Referensi skema normalisasi Peristiwa Audit Model Informasi Keamanan Tingkat Lanjut (ASIM) (Pratinjau publik)
Skema normalisasi peristiwa Audit Microsoft Sentinel mewakili peristiwa yang terkait dengan jejak audit sistem informasi. Jejak audit mencatat aktivitas konfigurasi sistem dan perubahan kebijakan. Perubahan tersebut sering dilakukan oleh administrator sistem, tetapi juga dapat dilakukan oleh pengguna saat mengonfigurasi pengaturan aplikasi mereka sendiri.
Setiap sistem mencatat peristiwa audit bersama log aktivitas intinya. Misalnya, Firewall akan mencatat peristiwa tentang sesi jaringan adalah proses, dan mengaudit peristiwa tentang perubahan konfigurasi yang diterapkan pada Firewall itu sendiri.
Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Penting
Skema normalisasi Peristiwa Audit saat ini dalam pratinjau. Fitur ini disediakan tanpa perjanjian tingkat layanan. Kami tidak merekomendasikannya untuk beban kerja produksi.
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Gambaran umum Skema
Bidang utama peristiwa audit adalah:
- Objek, yang mungkin, misalnya, sumber daya terkelola atau aturan kebijakan, yang difokuskan pada peristiwa, yang diwakili oleh objek bidang. Bidang ObjectType menentukan jenis objek.
- Konteks aplikasi objek, diwakili oleh bidang TargetAppName, yang dinamai oleh Aplikasi.
- Operasi yang dilakukan pada objek, diwakili oleh bidang EventType dan Operasi. Meskipun Operasi adalah nilai yang dilaporkan sumber, EventType adalah versi yang dinormalisasi yang lebih konsisten di seluruh sumber.
- Nilai lama dan baru untuk objek, jika berlaku, masing-masing diwakili oleh OldValue dan NewValue .
Peristiwa audit juga mereferensikan entitas berikut, yang terlibat dalam operasi konfigurasi:
- Actor - Pengguna yang melakukan operasi konfigurasi.
- TargetApp - Aplikasi atau sistem tempat operasi konfigurasi diterapkan.
- Target - Sistem tempat TaregtApp* berjalan.
- ActingApp - Aplikasi yang digunakan oleh Actor untuk melakukan operasi konfigurasi.
- Src - Sistem yang digunakan oleh Actor untuk memulai operasi konfigurasi, jika berbeda dari Target.
Deskriptor Dvc digunakan untuk perangkat pelaporan, yang merupakan sistem lokal untuk sesi yang dilaporkan oleh titik akhir, dan perangkat perantara atau keamanan dalam kasus lain.
Parser
Menyebarkan dan menggunakan pengurai peristiwa audit
Sebarkan pengurai peristiwa audit ASIM dari repositori GitHub Microsoft Sentinel. Untuk mengkueri semua sumber peristiwa audit, gunakan pengurai pemersatu imAuditEvent sebagai nama tabel dalam kueri Anda.
Untuk informasi selengkapnya tentang menggunakan pengurai ASIM, lihat gambaran umum pengurai ASIM. Untuk daftar pengurai peristiwa audit, Microsoft Sentinel menyediakan out-of-the-box, lihat daftar pengurai ASIM
Tambahkan parser normalisasi Anda sendiri
Saat menerapkan parser kustom untuk model informasi Peristiwa File, beri nama fungsi KQL Anda menggunakan sintaks berikut: imAuditEvent<vendor><Product>. Lihat artikel Mengelola pengurai ASIM untuk mempelajari cara menambahkan pengurai kustom Anda ke pengurai pemersatu peristiwa audit.
Memfilter parameter parser
Pengurai peristiwa audit mendukung parameter pemfilteran. Meskipun parameter ini bersifat opsional, parameter ini dapat meningkatkan performa kueri Anda.
Parameter pemfilteran berikut ini tersedia:
| Nama | Tipe | Deskripsi |
|---|---|---|
| starttime | datetime | Filter hanya peristiwa yang berjalan pada atau setelah waktu ini. Parameter ini menggunakan TimeGenerated bidang sebagai pendesain waktu peristiwa. |
| endtime | datetime | Filter hanya kueri peristiwa yang selesai berjalan pada atau sebelum waktu ini. Parameter ini menggunakan TimeGenerated bidang sebagai pendesain waktu peristiwa. |
| srcipaddr_has_any_prefix | dinamis | Filter hanya peristiwa dari alamat IP sumber ini, seperti yang diwakili di bidang SrcIpAddr . |
| eventtype_in | string | Filter hanya peristiwa di mana jenis peristiwa, seperti yang diwakili di bidang EventType adalah salah satu istilah yang disediakan. |
| eventresult | string | Filter hanya peristiwa di mana hasil peristiwa, seperti yang diwakili di bidang EventResult sama dengan nilai parameter. |
| actorusername_has_any | dynamic/string | Filter hanya peristiwa di mana ActorUsername menyertakan salah satu persyaratan yang disediakan. |
| operation_has_any | dynamic/string | Filter hanya peristiwa di mana bidang Operasi menyertakan salah satu persyaratan yang disediakan. |
| object_has_any | dynamic/string | Filter hanya peristiwa di mana bidang Objek menyertakan salah satu istilah yang disediakan. |
| newvalue_has_any | dynamic/string | Filter hanya peristiwa di mana bidang NewValue menyertakan salah satu istilah yang disediakan. |
Beberapa parameter dapat menerima kedua daftar nilai jenis dynamic atau nilai string tunggal. Untuk meneruskan daftar harfiah ke parameter yang memerlukan nilai dinamis, secara eksplisit gunakan harfiah dinamis. Misalnya: dynamic(['192.168.','10.'])
Misalnya, untuk memfilter hanya peristiwa audit dengan istilah install atau update di bidang Operasi mereka, dari hari terakhir , gunakan:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Detail skema
Bidang ASIM umum
Penting
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang umum dengan pedoman khusus
Daftar berikut ini menyebutkan bidang yang memiliki pedoman khusus untuk Peristiwa Audit:
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| EventType | Wajib | Disebutkan | Menjelaskan operasi yang diaudit oleh peristiwa menggunakan nilai yang dinormalisasi. Gunakan EventSubType untuk memberikan detail lebih lanjut, yang tidak dinormalisasi nilainya, dan Operasi. untuk menyimpan operasi seperti yang dilaporkan oleh perangkat pelaporan. Untuk catatan Peristiwa Audit, nilai yang diizinkan adalah: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Peristiwa audit mewakili berbagai operasi, dan nilainya Other memungkinkan operasi pemetaan yang tidak memiliki .EventType Namun, penggunaan Other membatasi kegunaan peristiwa dan harus dihindari jika memungkinkan. |
| EventSubType | Opsional | String | Memberikan detail lebih lanjut, yang tidak dinormalisasi nilai dalam EventType . |
| EventSchema | Wajib | String | Nama skema yang didokumentasikan di sini adalah AuditEvent. |
| EventSchemaVersion | Wajib | String | Versi skema. Versi skema yang didokumentasikan di sini adalah 0.1. |
Semua bidang umum
Bidang yang muncul dalam tabel umum untuk semua skema ASIM. Salah satu pedoman yang ditentukan dalam dokumen ini mengambil alih pedoman umum untuk bidang tersebut. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk informasi selengkapnya tentang setiap bidang, lihat artikel Bidang Umum ASIM.
| Kelas | Bidang |
|---|---|
| Wajib | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Disarankan | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opsional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bidang audit
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Operasi | Wajib | String | Operasi yang diaudit seperti yang dilaporkan oleh perangkat pelaporan. |
| Objek | Wajib | String | Nama objek tempat operasi yang diidentifikasi oleh EventType dilakukan. |
| ObjectType | Wajib | Disebutkan | Jenis Objek. Nilai yang diperbolehkan adalah: - Cloud Resource- Configuration Atom- Policy Rule-Lain |
| OldValue | Opsional | String | Nilai lama Objek sebelum operasi, jika berlaku. |
| NilaiNilai Baru | Opsional | String | Nilai baru Objek setelah operasi dilakukan, jika berlaku. |
| Nilai | Alias | Alias ke NewValue | |
| ValueType | Kondisional | Disebutkan | Jenis nilai lama dan baru. Nilai yang diizinkan adalah -Lain |
Bidang pelaku
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActorUserId | Opsional | String | Representasi Pelaku yang dapat dibaca mesin, alfanumerik, unik. Untuk informasi selengkapnya, dan untuk bidang alternatif untuk ID lain, lihat Entitas pengguna. Contoh: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opsional | String | Cakupan, seperti Nama Domain Microsoft Entra, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
| ActorScopeId | Opsional | String | ID cakupan, seperti ID Microsoft Entra Directory, di mana ActorUserId dan ActorUsername ditentukan. untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema. |
| ActorUserIdType | Kondisional | UserIdType | Jenis ID yang disimpan pada bidang ActorUserId. Untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserIdType di Artikel Ringkasan Skema. |
| ActorUsername | Disarankan | Nama Pengguna | Nama pengguna Pelaku, termasuk informasi domain saat tersedia. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: AlbertE |
| Pengguna | Alias | Alias ke ActorUsername | |
| ActorUsernameType | Kondisional | UsernameType | Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat UsernameType di Artikel Ringkasan Skema. Contoh: Windows |
| ActorUserType | Opsional | UserType | Jenis Pelaku. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat UserType di Artikel Ringkasan Skema. Misalnya: Guest |
| ActorOriginalUserType | Opsional | UserType | Jenis pengguna seperti yang dilaporkan oleh perangkat pelaporan. |
| ActorSessionId | Opsional | String | ID unik dari sesi rincian masuk Pelaku. Contoh: 102pTUgC3p8RIqHvzxLCHnFlg |
Bidang aplikasi target
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| TargetAppId | Opsional | String | ID aplikasi tempat peristiwa berlaku, termasuk proses, browser, atau layanan. Contoh: 89162 |
| TargetAppName | Opsional | String | Nama aplikasi tempat peristiwa berlaku, termasuk layanan, URL, atau aplikasi SaaS. Contoh: Exchange 365 |
| Aplikasi | Alias | Alias ke TargetAppName | |
| TargetAppType | Opsional | AppType | Jenis aplikasi yang memberi wewenang atas nama Pelaku. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat AppType di Artikel Ringkasan Skema. |
| TargetUrl | Opsional | URL | URL yang terkait dengan aplikasi target. Contoh: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Bidang sistem target
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Dst | Alias | String | Pengidentifikasi unik dari target autentikasi. Bidang ini mungkin mengalias bidang TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId, atau TargetAppName. Contoh: 192.168.12.1 |
| TargetHostname | Disarankan | Nama host | Nama host perangkat target, tidak termasuk informasi domain. Contoh: DESKTOP-1282V4D |
| TargetDomain | Disarankan | String | Domain perangkat target. Contoh: Contoso |
| TargetDomainType | Kondisional | Disebutkan | Jenis TargetDomain. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType di artikel Gambaran Umum Skema. Diperlukan jika TargetDomain digunakan. |
| TargetFQDN | Opsional | String | Nama host perangkat target, termasuk informasi domain saat tersedia. Contoh: Contoso\DESKTOP-1282V4D Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. TargetDomainType mencerminkan format yang digunakan. |
| TargetDescription | Opsional | String | Teks deskriptif yang terkait dengan perangkat. Sebagai contoh: Primary Domain Controller. |
| TargetDvcId | Opsional | String | ID dari perangkat target. Jika terdapat beberapa ID tersedia, gunakan yang paling penting, dan simpan yang lain di bidang TargetDvc<DvcIdType>. Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. TargetDvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| TargetDvcScope | Opsional | String | Cakupan platform cloud milik perangkat. TargetDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| TargetDvcIdType | Kondisional | Disebutkan | Jenis TargetDvcId. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType di artikel Gambaran Umum Skema. Diperlukan jika TargetDeviceId digunakan. |
| TargetDeviceType | Opsional | Disebutkan | Jenis perangkat target. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DeviceType di artikel Gambaran Umum Skema. |
| TargetIpAddr | Opsional | Alamat IP | Alamat IP perangkat target. Contoh: 2.2.2.2 |
| TargetDvcOs | Opsional | String | OS perangkat target. Contoh: Windows 10 |
| TargetPortNumber | Opsional | Bilangan bulat | Port perangkat target. |
Bidang Aplikasi Tindakan
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActingAppId | Opsional | String | ID aplikasi yang memulai aktivitas yang dilaporkan, termasuk proses, browser, atau layanan. Misalnya: 0x12ae8 |
| ActiveAppName | Opsional | String | Nama aplikasi yang memulai aktivitas yang dilaporkan, termasuk layanan, URL, atau aplikasi SaaS. Misalnya: C:\Windows\System32\svchost.exe |
| ActingAppType | Opsional | AppType | Jenis aplikasi bertindak. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat AppType di Artikel Ringkasan Skema. |
| HttpUserAgent | Opsional | String | Ketika autentikasi dilakukan melalui HTTP atau HTTPS, nilai bidang ini adalah header HTTP user_agent yang disediakan oleh aplikasi bertindak saat melakukan autentikasi. Misalnya: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Bidang sistem sumber
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Src | Alias | String | Pengenal unik perangkat sumber. Bidang ini bisa menjadi alias bagi bidang SrcDvcId, SrcHostname, atau SrclpAddr. Contoh: 192.168.12.1 |
| SrcIpAddr | Disarankan | Alamat IP | Alamat IP tempat koneksi atau sesi berasal. Contoh: 77.138.103.108 |
| IpAddr | Alias | Alias ke SrcIpAddr, atau ke TargetIpAddr jika SrcIpAddr tidak disediakan. | |
| SrcPortNumber | Opsional | Bilangan bulat | Port IP tempat sambungan berasal. Mungkin tidak relevan untuk sesi yang terdiri dari beberapa sambungan. Contoh: 2335 |
| SrcHostname | Disarankan | Nama host | Nama host perangkat sumber, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, simpan alamat IP yang relevan di bidang ini. Contoh: DESKTOP-1282V4D |
| SrcDomain | Disarankan | String | Domain perangkat sumber. Contoh: Contoso |
| SrcDomainType | Kondisional | DomainType | Jenis SrcDomain. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType di artikel Gambaran Umum Skema. Diperlukan jika SrcDomain digunakan. |
| SrcFQDN | Opsional | String | Nama host perangkat sumber, termasuk informasi domain saat tersedia. Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang SrcDomainType mencerminkan format yang digunakan. Contoh: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opsional | String | Teks deskriptif yang terkait dengan perangkat. Sebagai contoh: Primary Domain Controller. |
| SrcDvcId | Opsional | String | ID perangkat sumber. Jika terdapat beberapa ID tersedia, gunakan yang paling penting, dan simpan yang lain di bidang SrcDvc<DvcIdType>.Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. Peta SrcDvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcScope | Opsional | String | Cakupan platform cloud milik perangkat. SrcDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcIdType | Kondisional | DvcIdType | Jenis SrcDvcId. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType di artikel Gambaran Umum Skema. Catatan: Bidang ini diperlukan jika SrcDvcId digunakan. |
| SrcDeviceType | Opsional | DeviceType | Jenis perangkat sumber Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DeviceType di artikel Gambaran Umum Skema. |
| SrcSubscriptionId | Opsional | String | ID langganan platform cloud milik perangkat sumber. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcGeoCountry | Opsional | Negara | Negara yang terkait dengan alamat IP sumber. Contoh: USA |
| SrcGeoRegion | Opsional | Wilayah | Wilayah dalam negara yang terkait dengan alamat IP sumber. Contoh: Vermont |
| SrcGeoCity | Opsional | Kota | Kota yang terkait dengan alamat IP sumber. Contoh: Burlington |
| SrcGeoLatitude | Opsional | Garis Lintang | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 44.475833 |
| SrcGeoLongitude | Opsional | Garis bujur | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 73.211944 |
Bidang inspeksi
Bidang berikut digunakan untuk mewakili inspeksi yang dilakukan oleh sistem keamanan.
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| RuleName | Opsional | String | Nama atau ID aturan dengan dikaitkan dengan hasil inspeksi. |
| RuleNumber | Opsional | Bilangan bulat | Jumlah aturan yang terkait dengan hasil inspeksi. |
| Aturan | Alias | String | Baik nilai RuleName atau nilai RuleNumber. Jika nilai RuleNumber digunakan, jenis harus dikonversi ke string. |
| ThreatId | Opsional | String | ID ancaman atau malware yang diidentifikasi dalam aktivitas audit. |
| ThreatName | Opsional | String | Nama ancaman atau malware yang diidentifikasi dalam aktivitas audit. |
| ThreatCategory | Opsional | String | Kategori ancaman atau malware yang diidentifikasi dalam aktivitas file audit. |
| ThreatRiskLevel | Opsional | Bilangan bulat | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi. Levelnya harus berupa angka antara 0 hingga 100. Catatan: Nilai ini dapat diberikan dalam catatan sumber menggunakan skala yang berbeda, yang harus dinormalisasi ke skala ini. Nilai asli harus disimpan di ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opsional | String | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatConfidence | Opsional | Bilangan bulat | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatOriginalConfidence | Opsional | String | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatIsActive | Opsional | Boolean | Benar jika ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatFirstReportedTime | Opsional | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatLastReportedTime | Opsional | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatIpAddr | Opsional | Alamat IP | Alamat IP yang ancamannya diidentifikasi. Bidang ThreatField berisi nama bidang yang diwakili ThreatIpAddr. |
| ThreatField | Opsional | Disebutkan | Bidang yang ancamannya diidentifikasi. Nilainya adalah SrcIpAddr atau TargetIpAddr. |
Langkah berikutnya
Untuk informasi selengkapnya, lihat: