Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Varselskjemaet for Microsoft Sentinel er utformet for å normalisere sikkerhetsrelaterte varsler fra ulike produkter til et standardisert format i Microsoft Advanced Security Information Model (ASIM). Dette skjemaet fokuserer utelukkende på sikkerhetshendelser, noe som sikrer konsekvent og effektiv analyse på tvers av ulike datakilder.
Varselskjemaet representerer ulike typer sikkerhetsvarsler, for eksempel trusler, mistenkelige aktiviteter, avvik i brukeratferd og brudd på samsvar. Disse varslene rapporteres av ulike sikkerhetsprodukter og -systemer, inkludert, men ikke begrenset til EDR-er, antivirusprogramvare, systemer for inntrengingsgjenkjenning, verktøy for hindring av datatap osv.
Hvis du vil ha mer informasjon om normalisering i Microsoft Sentinel, kan du se Normalisering og ASIM (Advanced Security Information Model).
Parsere
Hvis du vil ha mer informasjon om ASIM-analyser, kan du se ASIM-analyseoversikten.
Samlende analyser
Hvis du vil bruke parsere som forener alle ASIM-parsere som er ferdig brukte, og sikrer at analysen kjører på tvers av alle de konfigurerte kildene, bruker _Im_AlertEvent du analysen.
Ut-av-boksen, Kildespesifikke parsers
Se ASIM-analyselisten for listen over varslingsanalyser Microsoft Sentinel gir deg ut-av-boksen.
Legg til dine egne normaliserte analyser
Når du utvikler egendefinerte analyser for varselinformasjonsmodellen , kan du gi navn til KQL-funksjonene ved hjelp av følgende syntaks:
-
vimAlertEvent<vendor><Product>for parametriserte parsere -
ASimAlertEvent<vendor><Product>for vanlige analyser
Se artikkelen Administrere ASIM-analyser for å lære hvordan du legger til egendefinerte parsers i varselet samlende analyser.
Parametere for filtreringsanalyse
Varslingsanalysene støtter ulike filtreringsparametere for å forbedre spørringsytelsen. Disse parameterne er valgfrie, men kan forbedre spørringsytelsen. Følgende filtreringsparametere er tilgjengelige:
| Navn | Type: | Beskrivelse |
|---|---|---|
| starttidspunkt | Datetime | Filtrer bare varsler som startet på eller etter dette tidspunktet. Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| Endtime | Datetime | Filtrer bare varsler som startet på eller før dette tidspunktet. Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| ipaddr_has_any_prefix | Dynamisk | Filtrer bare varsler som DvcIpAddr-feltet er i én av de oppførte verdiene. |
| hostname_has_any | Dynamisk | Filtrer bare varsler der DvcHostname-feltet er i én av de oppførte verdiene. |
| username_has_any | Dynamisk | Filtrer bare varsler der Brukernavn-feltet er i én av de oppførte verdiene. |
| attacktactics_has_any | Dynamisk | Filtrer bare varsler som «AttackTactics» -feltet er i én av de oppførte verdiene. |
| attacktechniques_has_any | Dynamisk | Filtrer bare varsler som «AttackTechniques» -feltet er i én av de oppførte verdiene. |
| threatcategory_has_any | Dynamisk | Filtrer bare varsler som feltet Trusselkategori er i én av de oppførte verdiene. |
| alertverdict_has_any | Dynamisk | Filtrer bare varsler som AlertVerdict-feltet er i én av de oppførte verdiene. |
| eventseverity_has_any | Dynamisk | Filtrer bare varsler der EventSeverity-feltet er i én av de oppførte verdiene. |
Skjemaoversikt
Varselskjemaet betjener flere typer sikkerhetshendelser, som deler de samme feltene. Disse hendelsene identifiseres av EventType-feltet:
- Trusselinformasjon: Varsler relatert til ulike typer skadelige aktiviteter, for eksempel skadelig programvare, phishing, løsepengevirus og andre cybertrusler.
- Mistenkelige aktiviteter: Varsler om aktiviteter som ikke nødvendigvis er bekreftede trusler, men som er mistenkelige og garanterer videre undersøkelser, for eksempel flere mislykkede påloggingsforsøk eller tilgang til begrensede filer.
- Avvik for brukervirkemåte: Varsler som angir uvanlig eller uventet brukervirkemåte som kan tyde på et sikkerhetsproblem, for eksempel unormale påloggingstider eller uvanlige datatilgangsmønstre.
- Samsvarsbrudd: Varsler knyttet til manglende overholdelse av forskriftsmessige eller interne policyer. For eksempel en virtuell maskin som er eksponert med åpne offentlige porter som er sårbare for angrep (Cloud Security Alert).
Viktig
Hvis du vil beholde relevansen og effektiviteten til varselskjemaet, bør bare sikkerhetsrelaterte varsler tilordnes.
Varselskjema refererer til følgende enheter for å fange opp detaljer om varselet:
-
Dvc-felt brukes til å registrere detaljer om verten eller IP-adressen som er knyttet til varselet
-
Brukerfelt brukes til å registrere detaljer om brukeren som er knyttet til varselet.
- Prosess -,fil-, URL-, register- og e-postfelt brukes på samme måte til å registrere bare viktige detaljer om prosessen, filen, nettadressen, registeret og e-posten som er knyttet til varselet.
Viktig
- Når du bygger en produktspesifikk analyse, kan du bruke ASIM-varselskjemaet når varselet inneholder informasjon om en sikkerhetshendelse eller potensiell trussel, og de primære detaljene kan tilordnes direkte til tilgjengelige varselskjemafelt. Varselskjemaet er ideelt for å registrere sammendragsinformasjon uten omfattende enhetsspesifikke felt.
- Hvis du imidlertid plasserer viktige felt i AdditionalFields på grunn av mangel på direkte feltkamper, bør du vurdere et mer spesialisert skjema. Hvis for eksempel et varsel inneholder nettverksrelaterte detaljer, for eksempel flere IP-adresser, for eksempel SrcIpAdr, DstIpAddr, PortNumber osv. kan du velge NetworkSession-skjemaet over varselskjemaet. Spesialiserte skjemaer tilbyr også dedikerte felt for å fange opp trusselrelatert informasjon, forbedre datakvaliteten og tilrettelegge for effektiv analyse.
Skjemadetaljer
Vanlige ASIM-felt
Listen nedenfor nevner felt som har spesifikke retningslinjer for varslingshendelser:
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Eventtype | Obligatorisk | Nummerert | Type hendelse. Verdier som støttes er: - Alert |
| EventSubType | Anbefalt | Nummerert | Angir undertypen eller kategorien for varslingshendelsen, og gir mer detaljerte detaljer i den bredere hendelsesklassifiseringen. Dette feltet bidrar til å skille mellom det oppdagede problemet og forbedre hendelsesprioritering og responsstrategier. Støttede verdier inkluderer: - Threat (Representerer en bekreftet eller svært sannsynlig ondsinnet aktivitet som kan kompromittere systemet eller nettverket)- Suspicious Activity (Flagger virkemåte eller hendelser som virker uvanlige eller mistenkelige, men som ennå ikke er bekreftet som skadelige)- Anomaly (Identifiserer avvik fra normale mønstre som kan indikere en potensiell sikkerhetsrisiko eller et operativt problem)- Compliance Violation (Fremhever aktiviteter som bryter med forskriftsmessige, policyer eller samsvarsstandarder) |
| EventUid | Obligatorisk | Streng | En maskinlesbar, alfanumerisk streng som unikt identifiserer et varsel i et system. F.eks. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Valgfri | Streng | Detaljert informasjon om varselet, inkludert kontekst, årsak og potensiell innvirkning. F.eks. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias eller egendefinert navn for DvcIpAddr felt. |
|
| Vertsnavn | Alias | Alias eller egendefinert navn for DvcHostname felt. |
|
| EventSchema | Obligatorisk | Nummerert | Skjemaet som brukes for hendelsen. Skjemaet som er dokumentert her, er AlertEvent. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versjonen av skjemaet. Versjonen av skjemaet som er dokumentert her, er 0.1. |
Alle fellesfelt
Felt som vises i tabellen nedenfor, er felles for alle ASIM-skjemaer. Alle retningslinjer som er angitt ovenfor, overstyrer de generelle retningslinjene for feltet. Et felt kan for eksempel være valgfritt generelt, men obligatorisk for et bestemt skjema. Hvis du vil ha mer informasjon om hvert felt, kan du se artikkelen ASIM Common Fields .
| Klasse | Felt |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Anbefalt |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Valgfri |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOer - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Inspeksjonsfelt
Tabellen nedenfor dekker felt som gir kritisk innsikt i reglene og truslene som er knyttet til varsler. Sammen bidrar de til å berike konteksten av varselet, noe som gjør det enklere for sikkerhetsanalytikere å forstå opprinnelsen og betydningen.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| AlertId | Alias | Streng | Alias eller egendefinert navn for EventUid felt. |
| AlertName | Anbefalt | Streng | Tittel eller navn på varselet. F.eks. Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | Streng | Alias eller egendefinert navn for EventMessage felt. |
| AlertVerdict | Valgfri | Nummerert | Den endelige avgjørelsen eller utfallet av varselet, som indikerer om varselet ble bekreftet som en trussel, ansett som mistenkelig eller løst som en falsk positiv. Verdier som støttes er: - True Positive (Bekreftet som en legitim trussel)- False Positive (Feilaktig identifisert som en trussel)- Benign Positive (når hendelsen er fastslått å være ufarlig)- Unknown (Usikker eller ubestemt status) |
| AlertStatus | Valgfri | Nummerert | Angir gjeldende tilstand eller fremdrift for varselet. Verdier som støttes er: - Active- Closed |
| AlertOriginalStatus | Valgfri | Streng | Statusen for varselet som rapportert av det opprinnelige systemet. |
| DetectionMethod | Valgfri | Nummerert | Gir detaljert informasjon om den spesifikke gjenkjenningsmetoden, teknologien eller datakilden som bidro til genereringen av varselet. Dette feltet gir større innsikt i hvordan varselet ble oppdaget eller utløst, noe som bidrar til forståelsen av gjenkjenningskonteksten og påliteligheten. Støttede verdier inkluderer: - EDR: Gjenkjennings- og responssystemer for endepunkt som overvåker og analyserer endepunktaktiviteter for å identifisere trusler.- Behavioral Analytics: Teknikker som oppdager unormale mønstre i bruker-, enhets- eller systematferd.- Reputation: Trusselregistrering basert på omdømmet til IP-adresser, domener eller filer.- Threat Intelligence: Eksterne eller interne etterretningsfeeder som leverer data om kjente trusler eller motstandertaktikk.- Intrusion Detection: Systemer som overvåker nettverkstrafikk eller aktiviteter for tegn på inntrenging eller angrep.- Automated Investigation: Automatiserte systemer som analyserer og undersøker varsler, reduserer manuell arbeidsbelastning.- Antivirus: Tradisjonelle antivirusmotorer som oppdager skadelig programvare basert på signaturer og heuristikk.- Data Loss Prevention: Løsninger som fokuserer på å forhindre uautoriserte dataoverføringer eller lekkasjer.- User Defined Blocked List: Egendefinerte lister definert av brukere for å blokkere bestemte IP-er, domener eller filer.- Cloud Security Posture Management: Verktøy som vurderer og administrerer sikkerhetsrisikoer i skymiljøer.- Cloud Application Security: Løsninger som sikrer skyprogrammer og data.- Scheduled Alerts: Varsler generert basert på forhåndsdefinerte tidsplaner eller terskler.- Other: Andre gjenkjenningsmetoder som ikke dekkes av kategoriene ovenfor. |
| Regelen | Alias | Streng | Verdien av RuleName eller verdien av RuleNumber. Hvis verdien for RuleNumber brukes, bør typen konverteres til streng. |
| Regelnummer | Valgfri | Int | Nummeret på regelen som er knyttet til varselet. F.eks. 123456 |
| Regelnavn | Valgfri | Streng | Navnet eller IDen til regelen som er knyttet til varselet. F.eks. Server PSEXEC Execution via Remote Access |
| RuleDescription | Valgfri | Streng | Beskrivelse av regelen som er knyttet til varselet. F.eks. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Valgfri | Streng | ID-en til trusselen eller skadelig programvare som er identifisert i varselet. F.eks. 1234567891011121314 |
| ThreatName | Valgfri | Streng | Navnet på trusselen eller skadelig programvare som er identifisert i varselet. F.eks. Init.exe |
| ThreatFirstReportedTime | Valgfri | Datetime | Dato og klokkeslett da trusselen først ble rapportert. F.eks. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Valgfri | Datetime | Dato og klokkeslett da trusselen sist ble rapportert. F.eks. 2024-09-19T10:12:10.0000000Z |
| Trusselkategori | Anbefalt | Nummerert | Kategorien for trusselen eller skadelig programvare som er identifisert i varselet. Støttede verdier er: Malware, Ransomware, Trojan, Virus, Worm, Adware, Spyware, RootkitCryptominor, Phishing, Spam, MaliciousUrl, Spoofing, Security Policy ViolationUnknown |
| ThreatOriginalCategory | Valgfri | Streng | Kategorien for trusselen som rapporteres av det opprinnelige systemet. |
| ThreatIsActive | Valgfri | Bool | Angir om trusselen er aktiv. Støttede verdier er: True, False |
| ThreatRiskLevel | Valgfri | RiskLevel (heltall) | Risikonivået knyttet til trusselen. Nivået må være et tall mellom 0 og 100. Obs! Verdien kan angis i kildeposten ved hjelp av en annen skala, som skal normaliseres til denne skalaen. Den opprinnelige verdien bør lagres i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valgfri | Streng | Risikonivået som rapportert av det opprinnelige systemet. |
| ThreatConfidence | Valgfri | Konfidensnivå (heltall) | Konfidensnivået til trusselen som er identifisert, normalisert til en verdi mellom 0 og 100. |
| ThreatOriginalConfidence | Valgfri | Streng | Konfidensnivået som rapporteres av det opprinnelige systemet. |
| IndicatorType | Anbefalt | Nummerert | Indikatortypen eller kategorien Verdier som støttes er: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Valgfri | Nummerert | Angir om indikatoren er koblet til eller direkte påvirket av trusselen. Verdier som støttes er: - Associated- Targeted |
| AttackTactics | Anbefalt | Streng | Angrepstaktikken (navn, ID eller begge) som er knyttet til varselet. Foretrukket format: F.eks: Persistence, Privilege Escalation |
| AttackTechniques | Anbefalt | Streng | Angrepsteknikkene (navn, ID eller begge) som er knyttet til varselet. Foretrukket format: F.eks: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Anbefalt | Streng | Anbefalte handlinger eller trinn for å redusere eller utbedre det identifiserte angrepet eller trusselen. F.eks. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Brukerfelt
Denne delen definerer felt som er relatert til identifisering og klassifisering av brukere som er knyttet til et varsel, noe som gir klarhet i den berørte brukeren og formatet til identiteten deres. Hvis varselet inneholder flere, flere brukerrelaterte felt som overskrider det som er tilordnet her, kan du vurdere om et spesialisert skjema, for eksempel Skjemaet for godkjenningshendelse, kan være mer egnet til å representere dataene fullt ut.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Brukerid | Valgfri | Streng | En maskinlesbar, alfanumerisk, unik representasjon av brukeren som er knyttet til varselet. F.eks. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Betinget | Nummerert | Typen bruker-ID, for eksempel GUID, SIDeller Email.Verdier som støttes er: - GUID- SID- Email- Username- Phone- Other |
| Brukernavn | Anbefalt | Brukernavn (streng) | Navnet på brukeren som er knyttet til varselet, inkludert domeneinformasjon når tilgjengelig. for eksempel Contoso\JSmith eller john.smith@contoso.com |
| Bruker | Alias | Streng | Alias eller egendefinert navn for Username felt. |
| UsernameType | Betinget | UsernameType | Angir typen brukernavn som er lagret i feltet Username . Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UsernameType i artikkelen Oversikt over skjema.F.eks. Windows |
| UserType | Valgfri | UserType | Typen aktør. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserType i artikkelen Oversikt over skjema. F.eks. Guest |
| OriginalUserType | Valgfri | Streng | Brukertypen som rapportert av rapporteringsenheten. |
| UserSessionId | Valgfri | Streng | Den unike ID-en for brukerens økt som er knyttet til varselet. F.eks. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Valgfri | Streng | Omfangs-ID-en, for eksempel Microsoft Entra katalog-ID, der UserId og Brukernavn er definert. F.eks. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Valgfri | Streng | Omfanget, for eksempel Microsoft Entra leier, der Bruker-ID og Brukernavn er definert. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema. F.eks. Contoso Directory |
Prosessfelt
Denne delen lar deg registrere detaljer relatert til en prosessenhet som er involvert i et varsel ved hjelp av de angitte feltene. Hvis varselet inneholder flere detaljerte prosessrelaterte felt som overskrider det som er tilordnet her, kan du vurdere om et spesialisert skjema, for eksempel Prosesshendelse-skjemaet, kan være mer egnet til å representere dataene fullt ut.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| ProcessId | Valgfri | Streng | Prosess-ID-en (PID) som er knyttet til varselet. F.eks. 12345678 |
| ProcessCommandLine | Valgfri | Streng | Kommandolinje som brukes til å starte prosessen. F.eks. "choco.exe" -v |
| ProcessName | Valgfri | Streng | Navnet på prosessen. F.eks. C:\Windows\explorer.exe |
| ProcessFileCompany | Valgfri | Streng | Firma som opprettet prosessbildefilen. F.eks. Microsoft |
Filfelt
I denne delen kan du registrere detaljer relatert til en filenhet som er involvert i et varsel. Hvis varselet inneholder flere detaljerte filrelaterte felt som overskrider det som er tilordnet her, kan du vurdere om et spesialisert skjema, for eksempel Filhendelse-skjemaet, kan være mer egnet til å representere dataene fullt ut.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Filnavn | Valgfri | Streng | Navnet på filen som er knyttet til varselet, uten bane eller plassering. F.eks. Notepad.exe |
| FilePath | Valgfri | Streng | Den fullstendige, normaliserte banen til målfilen, inkludert mappen eller plasseringen, filnavnet og filtypen. F.eks. C:\Windows\System32\notepad.exe |
| FileSHA1 | Valgfri | Streng | SHA1-hash for filen. F.eks. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Valgfri | Streng | SHA256-hash for filen. F.eks. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Valgfri | Streng | MD5-hash for filen. F.eks. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Filstørrelse | Valgfri | Lang | Størrelsen på filen i byte. F.eks. 123456 |
Url-adressefelt
Hvis varselet inneholder informasjon om url-enheten, kan følgende felt hente nettadresserelaterte data.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Url | Valgfri | Streng | Url-adressestrengen som er registrert i varselet. F.eks. https://contoso.com/fo/?k=v&q=u#f |
Registerfelt
Hvis varselet inneholder detaljer om registerenheten, kan du bruke følgende felt til å registrere spesifikk registerrelatert informasjon.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| RegistryKey | Valgfri | Streng | Registernøkkelen som er knyttet til varselet, normalisert til standard navnekonvensjoner for rotnøkkel. F.eks. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Valgfri | Streng | Registerverdi. F.eks. ImagePath |
| RegistryValueData | Valgfri | Streng | Data for registerverdien. F.eks. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Valgfri | Nummerert | Type registerverdi. F.eks. Reg_Expand_Sz |
E-postfelt
Hvis varselet inneholder informasjon om e-postenhet, kan du bruke følgende felt til å registrere bestemte e-postrelaterte detaljer.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| EmailMessageId | Valgfri | Streng | Unik identifikator for e-postmeldingen, knyttet til varselet. F.eks. Request for Invoice Access |
| Send e-post | Valgfri | Streng | Emne for e-postmeldingen. F.eks. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Skjema Oppdateringer
Følgende er endringene i ulike versjoner av skjemaet:
- Versjon 0.1: Første utgivelse.