進階安全性資訊模型 (ASIM) 驗證正規化架構參考 (公開預覽)
Microsoft Sentinel 驗證架構可用來描述與使用者驗證、登入和登出相關的事件。驗證事件是由許多報告裝置傳送,通常是與其他事件一起作為事件資料流程的一部分。 例如,Windows 會與其他 OS 活動事件一起傳送數個驗證事件。
驗證事件包括來自系統的事件,這些事件著重于驗證,例如 VPN 閘道或網域控制站,以及直接驗證至終端系統,例如電腦或防火牆。
如需 Microsoft Sentinel 中正規化的詳細資訊,請參閱 正規化和進階安全性資訊模型(ASIM)。
重要
驗證正規化架構目前為 PREVIEW。 此功能在沒有服務等級協定的情況下提供,不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
剖析器
從 Microsoft Sentinel GitHub 存放庫 部署 ASIM 驗證剖析器。 如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀 文章 。
統一剖析器
若要使用將所有 ASIM 現成剖析器統一起來的剖析器,並確保分析在所有設定的來源上執行,請使用 imAuthentication 篩選剖析器或 ASimAuthentication 無參數剖析器。
來源特定剖析器
如需 Microsoft Sentinel 提供的驗證剖析器清單, 請參閱 ASIM 剖析器清單 :
新增您自己的標準化剖析器
實作驗證資訊模型的自訂剖析器時,請使用下列語法為您的 KQL 函式命名:
vimAuthentication<vendor><Product>用於篩選剖析器ASimAuthentication<vendor><Product>用於無參數剖析器
如需將自訂剖析器新增至統一剖析器的資訊,請參閱 管理 ASIM 剖析器 。
篩選剖析器參數
im和 vim* 剖析器支援 篩選參數 。 雖然這些剖析器是選擇性的,但它們可以改善查詢效能。
下列篩選參數可供使用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| starttime | Datetime | 只篩選在此時間或之後執行的驗證事件。 |
| endtime | Datetime | 只篩選目前或之前執行完畢的驗證事件。 |
| targetusername_has | string | 僅篩選具有任何列出的使用者名稱的驗證事件。 |
例如,若要僅篩選過去一天到特定使用者的驗證事件,請使用:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
提示
若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值 。 例如: dynamic(['192.168.','10.']) 。
標準化內容
標準化的驗證分析規則在偵測到跨來源的攻擊時是獨一無二的。 因此,例如,如果使用者登入不同國家/地區的不同不相關系統,Microsoft Sentinel 現在會偵測到此威脅。
如需使用標準化驗證事件之分析規則的完整清單,請參閱 驗證架構安全性內容 。
架構概觀
驗證資訊模型會與 OSSEM 登入實體架構 一致。
下表所列的欄位專屬於驗證事件,但與其他架構中的欄位類似,並遵循類似的命名慣例。
驗證事件會參考下列實體:
- TargetUser - 用來向系統驗證的使用者資訊。 TargetSystem 是驗證事件的主要主旨,而使用者別名則是 已識別 TargetUser 的 別名。
- TargetApp - 已驗證的應用程式。
- 目標 - TaregtApp * 執行所在的 系統。
- 動作專案 - 如果與 TargetUser 不同,則起始驗證的使用者。
- ActingApp - 動作專案 用來 執行驗證的應用程式。
- Src - 動作專案 用來 起始驗證的系統。
這些實體之間的關聯性最好示範如下:
動作 專案 ,在來源系統上執行代理應用程式代理程式代理 程式 Src ,會嘗試在目標系統上 以 TargetUser 身分向 目標應用程式 TargetApp 驗證 TargetDvc 。
架構詳細資料
在下表中, Type 是指邏輯類型。 如需詳細資訊,請參閱 邏輯類型 。
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有驗證事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventType | 必要 | 枚舉 | 描述記錄所報告的作業。 針對驗證記錄,支援的值包括: - Logon - Logoff- Elevate |
| EventResultDetails | 建議需求 | String | 與事件結果相關聯的詳細資料。 當結果失敗時,通常會填入此欄位。 允許的值包括: - No such user or password. 當原始附隨報告沒有這類使用者,而不參考密碼時,也應該使用此值。- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. 當原始附隨報告時,應該使用此值,例如:需要 MFA、在工作時間以外登入、條件式存取限制,或嘗試太頻繁。- Session expired- Other您可以使用不同的詞彙,在來源記錄中提供此值,這應該會正規化為這些值。 原始值應該儲存在 EventOriginalResultDetails 欄位中 |
| EventSubType | 選擇性 | String | 登入類型。 允許的值包括: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - 當遠端登入的類型未知時,請使用 。- AssumeRole - 通常當事件種類為 Elevate 時使用。 您可以使用不同的詞彙,在來源記錄中提供此值,這應該會正規化為這些值。 原始值應該儲存在 EventOriginalSubType 欄位中 。 |
| EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本如下 0.1.3 |
| EventSchema | 必要 | String | 這裡記載的架構名稱是 驗證 。 |
| Dvc 欄位 | - | - | 針對驗證事件,裝置欄位會參考報告事件的系統。 |
所有通用欄位
下表中顯示的欄位適用于所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的進一步詳細資料,請參閱 ASIM 通用欄位 一文。
驗證特定欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| LogonMethod | 選擇性 | String | 用來執行驗證的方法。 範例: Username & Password、PKI |
| LogonProtocol | 選擇性 | String | 用來執行驗證的通訊協定。 範例: NTLM |
動作專案欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActorUserId | 選擇性 | String | 機器可讀取、英數位元、動作專案的唯一標記法。 如需詳細資訊,以及其他識別碼的替代欄位,請參閱 使用者實體 。 範例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的 Microsoft Entra 租使用者 等範圍。 或詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserScope 。 |
| ActorScopeId | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍識別碼, 例如 Microsoft Entra Directory 識別碼。 如需允許值的詳細資訊和清單,請參閱 架構概觀一文 中的 UserScopeId 。 |
| ActorUserIdType | 條件 | UserIdType | 儲存在 ActorUserId 欄位中的識別碼類型。 如需允許值的詳細資訊和清單,請參閱 架構概觀一文 中的 UserIdType 。 |
| ActorUsername | 選擇性 | 使用者名稱 | 動作專案的使用者名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱 使用者實體 。 範例: AlbertE |
| ActorUsernameType | 條件 | UsernameType | 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱 架構概觀一文 中的 UsernameType 。 範例: Windows |
| ActorUserType | 選擇性 | UserType | 動作專案的類型。 如需詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserType 。 例如: Guest |
| ActorOriginalUserType | 選擇性 | UserType | 報告裝置所報告的使用者類型。 |
| ActorSessionId | 選擇性 | String | 動作專案之登入會話的唯一識別碼。 範例: 102pTUgC3p8RIqHvzxLCHnFlg |
代理應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingAppId | 選擇性 | String | 代表動作專案授權的應用程式識別碼,包括進程、瀏覽器或服務。 例如: 0x12ae8 |
| ActingAppName | 選擇性 | String | 代表動作專案授權的應用程式名稱,包括進程、瀏覽器或服務。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 選擇性 | AppType | 代理應用程式的類型。 如需詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 AppType 。 |
| HttpUserAgent | 選擇性 | String | 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
目標使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetUserId | 選擇性 | UserId | 電腦可讀取、英數位元、目標使用者的唯一標記法。 如需詳細資訊,以及其他識別碼的替代欄位,請參閱 使用者實體 。 範例: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | 選擇性 | String | 定義 TargetUserId 和 TargetUsername 的 Microsoft Entra 租使用者 等範圍。 或詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserScope 。 |
| TargetUserScopeId | 選擇性 | String | 定義 TargetUserId 和 TargetUsername 的範圍識別碼, 例如 Microsoft Entra Directory 識別碼。 如需允許值的詳細資訊和清單,請參閱 架構概觀一文 中的 UserScopeId 。 |
| TargetUserIdType | 條件 | UserIdType | 儲存在 TargetUserId 欄位中的使用者識別碼類型。 如需允許值的詳細資訊和清單,請參閱 架構概觀一文 中的 UserIdType 。 範例: SID |
| TargetUsername | 選擇性 | 使用者名稱 | 目標使用者名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱 使用者實體 。 範例: MarieC |
| TargetUsernameType | 條件 | UsernameType | 指定儲存在 TargetUsername 欄位中的使用者名稱 類型。 如需允許值的詳細資訊和清單,請參閱 架構概觀一文 中的 UsernameType 。 |
| TargetUserType | 選擇性 | UserType | 目標使用者的型別。 如需詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserType 。 例如: Member |
| TargetSessionId | 選擇性 | String | 來源裝置上 TargetUser 的登入會話識別碼。 |
| TargetOriginalUserType | 選擇性 | UserType | 報告裝置所報告的使用者類型。 |
| 使用者 | Alias | 使用者名稱 | 如果未 定義 TargetUsername ,則為 TargetUsername 或 TargetUserId 的別名。 範例: CONTOSO\dadmin |
來源系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Src | 建議需求 | String | 來源裝置的唯一識別碼。 此欄位可能會將 SrcDvcId 、 SrcHostname 或 SrcIpAddr 欄位別名。 範例: 192.168.12.1 |
| SrcDvcId | 選擇性 | String | 來源裝置的識別碼。 如果有多個識別符可用,請使用最重要的識別碼,並將其他識別碼儲存在 欄位中 SrcDvc<DvcIdType> 。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶識別碼,以及對應至 AWS 上的帳戶識別碼。 |
| SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平臺範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型 。 如需允許值的清單和進一步資訊,請參閱 架構概觀一文 中的 DvcIdType 。 注意 :如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許值的清單和進一步資訊,請參閱 架構概觀一文 中的 DeviceType 。 |
| SrcHostname | 建議需求 | 主機名稱 | 來源裝置主機名稱,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的 IP 位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 條件 | DomainType | SrcDomain 的類型 。 如需允許值的清單和進一步資訊,請參閱 架構概觀一文 中的 DomainType 。 如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | String | 來源裝置主機名稱,包括可用時的網域資訊。 注意 :此欄位同時支援傳統的 FQDN 格式和 Windows 網域\主機名稱格式。 SrcDomainType 欄位會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| SrcIpAddr | 選擇性 | IP 位址 | 來源裝置的 IP 位址。 範例: 2.2.2.2 |
| SrcPortNumber | 選擇性 | 整數 | 連線的來源 IP 埠。 範例: 2335 |
| SrcDvcOs | 選擇性 | String | 來源裝置的 OS。 範例: Windows 10 |
| IpAddr | Alias | SrcIpAddr 的 別名 | |
| SrcIsp | 選擇性 | String | 來源裝置用來連線到網際網路的網際網路服務提供者 (ISP)。 範例: corpconnect |
| SrcGeoCountry | 選擇性 | 國家/地區 | 範例: Canada 如需詳細資訊,請參閱 邏輯類型 。 |
| SrcGeoCity | 選擇性 | 城市 | 範例: Montreal 如需詳細資訊,請參閱 邏輯類型 。 |
| SrcGeoRegion | 選擇性 | 區域 | 範例: Quebec 如需詳細資訊,請參閱 邏輯類型 。 |
| SrcGeoLongtitude | 選擇性 | 經度 | 範例: -73.614830 如需詳細資訊,請參閱 邏輯類型 。 |
| SrcGeoLatitude | 選擇性 | 緯度 | 範例: 45.505918 如需詳細資訊,請參閱 邏輯類型 。 |
| SrcRiskLevel | 選擇性 | 整數 | 與來源相關聯的風險層級。 此值應調整為 的範圍, 0100 並 0 針對良性和 100 高風險。範例: 90 |
| SrcOriginalRiskLevel | 選擇性 | 整數 | 與來源相關聯的風險層級,如報告裝置所報告。 範例: Suspicious |
目標應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetAppId | 選擇性 | String | 需要授權的應用程式識別碼,通常是由報告裝置指派。 範例: 89162 |
| TargetAppName | 選擇性 | String | 需要授權的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 範例: Saleforce |
| TargetAppType | 選擇性 | AppType | 代表動作專案授權的應用程式類型。 如需詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 AppType 。 |
| TargetUrl | 選擇性 | URL | 與目標應用程式相關聯的 URL。 範例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | TargetAppName 、 TargetUrl 或 TargetHostname 的別名,無論哪一個欄位最能描述驗證目標。 |
目標系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Dst | Alias | String | 驗證目標的唯一識別碼。 此欄位可能會將 TargerDvcId 、TargetHostname 、 TargetIpAddr 、 TargetAppId 或 TargetAppName 欄位別名。 範例: 192.168.12.1 |
| TargetHostname | 建議需求 | 主機名稱 | 目標裝置主機名稱,不包括網域資訊。 範例: DESKTOP-1282V4D |
| TargetDomain | 建議需求 | String | 目標裝置的網域。 範例: Contoso |
| TargetDomainType | 條件 | 枚舉 | TargetDomain 的類型 。 如需允許值的清單和進一步資訊,請參閱 架構概觀一文 中的 DomainType 。 如果使用 TargetDomain ,則為必要專案。 |
| TargetFQDN | 選擇性 | String | 目標裝置主機名稱,包括可用時的網域資訊。 範例: Contoso\DESKTOP-1282V4D 注意 :此欄位同時支援傳統的 FQDN 格式和 Windows 網域\主機名稱格式。 TargetDomainType 會反映所使用的格式。 |
| TargetDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| TargetDvcId | 選擇性 | String | 目標裝置的識別碼。 如果有多個識別符可用,請使用最重要的識別碼,並將其他識別碼儲存在 欄位中 TargetDvc<DvcIdType> 。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍識別碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| TargerDvcScope | 選擇性 | String | 裝置所屬的雲端平臺範圍。 TargetDvcScope 會對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| TargetDvcIdType | 條件 | 枚舉 | TargetDvcId 的類型 。 如需允許值的清單和進一步資訊,請參閱 架構概觀一文 中的 DvcIdType 。 如果使用 TargetDeviceId ,則為必要專案。 |
| TargetDeviceType | 選擇性 | 枚舉 | 目標裝置的類型。 如需允許值的清單和進一步資訊,請參閱 架構概觀一文 中的 DeviceType 。 |
| TargetIpAddr | 選擇性 | IP 位址 | 目標裝置的 IP 位址。 範例: 2.2.2.2 |
| TargetDvcOs | 選擇性 | String | 目標裝置的 OS。 範例: Windows 10 |
| TargetPortNumber | 選擇性 | 整數 | 目標裝置的埠。 |
| TargetGeoCountry | 選擇性 | 國家/地區 | 與目標 IP 位址相關聯的國家/地區。 範例: USA |
| TargetGeoRegion | 選擇性 | 區域 | 與目標 IP 位址相關聯的區域。 範例: Vermont |
| TargetGeoCity | 選擇性 | 城市 | 與目標 IP 位址相關聯的城市。 範例: Burlington |
| TargetGeoLatitude | 選擇性 | 緯度 | 與目標 IP 位址相關聯的地理座標緯度。 範例: 44.475833 |
| TargetGeoLongitude | 選擇性 | 經度 | 與目標 IP 位址相關聯的地理座標經度。 範例: 73.211944 |
| TargetRiskLevel | 選擇性 | 整數 | 與目標相關聯的風險層級。 此值應調整為 的範圍, 0100 並 0 針對良性和 100 高風險。範例: 90 |
| TargetOriginalRiskLevel | 選擇性 | 整數 | 與目標相關聯的風險層級,如報告裝置所報告。 範例: Suspicious |
檢查欄位
下欄欄位用來代表安全性系統所執行的檢查。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| RuleName | 選擇性 | String | 與檢查結果相關聯的規則名稱或識別碼。 |
| RuleNumber | 選擇性 | 整數 | 與檢查結果相關聯的規則數目。 |
| 規則 | Alias | String | RuleName 的值 或 RuleNumber 的值 。 如果使用 RuleNumber 的值 ,則類型應該轉換成字串。 |
| ThreatId | 選擇性 | String | 稽核活動中識別的威脅或惡意程式碼識別碼。 |
| ThreatName | 選擇性 | String | 稽核活動中識別的威脅或惡意程式碼名稱。 |
| ThreatCategory | 選擇性 | String | 稽核檔案活動中所識別的威脅或惡意程式碼類別。 |
| ThreatRiskLevel | 選擇性 | 整數 | 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的 數位。 注意 :來源記錄中可能會使用不同的小數位數來提供此值,而這個小數位數應該正規化為這個小數位數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 選擇性 | String | 報告裝置所報告的風險層級。 |
| ThreatConfidence | 選擇性 | 整數 | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 選擇性 | Datetime | 第一次將 IP 位址或網域識別為威脅。 |
| ThreatLastReportedTime | 選擇性 | Datetime | 上次將 IP 位址或網域識別為威脅的時間。 |
| ThreatIpAddr | 選擇性 | IP 位址 | 識別威脅的 IP 位址。 Field ThreatField 包含 ThreatIpAddr 欄位的名稱 。 |
| ThreatField | 選擇性 | 枚舉 | 識別威脅的欄位。 值為 SrcIpAddr 或 TargetIpAddr 。 |
架構更新
這些是架構 0.1.1 版的變更:
- 已更新使用者和裝置實體欄位,以配合其他架構。
- 已
TargetDvc將 和SrcDvc分別重新命名為Target和Src,以符合目前的 ASIM 指導方針。 重新命名的欄位將會實作為別名,直到 2022 年 7 月 1 日為止。 這些欄位包括:SrcDvcHostname、、SrcDvcTypeTargetDvcHostnameTypeSrcDvcHostnameTypeSrcDvcIpAddrTargetDvcHostname、TargetDvcType、TargetDvcIpAddr和 。TargetDvc - 已新增別名
Src和Dst。 - 已新增欄位
SrcDvcIdType、SrcDeviceType、TargetDvcIdType和TargetDeviceType和EventSchema。
這些是架構 0.1.2 版的變更:
- 已新增
ActorScope欄位 、TargetUserScope、、SrcDvcScopeId、TargetDvcScopeIdSrcDvcScope、TargetDvcScope、、DvcScopeId和DvcScope。
這些是架構 0.1.3 版的變更:
- 已新增 、、、
ActorScopeIdSrcRiskLevelTargetUserScopeIdTargetOriginalUserTypeSrcDescription、SrcOriginalRiskLevel、 和 欄位。SrcPortNumberTargetDescriptionActorOriginalUserType - 已新增檢查欄位
- 已新增目標系統地理位置欄位。
下一步
如需詳細資訊,請參閱