu. Um Aliase in Parsern zu implementieren, erstellen Sie mithilfe des Operators eine Kopie des ursprünglichen Werts extend .
Logische Typen
Jedes Schemafeld weist einen Typ auf. Der Log Analytics-Arbeitsbereich verfügt über einen begrenzten Satz von Datentypen. Aus diesem Grund verwendet Microsoft Sentinel einen logischen Typ für viele Schemafelder, den Log Analytics nicht erzwingt, aber für die Schemakompatibilität erforderlich ist. Logische Feldtypen stellen sicher, dass sowohl Werte als auch Feldnamen quellenübergreifend konsistent sind.
| Datentyp | Physischer Typ | Format und Wert |
|---|---|---|
| Boolean | Boolescher Wert | Verwenden Sie den integrierten KQL-Datentyp bool anstelle einer numerischen oder Zeichenfolgendarstellung boolescher Werte. |
| Aufgelistet | Zeichenfolge | Eine Liste von Werten, die explizit für das Feld definiert sind. Die Schemadefinition listet die akzeptierten Werte auf. |
| Datum/Uhrzeit | Verwenden Sie abhängig von der Erfassungsmethode eine der folgenden physischen Darstellungen in absteigender Priorität: – Integrierter Datetime-Typ von Log Analytics – Ein ganzzahliges Feld mit numerischer Datetime-Darstellung in Log Analytics. – Ein Zeichenfolgenfeld mit numerischer Datetime-Darstellung in Log Analytics – Ein Zeichenfolgenfeld, das ein unterstütztes Log Analytics-Datums-/Uhrzeitformat speichert. |
Die Log Analytics-Datums- und Uhrzeitdarstellung ist ähnlich, unterscheidet sich aber von der Unix-Zeitdarstellung. Weitere Informationen finden Sie in den Konvertierungsrichtlinien. Hinweis: Falls zutreffend, sollte die Uhrzeit der Zeitzone angepasst werden. |
| MAC-Adresse | Zeichenfolge | Colon-Hexadecimal Notation. |
| IP-Adresse | Zeichenfolge | Microsoft Sentinel Schemas verfügen nicht über separate IPv4- und IPv6-Adressen. Jedes IP-Adressfeld kann entweder eine IPv4-Adresse oder eine IPv6-Adresse wie folgt enthalten: - IPv4 in punktbasierter Dezimalschreibweise. - IPv6 in 8-hextets-Notation, sodass die Kurzform möglich ist. Zum Beispiel: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6-Kurzform: 1080::8:800:200C:417A |
| FQDN | Zeichenfolge | Ein vollqualifizierter Domänenname, der eine Punktnotation verwendet, z. B learn.microsoft.com. . Weitere Informationen finden Sie unter Die Geräteentität. |
| Hostname | Zeichenfolge | Ein Hostname, der kein FQDN ist, enthält bis zu 63 Zeichen, einschließlich Buchstaben, Zahlen und Bindestrichen. Weitere Informationen finden Sie unter Die Geräteentität. |
| Domäne | Zeichenfolge | der Domänenteil eines FQDNs, ohne den Hostnamen, z. B learn.microsoft.com. . Weitere Informationen finden Sie unter Die Geräteentität. |
| DomainType | Aufgelistet | Der Typ der Domäne, die in den Domänen- und FQDN-Feldern gespeichert ist. Eine Liste der Werte und weitere Informationen finden Sie unter Die Entität "Gerät". |
| DvcIdType | Aufgelistet | Der Typ der Geräte-ID, die in den DvcId-Feldern gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType. |
| Devicetype | Aufgelistet | Der Typ des Geräts, das in den DeviceType-Feldern gespeichert ist. Mögliche Werte sind: - Computer- Mobile Device- IOT Device- Other. Weitere Informationen finden Sie unter Die Geräteentität. |
| Nutzername | Zeichenfolge | Ein gültiger Benutzername in einem der unterstützten Typen. Weitere Informationen finden Sie unter Die Entität User. |
| UsernameType | Aufgelistet | Der Typ des Benutzernamens, der in Benutzernamenfeldern gespeichert ist. Weitere Informationen und eine Liste der unterstützten Werte finden Sie unter Die Benutzerentität. |
| UserIdType | Aufgelistet | Der Typ der ID, die in den Feldern der Benutzer-ID gespeichert ist. Unterstützte Werte sind SID, UIS, AADID, OktaId, AWSIdund PUID. Weitere Informationen finden Sie unter Die Entität User. |
| UserType | Aufgelistet | Der Typ eines Benutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter Die Entität User. |
| AppType | Aufgelistet | Der Typ einer Anwendung. Eine Liste der unterstützten Werte finden Sie unter Die Anwendungsentität. |
| Land | Zeichenfolge | Eine Zeichenfolge mit ISO 3166-1 gemäß der folgenden Priorität: - Alpha-2-Codes, z US. B. für die USA. - Alpha-3-Codes, z USA. B. für die USA. – Kurzname. Die Liste der Codes finden Sie auf der Website der Internationalen Normenorganisation (ISO). |
| Region | Zeichenfolge | Der Unterteilungsname für Land/Region nach ISO 3166-2. Die Liste der Codes finden Sie auf der Website der Internationalen Normenorganisation (ISO). |
| City | Zeichenfolge | |
| Longitude | Gleitkommawert mit doppelter Genauigkeit | ISO 6709-Koordinatendarstellung (Dezimalzeichen). |
| Latitude | Gleitkommawert mit doppelter Genauigkeit | ISO 6709-Koordinatendarstellung (Dezimalzeichen). |
| MD5 | Zeichenfolge | 32 Hexadezimzeichen. |
| SHA1 | Zeichenfolge | 40 Hexadezimzeichen. |
| SHA256 | Zeichenfolge | 64 Hexadezimzeichen. |
| SHA512 | Zeichenfolge | 128 Hexadezimzeichen. |
| ConfidenceLevel | Integer | Ein auf den Bereich von 0 bis 100 normalisiertes Konfidenzniveau. |
| RiskLevel | Integer | Eine Risikostufe, die auf den Bereich von 0 bis 100 normalisiert wurde. |
| SchemaVersion | Zeichenfolge | Eine ASIM-Schemaversion im Format <major>.<minor>.<sub-minor> |
| DnsQueryClassName | Zeichenfolge | Der DNS-Klassenname. |
| Username | Zeichenfolge | Ein einfacher oder domänenqualifizierter Benutzername |
Beispiel für entitätszuordnung
In diesem Abschnitt wird das Windows-Ereignis 4624 als Beispiel verwendet, um zu beschreiben, wie die Ereignisdaten für Microsoft Sentinel normalisiert werden.
Dieses Ereignis weist die folgenden Entitäten auf:
| Microsoft-Terminologie | Präfix des ursprünglichen Ereignisfelds | ASIM-Feldpräfix | Beschreibung |
|---|---|---|---|
| Subject | Subject |
Actor |
Der Benutzer, der Informationen zu einer erfolgreichen Anmeldung gemeldet hat. |
| Neue Anmeldung | Target |
TargetUser |
Der Benutzer, für den die Anmeldung durchgeführt wurde. |
| Prozess | - | ActingProcess |
Der Prozess, der die Anmeldung versucht hat. |
| Netzwerkinformationen | - | Src |
Der Computer, von dem aus ein Anmeldeversuch ausgeführt wurde. |
Basierend auf diesen Entitäten wird das Windows-Ereignis 4624 wie folgt normalisiert (einige Felder sind optional):
| Normalisiertes Feld | Ursprüngliches Feld | Wert im Beispiel | Hinweise |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Erstellt durch Verketten der beiden Felder |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Erstellt durch Verketten der beiden Felder |
| Username | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | Processid | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | Ipaddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Hostname | Computer | Alias |
Nächste Schritte
Dieser Artikel bietet eine Übersicht über die Normalisierung in Microsoft Sentinel und ASIM.
Weitere Informationen finden Sie unter:
- Sehen Sie sich das Deep Dive Webinar zu Microsoft Sentinel Normalisierung von Parsern und normalisierten Inhalten an, oder überprüfen Sie die Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)