進階安全性資訊模型 (ASIM) 稽核事件正規化架構參考 (公開預覽)
Microsoft Sentinel Audit 事件正規化架構代表與資訊系統稽核記錄相關聯的事件。 稽核記錄系統設定活動和原則變更。 這類變更通常是由系統管理員執行,但也可以在設定自己的應用程式設定時由使用者執行。
每個系統都會記錄稽核事件及其核心活動記錄。 例如,防火牆會記錄網路會話的相關事件是處理常式,以及稽核套用至防火牆本身之設定變更的相關事件。
如需 Microsoft Sentinel 中正規化的詳細資訊,請參閱 正規化和進階安全性資訊模型(ASIM)。
重要
Audit Event normalization 架構目前為預覽狀態 。 此功能在沒有服務等級協定的情況下提供。 不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
架構概觀
稽核事件的主要欄位如下:
- 物件,例如,事件所關注的 Managed 資源或原則規則,以 Field Object 表示。 Field ObjectType 指定物件的類型。
- 物件的應用程式內容,由 Application 所別名 的 TargetAppName 欄位 表示。
- 在 物件上執行的作業,以 EventType 和 Operation 欄位 表示。 雖然 Operation 是來源所報告的值, 但 EventType 是跨來源更一致的標準化版本。
- 物件的舊值和新值,如果適用,則分別以 OldValue 和 NewValue 表示。
稽核事件也會參考下列與組態作業相關的實體:
- 動作專案 - 執行設定作業的使用者。
- TargetApp - 套用組態作業的應用程式或系統。
- 目標 - TaregtApp * 執行所在的 系統。
- ActingApp - 動作專案 用來執行設定作業的應用程式。
- Src - 動作專案 用來 起始組態作業的系統,如果與 Target 不同。
描述項 Dvc 用於報告裝置,這是端點所報告會話的本機系統,在其他情況下則是中繼或安全性裝置。
剖析器
部署和使用稽核事件剖析器
從 Microsoft Sentinel GitHub 存放庫 部署 ASIM 稽核事件剖析器。 若要查詢所有稽核事件來源,請使用統一剖析器 imAuditEvent 作為查詢中的資料表名稱。
如需使用 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀 。 如需稽核事件剖析器清單,Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單
新增您自己的標準化剖析器
實作檔案事件資訊模型的自訂剖析器時,請使用下列語法為您的 KQL 函式命名: imAuditEvent<vendor><Product> 。 請參閱管理 ASIM 剖析器 一文 ,瞭解如何將自訂剖析器新增至稽核事件統一剖析器。
篩選剖析器參數
稽核事件剖析器支援 篩選參數 。 雖然這些參數是選擇性的,但它們可以改善查詢效能。
下列篩選參數可供使用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| starttime | Datetime | 只篩選在此時間或之後執行的事件。 此參數會 TimeGenerated 使用 欄位作為事件的時間指示項。 |
| endtime | Datetime | 只篩選目前或之前執行完畢的事件查詢。 此參數會 TimeGenerated 使用 欄位作為事件的時間指示項。 |
| srcipaddr_has_any_prefix | dynamic | 僅篩選來自此來源 IP 位址的事件,如 SrcIpAddr 欄位中所 代表。 |
| eventtype_in | string | 只篩選事件種類的事件,如 EventType 欄位中所 代表的任何字詞。 |
| eventresult | string | 只篩選事件結果所在的事件,如 EventResult 欄位中所 表示,等於參數值。 |
| actorusername_has_any | 動態/字串 | 僅篩選 ActorUsername 包含所提供任何字詞的事件 。 |
| operation_has_any | 動態/字串 | 僅篩選 [作業] 欄位包含任何提供條款的事件 。 |
| object_has_any | 動態/字串 | 僅篩選 Object 欄位包含任何提供詞彙的事件 。 |
| newvalue_has_any | 動態/字串 | 僅篩選 NewValue 欄位包含所提供任何字詞的事件 。 |
某些參數可以接受類型的 dynamic 值清單或單一字串值。 若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值 。 例如:dynamic(['192.168.','10.'])
例如,若要只篩選具有字詞 install 的稽核事件,或 update 在其 [作業 ] 欄位中,從最後一天開始,請使用:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
架構詳細資料
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有稽核事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventType | 必要 | 枚舉 | 描述事件使用正規化值稽核的作業。 使用 EventSubType 提供進一步的詳細資料,正規化值不會傳達和 Operation 。 以儲存報告裝置所報告的作業。 針對稽核事件記錄,允許的值如下: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other 稽核事件代表各種不同的作業,而 Other 值可啟用沒有對應 EventType 的對應作業。 不過,使用 Other 會限制事件的可用性,並應盡可能避免使用。 |
| EventSubType | 選擇性 | String | 提供 EventType 中 正規化值不會傳達的進一步詳細資料。 |
| EventSchema | 必要 | String | 這裡記載的架構名稱為 AuditEvent 。 |
| EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本為 0.1 。 |
所有通用欄位
出現在資料表中的欄位適用于所有 ASIM 架構。 本檔中指定的任何指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
稽核欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 運算 | 必要 | String | 報告裝置所報告的作業稽核。 |
| Object | 必要 | String | 執行 EventType 所識別 作業的物件名稱。 |
| ObjectType | 必要 | 枚舉 | Object 的類型 。 允許的值如下: - Cloud Resource- Configuration Atom- Policy Rule-其他 |
| OldValue | 選擇性 | String | 作業之前 Object 的 舊值,如果適用的話。 |
| NewValue | 選擇性 | String | 如果適用,在作業執行之後,Object 的新值 。 |
| 值 | Alias | NewValue 的 別名 | |
| ValueType | 條件 | 枚舉 | 舊值和新值的型別。 允許的值為 -其他 |
動作專案欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActorUserId | 選擇性 | String | 機器可讀取、英數位元、動作專案的唯一標記法。 如需詳細資訊,以及其他識別碼的替代欄位,請參閱 使用者實體 。 範例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的 Microsoft Entra 功能變數名稱 等範圍。 或詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserScope 。 |
| ActorScopeId | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍識別碼, 例如 Microsoft Entra Directory 識別碼。 如需允許值的詳細資訊和清單,請參閱 架構概觀一文 中的 UserScopeId 。 |
| ActorUserIdType | 條件 | UserIdType | 儲存在 ActorUserId 欄位中的識別碼類型。 如需允許值的詳細資訊和清單,請參閱 架構概觀一文 中的 UserIdType 。 |
| ActorUsername | 建議需求 | 使用者名稱 | 動作專案的使用者名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱 使用者實體 。 範例: AlbertE |
| 使用者 | Alias | ActorUsername 的 別名 | |
| ActorUsernameType | 條件 | UsernameType | 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱 架構概觀一文 中的 UsernameType 。 範例: Windows |
| ActorUserType | 選擇性 | UserType | 動作專案的類型。 如需詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserType 。 例如: Guest |
| ActorOriginalUserType | 選擇性 | UserType | 報告裝置所報告的使用者類型。 |
| ActorSessionId | 選擇性 | String | 動作專案之登入會話的唯一識別碼。 範例: 102pTUgC3p8RIqHvzxLCHnFlg |
目標應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetAppId | 選擇性 | String | 套用事件的應用程式識別碼,包括進程、瀏覽器或服務。 範例: 89162 |
| TargetAppName | 選擇性 | String | 要套用事件的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 範例: Exchange 365 |
| 應用程式 | Alias | TargetAppName 的 別名 | |
| TargetAppType | 選擇性 | AppType | 代表動作專案授權的應用程式類型。 如需詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 AppType 。 |
| TargetUrl | 選擇性 | URL | 與目標應用程式相關聯的 URL。 範例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
目標系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Dst | Alias | String | 驗證目標的唯一識別碼。 此欄位可能會將 TargerDvcId 、TargetHostname 、 TargetIpAddr 、 TargetAppId 或 TargetAppName 欄位別名。 範例: 192.168.12.1 |
| TargetHostname | 建議需求 | 主機名稱 | 目標裝置主機名稱,不包括網域資訊。 範例: DESKTOP-1282V4D |
| TargetDomain | 建議需求 | String | 目標裝置的網域。 範例: Contoso |
| TargetDomainType | 條件 | 枚舉 | TargetDomain 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DomainType 。 如果使用 TargetDomain ,則為必要專案。 |
| TargetFQDN | 選擇性 | String | 目標裝置主機名稱,包括可用時的網域資訊。 範例: Contoso\DESKTOP-1282V4D 注意 :此欄位同時支援傳統的 FQDN 格式和 Windows 網域\主機名稱格式。 TargetDomainType 會反映所使用的格式。 |
| TargetDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| TargetDvcId | 選擇性 | String | 目標裝置的識別碼。 如果有多個識別符可用,請使用最重要的識別碼,並將其他識別碼儲存在 欄位中 TargetDvc<DvcIdType> 。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍識別碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| TargetDvcScope | 選擇性 | String | 裝置所屬的雲端平臺範圍。 TargetDvcScope 會對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| TargetDvcIdType | 條件 | 枚舉 | TargetDvcId 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DvcIdType 。 如果使用 TargetDeviceId ,則為必要專案。 |
| TargetDeviceType | 選擇性 | 枚舉 | 目標裝置的類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DeviceType 。 |
| TargetIpAddr | 選擇性 | IP 位址 | 目標裝置的 IP 位址。 範例: 2.2.2.2 |
| TargetDvcOs | 選擇性 | String | 目標裝置的 OS。 範例: Windows 10 |
| TargetPortNumber | 選擇性 | 整數 | 目標裝置的埠。 |
代理應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingAppId | 選擇性 | String | 起始活動之應用程式的識別碼,包括進程、瀏覽器或服務。 例如: 0x12ae8 |
| ActiveAppName | 選擇性 | String | 起始活動之應用程式的名稱,包括服務、URL 或 SaaS 應用程式。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 選擇性 | AppType | 代理應用程式的類型。 如需詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 AppType 。 |
| HttpUserAgent | 選擇性 | String | 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
來源系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Src | Alias | String | 來源裝置的唯一識別碼。 此欄位可能會將 SrcDvcId 、 SrcHostname 或 SrcIpAddr 欄位別名。 範例: 192.168.12.1 |
| SrcIpAddr | 建議需求 | IP 位址 | 連線或會話的來源 IP 位址。 範例: 77.138.103.108 |
| IpAddr | Alias | SrcIpAddr 的 別名,如果未 提供 SrcIpAddr ,則為 TargetIpAddr 。 | |
| SrcPortNumber | 選擇性 | 整數 | 連線的來源 IP 埠。 可能與組成多個連線的會話無關。 範例: 2335 |
| SrcHostname | 建議需求 | 主機名稱 | 來源裝置主機名稱,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的 IP 位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 條件 | DomainType | SrcDomain 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DomainType 。 如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | String | 來源裝置主機名稱,包括可用時的網域資訊。 注意 :此欄位同時支援傳統的 FQDN 格式和 Windows 網域\主機名稱格式。 SrcDomainType 欄位會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| SrcDvcId | 選擇性 | String | 來源裝置的識別碼。 如果有多個識別符可用,請使用最重要的識別碼,並將其他識別碼儲存在 欄位中 SrcDvc<DvcIdType> 。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶識別碼,以及對應至 AWS 上的帳戶識別碼。 |
| SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平臺範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DvcIdType 。 注意 :如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DeviceType 。 |
| SrcSubscriptionId | 選擇性 | String | 來源裝置所屬的雲端平臺訂用帳戶識別碼。 SrcSubscriptionId 會對應至 Azure 上的訂用帳戶識別碼,以及對應至 AWS 上的帳戶識別碼。 |
| SrcGeoCountry | 選擇性 | 國家/地區 | 與來源 IP 位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源 IP 位址相關聯的國家/地區內區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 城市 | 與來源 IP 位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源 IP 位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源 IP 位址相關聯的地理座標經度。 範例: 73.211944 |
檢查欄位
下欄欄位用來代表安全性系統所執行的檢查。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| RuleName | 選擇性 | String | 與檢查結果相關聯的規則名稱或識別碼。 |
| RuleNumber | 選擇性 | 整數 | 與檢查結果相關聯的規則數目。 |
| 規則 | Alias | String | RuleName 的值 或 RuleNumber 的值 。 如果使用 RuleNumber 的值 ,則類型應該轉換成字串。 |
| ThreatId | 選擇性 | String | 稽核活動中識別的威脅或惡意程式碼識別碼。 |
| ThreatName | 選擇性 | String | 稽核活動中識別的威脅或惡意程式碼名稱。 |
| ThreatCategory | 選擇性 | String | 稽核檔案活動中所識別的威脅或惡意程式碼類別。 |
| ThreatRiskLevel | 選擇性 | 整數 | 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的 數位。 注意 :來源記錄中可能會使用不同的小數位數來提供此值,而這個小數位數應該正規化為這個小數位數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 選擇性 | String | 報告裝置所報告的風險層級。 |
| ThreatConfidence | 選擇性 | 整數 | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 選擇性 | Datetime | 第一次將 IP 位址或網域識別為威脅。 |
| ThreatLastReportedTime | 選擇性 | Datetime | 上次將 IP 位址或網域識別為威脅的時間。 |
| ThreatIpAddr | 選擇性 | IP 位址 | 識別威脅的 IP 位址。 Field ThreatField 包含 ThreatIpAddr 欄位的名稱 。 |
| ThreatField | 選擇性 | 枚舉 | 識別威脅的欄位。 值為 SrcIpAddr 或 TargetIpAddr 。 |
下一步
如需詳細資訊,請參閱