Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Sentinel Asset Entity Schema wurde entwickelt, um Ressourcen aus verschiedenen Produkten in einem standardisierten Format in Microsoft Advanced Security Information Model (ASIM) zu normalisieren. Dieses Schema konzentriert sich ausschließlich auf Ressourcen in Nicht-Microsoft-Datenquellen, um eine konsistente und effiziente Analyse zu gewährleisten.
Ein Medienobjekt ist jede Datenressource, die ein organization speichert, verarbeitet oder verwaltet, z. B. eine Datei oder eine Website. Jede Ressource enthält sicherheitsrelevante Metadaten, einschließlich Besitz, Berechtigungen, Vertraulichkeitsklassifizierungen und Risikoindikatoren. Ressourcen können von einer Vielzahl von Plattformen, Datenbanken, Cloudspeicherdiensten, SaaS-Anwendungen und lokalen Systemen stammen und werden entweder als vollständige Bestandsmomentaufnahmen oder als inkrementelle Änderungsfeeds erfasst.
Durch die Normalisierung von Ressourcendaten in einem gemeinsamen Schema ermöglicht Microsoft Sentinel Sicherheitsteams, Ressourceninformationen über verschiedene Datenquellen hinweg konsistent zu analysieren und zu korrelieren. Schlüsselfelder im Schema umfassen EntityId und für die EntityName eindeutige Identifizierung von Ressourcen, AssetType für die Unterscheidung zwischen Ressourcentypen wie Datei oder Website, AssetOwnerId für die Nachverfolgung des Besitzes AssetSensitivityLabel und AssetOriginalDataClassificationType für den Datenklassifizierungskontext und EntityFeedType für die Angabe, ob ein Datensatz ein vollständiger Bestand Momentaufnahme oder eine inkrementelle Änderung ist. Diese einheitliche Darstellung unterstützt Downstreamszenarien wie das Identifizieren übermäßig freigegebener vertraulicher Dateien, das Nachverfolgen von Berechtigungsänderungen, das Erkennen ungeschützter Ressourcen und das Auftreten von Risiken im gesamten Datenbestand durch Integrationen wie Microsoft Purview Datensicherheitsstatus-Management (DSSM).
Die Verwendung des Schemas ermöglicht es Microsoft Purview DSSM, den Datenschutzstatus auf Microsoft- und Partnerplattformen zu verwalten. Weitere Informationen finden Sie in der Ankündigung der Ignite 2025 zur Einführung des DSSM Partnerökosystems.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Parser
Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.
Vereinheitlichende Parser
Verwenden Sie den _Im_AssetEntity Parser, um Parser zu verwenden, die alle standardmäßigen ASIM-Parser vereinheitlichen und sicherstellen möchten, dass Ihre Analyse in allen konfigurierten Quellen ausgeführt wird.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Objektentitätsschema entwickeln, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax:
-
vimAssetEntity<vendor><Product>für parametrisierte Parser -
ASimAssetEntity<vendor><Product>für reguläre Parser
Lesen Sie den Artikel Verwalten von ASIM-Parsern , um zu erfahren, wie Sie Ihre benutzerdefinierten Parser den vereinheitlichenden Parsern hinzufügen.
Filtern von Parserparametern
Die Objektentitätsparser unterstützen verschiedene Filterparameter , um die Abfrageleistung zu verbessern. Diese Parameter sind optional, können aber die Abfrageleistung verbessern. Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Ressourcen, die zu oder nach diesem Zeitpunkt erfasst wurden. Dieser Parameter filtert nach dem EntityIngestionTime Feld, bei dem es sich um den Standard-Bezeichner für die Zeit der Ressource handelt. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Ressourcen, die zu oder vor diesem Zeitpunkt erfasst wurden. Dieser Parameter filtert nach dem EntityIngestionTime Feld, bei dem es sich um den Standard-Bezeichner für die Zeit der Ressource handelt. |
| entityid_has_any | Dynamische | Filtern Sie nur Ressourcen, für die sich das Feld "EntityId" in einem der aufgelisteten Werte befindet. |
| entityname_has_any | Dynamische | Filtern Sie nur Ressourcen, für die sich das Feld "EntityName" in einem der aufgelisteten Werte befindet. |
| assettype_in | string | Filtern Sie nur Ressourcen, für die das Feld "AssetType" gleich dem Parameterwert ist. |
| path_has_any | Dynamische | Filtern Sie nur Ressourcen, für die sich das Feld "FilePath" oder "SitePath" in einem der aufgelisteten Werte befindet. |
| assetowner_has_any | Dynamische | Filtern Sie nur Ressourcen, für die sich das Feld "AssetOwner" oder "AdditionalAssetOwners" in einem der aufgelisteten Werte befindet. |
| entitysource_has_any | Dynamische | Filtern Sie nur Ressourcen, für die sich das Feld "EntitySource" in einem der aufgelisteten Werte befindet. |
Schemadetails
Allgemeine ASIM-Entitätsfelder
In der folgenden Liste werden Felder für ein Entitätsschema neben ihren spezifischen Richtlinien für Ressourcenentitäten aufgeführt:
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| EntityUpdatedTime | Erforderlich | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Entität an der Quelle aktualisiert oder gesammelt wurde. |
| EntityIngestionTime | Optional | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Erfassungspipeline das Medienobjektprotokoll empfängt. |
| EntityId | Erforderlich | string | Der eindeutige Bezeichner des Medienobjekts. |
| EntityOriginalId | Optional | string | Der eindeutige Bezeichner des Medienobjekts an der Quelle, wenn er sich von "EntityId" unterscheidet. |
| EntityName | Erforderlich | string | Der Name der Entität. |
| EntityNameType | Empfohlen | string | Der Typ des Entitätsnamens. |
| EntityVendor | Erforderlich | string | Der Anbieter, der die Entität gemeldet hat. |
| EntitySource | Erforderlich | Aufgelistet | Die Datenquelle oder der Connector, der den Entitätsdatensatz bereitgestellt hat. Zu den Supportquellen gehören: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherVerwenden Sie Other , wenn die Quelle nicht aufgeführt ist. |
| EntityOriginalSource | Optional | string | Die ursprüngliche Datenquelle oder der Connector, die bzw. der den Entitätsdatensatz bereitgestellt hat, wenn die Quelle derzeit nicht unterstützt wird. |
| EntityProduct | Erforderlich | string | Der Produktname, der der Quelle zugeordnet ist, die die Entität gemeldet hat. |
| EntitySubProduct | Erforderlich | string | Der Name des Unterprodukts oder der Komponente, der der Quelle zugeordnet ist, die die Entität gemeldet hat. |
| EntityCreatedTime | Erforderlich | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Entität ursprünglich im Quellsystem erstellt wurde. |
| EntityLastAccessedTime | Optional | Datum/Uhrzeit | Der Zeitstempel (UTC) des letzten Zugriffs auf die Entität. |
| EntityLastModifiedTime | Erforderlich | Datum/Uhrzeit | Der Zeitstempel (UTC) der letzten Änderung der Entität im Quellsystem. |
| EntityIsDeleted | Optional | bool | Gibt an, ob die Entität im Quellsystem gelöscht wurde. |
| EntityFeedType | Erforderlich | Aufgelistet | Der Typ oder die Kategorie des Datenfeeds, der den Entitätsdatensatz bereitgestellt hat. Die zulässigen Werte sind: Snapshot oder Changefeed. |
| EntitySchema | Erforderlich | Aufgelistet | Das schema, das für die Entität verwendet wird. Das hier dokumentierte Schema ist Asset. |
| EntitySchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1.0. |
Felder des Ressourcenbesitzers
In diesem Abschnitt werden Informationen zum Ressourcenbesitzer definiert. Wenn Ihr Medienobjekt mehrere Besitzer hat, füllen Sie beide Felder AssetOwnerId und aus AdditionalAssetOwners.
AdditionalAssetOwners sollte ein Array von Zeichenfolgen sein, und die Zeichenfolgen müssen im gleichen Format wie AssetOwnerIdvorliegen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| AssetOwnerId | Erforderlich | string | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Weitere Informationen und alternative Felder für andere IDs finden Sie unter Die Entität User. |
| AssetOwnerIdType | Empfohlen | string | Der Typ oder das Format des Ressourcenbesitzerbezeichners. Dies entspricht UserIdType in Ereignisschemas. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel Schemaübersicht. |
| AssetOwnerType | Optional | string | Der Typ des Ressourcenbesitzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel Schemaübersicht. |
| AssetOwnerScope | Optional | string | Der Organisations- oder Verwaltungsbereich, zu dem der Ressourcenbesitzer gehört. |
| AssetOwnerScopeId | Optional | string | Der Bezeichner des Bereichs, zu dem der Ressourcenbesitzer gehört. |
| AdditionalAssetOwners | Optional | Dynamische | Eine dynamische Sammlung zusätzlicher Besitzer oder Mitbesitzer, die der Ressource zugeordnet sind. Dies muss ein Array von Zeichenfolgen sein. |
Ressourcenmetadatenfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| AADTenantId | Erforderlich | string | Der Azure Active Directory-Mandantenbezeichner, der der Ressource oder Entität zugeordnet ist. |
| IdentityDirectoryName | Optional | string | Der Name des Identitätsverzeichnisses, z. B. Azure AD, GCP, AWS, das der Entität zugeordnet ist. |
| IdentityDirectoryId | Erforderlich | string | Der Bezeichner des Identitätsverzeichnisses, das der Entität zugeordnet ist. |
| AdditionalFields | Optional | Dynamische | Zusätzliche Informationen zur Entität, die nicht von anderen Feldern im Schema erfasst wird. |
Ressourcentypfelder
In diesem Abschnitt werden Informationen zum Ressourcentyp definiert. Die derzeit unterstützten Typen sind File und Site. Die zusätzlichen Eigenschaften des Objekttyps sollten aufgefüllt werden.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| AssetType | Erforderlich | string | Der allgemeine Typ der Ressource. Die zulässigen und unterstützten Werte sind: File, Site. |
| AssetOriginalType | Empfohlen | string | Der ursprüngliche Name des allgemeinen Typs des Medienobjekts an der Quelle. |
Ressourcensicherheitsfelder
In diesem Abschnitt werden der Sicherheitsstatus und der Expositionskontext der Ressource erfasst, einschließlich Quellberechtigungen, Details zur Vertraulichkeit und Datenklassifizierung, DLP-Schutz status, zugehörige Bedrohungsindikatoren und der Zeitpunkt der letzten Klassifizierungsüberprüfung. Sie umfasst auch die Anzahl interner und externer Benutzerzugriffe, um eine potenzielle Gefährdung zu bewerten.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| AssetOriginalPermissions | Optional | Dynamische | Der ursprüngliche Berechtigungssatz, der dem Medienobjekt zugewiesen wurde, wie vom Quellsystem gemeldet. |
| AssetSensitivityLabel | Erforderlich | string | Die vertraulichkeitsbezeichnung, die auf das Medienobjekt angewendet wird. Die zulässigen Werte sind: Personal, Public, General, Confidential, Highly Confidential. |
| AssetOriginalSensitivityLevel | Optional | string | Die vom Quellsystem gemeldete Vertraulichkeitsstufe vor der Normalisierung. |
| AssetIsProtectedByDlp | Optional | bool | Gibt an, ob das Medienobjekt durch eine Dlp-Richtlinie (Data Loss Prevention, Verhinderung von Datenverlust) geschützt ist. |
| AssetRelatedIndicators | Optional | Dynamische | Eine dynamische Sammlung von Bedrohungsindikatoren oder -signalen im Zusammenhang mit der Ressource. |
| AssetOriginalDataClassificationType | Erforderlich | Dynamische | Die ursprünglichen Datenklassifizierungstypen, die dem Medienobjekt zugewiesen sind, wie vom Quellsystem gemeldet. Dies muss ein Array von Zeichenfolgen* sein. |
| AssetClassificationLastScanDateTime | Erforderlich | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, an dem das Medienobjekt zuletzt für die Datenklassifizierung gescannt wurde. |
| InternalUsersCount | Optional | int | Die Anzahl der internen Benutzer, die dem Medienobjekt zugeordnet sind oder zugriff darauf haben. |
| ExternalUsersCount | Optional | int | Die Anzahl der externen Benutzer, die dem Medienobjekt zugeordnet sind oder zugriff darauf haben. |
Ressourcenrisikofelder
In diesem Abschnitt wird der Risikokontext für die Ressource erfasst, einschließlich normalisierter und von Quellen gemeldeter Risikonamen und -ebenen, Zeitstempel für den ersten und letzten Bericht sowie anbieterspezifische Risikodetails.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| AssetRiskName | Optional | string | Der normalisierte Name des Risikos oder der Bedrohung, das der Ressource zugeordnet ist. |
| AssetRiskLevel | Optional | Aufgelistet | Die normalisierte Risikostufe, die der Ressource zugewiesen ist. Die zulässigen Werte sind: Info, Low, Medium, High, Critical, . Other |
| AssetOriginalRiskLevel | Optional | string | Die Risikostufe, die der Ressource zugewiesen ist, wie vom Quellsystem vor der Normalisierung gemeldet. |
| AssetRiskFirstReportedTime | Optional | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem das mit der Ressource verbundene Risiko zum ersten Mal gemeldet wurde. |
| AssetRiskLastReportedTime | Optional | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, an dem das mit der Ressource verbundene Risiko zuletzt gemeldet wurde. |
| AssetOriginalRiskDetails | Optional | Dynamische | Die vollständigen Risikodetails für die Ressource, die vom Quellsystem bereitgestellt werden. |
Dateifelder (Objekttyp)
In diesem Abschnitt werden dateispezifische Ressourceneigenschaften erfasst. Die Eigenschaften sollten aufgefüllt werden, wenn fileAssetType ist.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| FilePath | Optional | string | Der vollständige Pfad der Datei, die dem Medienobjekt zugeordnet ist. |
| FileSize | Optional | long | Die Größe der Datei in Bytes. |
| FileMD5 | Optional | string | Der MD5-Hash der Datei, die dem Medienobjekt zugeordnet ist. |
| FileSHA1 | Optional | string | Der SHA-1-Hash der Datei, die dem Medienobjekt zugeordnet ist. |
| DateiSHA256 | Optional | string | Der SHA-256-Hash der Datei, die dem Medienobjekt zugeordnet ist. |
| DateiSHA512 | Optional | string | Der SHA-512-Hash der Datei, die dem Medienobjekt zugeordnet ist. |
| Fileextension | Optional | string | Die Dateierweiterung der Datei, die dem Medienobjekt zugeordnet ist, z. B. .exe oder .pdf. |
| FileIsSignatureValid | Optional | bool | Gibt an, ob die digitale Signatur der Datei gültig ist. |
| FileSignatureDetails | Optional | string | Details zur digitalen Signatur der Datei, z. B. Die Signaturgeber- oder Zertifikatinformationen. |
Websitefelder (Objekttyp)
In diesem Abschnitt werden websitespezifische Standorteigenschaften für SharePoint-Websiteressourcen erfasst. Die Eigenschaften sollten aufgefüllt werden, wenn siteAssetType ist.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| SitePath | Optional | string | Der Pfad des Standorts oder Speicherorts, der dem Medienobjekt zugeordnet ist. |
| SitePrimaryUri | Optional | string | Der primäre URI des Standorts oder Speicherorts, der dem Medienobjekt zugeordnet ist. |
Aliases
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| AssetPath | Alias | string | Der Alias für oder FilePathSitePath |
| Benutzer | Alias | string | Der Alias für AssetOwnerId. |
Schemaaktualisierungen
Im Folgenden sind die Änderungen in verschiedenen Versionen des Schemas aufgeführt:
- Version 0.1.0: Erstes Release.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Sehen Sie sich das ASIM-Webinar an, oder überprüfen Sie die Folien
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)