Справочник по схеме оповещений о расширенной информационной модели безопасности (ASIM)

Схема оповещений Microsoft Sentinel предназначена для нормализации оповещений, связанных с безопасностью, из различных продуктов в стандартизированном формате в рамках microsoft Advanced Security Information Model (ASIM). Эта схема сосредоточена исключительно на событиях безопасности, обеспечивая последовательный и эффективный анализ в разных источниках данных.

Схема оповещений представляет различные типы оповещений системы безопасности, такие как угрозы, подозрительные действия, аномалии поведения пользователей и нарушения соответствия требованиям. Эти оповещения сообщаются различными продуктами и системами безопасности, включая, помимо прочего, EDR, антивирусное программное обеспечение, системы обнаружения вторжений, средства защиты от потери данных и т. д.

Дополнительные сведения о нормализации в Microsoft Sentinel см. в разделе Нормализация и расширенная информационная модель безопасности (ASIM).

Парсеров

Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средства синтаксического анализа ASIM.

Объединение синтаксического анализа

Чтобы использовать средства синтаксического анализа, которые унифицировывают все встроенные средства синтаксического анализа ASIM и обеспечивают выполнение анализа во всех настроенных источниках, используйте _Im_AlertEvent средство синтаксического анализа.

Встроенные средства синтаксического анализа для конкретного источника

Список средств синтаксического анализа оповещений Microsoft Sentinel, которые предоставляются в готовом виде, см. в списке средств синтаксического анализа ASIM.

Добавление собственных нормализованных анализаторов

При разработке пользовательских средств синтаксического анализа для модели генерации оповещений назовите свои функции KQL, используя следующий синтаксис:

  • vimAlertEvent<vendor><Product> для параметризованных анализаторов
  • ASimAlertEvent<vendor><Product> для обычных синтаксического анализа

Сведения о том, как добавить пользовательские средства синтаксического анализа в средства синтаксического анализа оповещений, см. в статье Управление средствами синтаксического анализа ASIM .

Фильтрация параметров средства синтаксического анализа

Средства синтаксического анализа оповещений поддерживают различные параметры фильтрации для повышения производительности запросов. Эти параметры являются необязательными, но могут повысить производительность запроса. Доступны следующие параметры фильтрации:

Имя Тип Описание
Starttime datetime Фильтрация только оповещений, запущенных в это время или позже. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа.
время окончания datetime Фильтрация только оповещений, запущенных в это время или раньше. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа.
ipaddr_has_any_prefix Динамический Фильтрация только оповещений, для которых поле "DvcIpAddr" находится в одном из перечисленных значений.
hostname_has_any Динамический Фильтрация только оповещений, для которых поле DvcHostname находится в одном из перечисленных значений.
username_has_any Динамический Фильтрация только оповещений, для которых поле "Имя пользователя" находится в одном из перечисленных значений.
attacktactics_has_any Динамический Фильтрация только оповещений, для которых поле "AttackTactics" находится в одном из перечисленных значений.
attacktechniques_has_any Динамический Фильтрация только оповещений, для которых поле AttackTechniques находится в одном из перечисленных значений.
threatcategory_has_any Динамический Фильтрация только оповещений, для которых поле ThreatCategory находится в одном из перечисленных значений.
alertverdict_has_any Динамический Фильтрация только оповещений, для которых поле AlertVerdict находится в одном из перечисленных значений.
eventseverity_has_any Динамический Фильтрация только оповещений, для которых поле EventSeverity находится в одном из перечисленных значений.

Общие сведения о схеме

Схема оповещений обслуживает несколько типов событий безопасности, которые используют одни и те же поля. Эти события определяются полем EventType:

  • Сведения об угрозах: оповещения, связанные с различными типами вредоносных действий, такими как вредоносные программы, фишинг, программы-шантажисты и другие киберугрозы.
  • Подозрительные действия. Оповещения о действиях, которые не обязательно являются подтвержденными угрозами, но являются подозрительными и требуют дальнейшего изучения, таких как несколько неудачных попыток входа или доступ к файлам с ограниченным доступом.
  • Аномалии поведения пользователей. Оповещения, указывающие на необычное или непредвиденное поведение пользователя, которое может указывать на проблему безопасности, например аномальное время входа или необычные шаблоны доступа к данным.
  • Нарушения соответствия требованиям: оповещения, связанные с несоответствием нормативным или внутренним политикам. Например, виртуальная машина, доступная с открытыми общедоступными портами, уязвима для атак (оповещение системы безопасности облака).

Важно!

Чтобы сохранить релевантность и эффективность схемы оповещений, необходимо сопоставить только оповещения, связанные с безопасностью.

Схема оповещений ссылается на следующие сущности для сбора сведений об оповещении:

  • Поля Dvc используются для сбора сведений об узле или IP-адресе, связанном с оповещением.
  • Поля пользователя используются для сбора сведений о пользователе, связанном с оповещением.
  • Аналогичным образом поля Process, File, Url, Registry и Email используются для записи только ключевых сведений о процессе, файле, URL-адресе, реестре и электронной почте, связанных с оповещением соответственно.

Важно!

  • При создании средства синтаксического анализа для конкретного продукта используйте схему оповещений ASIM, если оповещение содержит сведения об инциденте безопасности или потенциальной угрозе, а основные сведения можно сопоставить непосредственно с доступными полями схемы оповещений. Схема оповещений идеально подходит для сбора сводных сведений без обширных полей, относящихся к сущности.
  • Однако если вы размещаете основные поля в "AdditionalFields" из-за отсутствия прямых совпадений полей, рассмотрите более специализированную схему. Например, если оповещение содержит сведения, связанные с сетью, такие как несколько IP-адресов, например SrcIpAdr, DstIpAddr, PortNumber и т. д., вы можете выбрать схему NetworkSession вместо схемы оповещения. Специализированные схемы также предоставляют выделенные поля для сбора информации, связанной с угрозами, повышения качества данных и упрощения эффективного анализа.

Сведения о схеме

Общие поля ASIM

В следующем списке перечислены поля с определенными рекомендациями по событиям оповещений:

Поле Класс Тип Описание
EventType Обязательный Перечисленных Тип события.

Поддерживаемые значения:
-Alert
EventSubType Рекомендуемый Перечисленных Указывает подтип или категорию события оповещения, предоставляя более подробные сведения в более широкой классификации событий. Это поле помогает различать характер обнаруженной проблемы, улучшая стратегии определения приоритетов и реагирования на инциденты.

Поддерживаются следующие значения:
- Threat (Представляет подтвержденное или весьма вероятное вредоносное действие, которое может поставить под угрозу систему или сеть)
- Suspicious Activity (Помечает поведение или события, которые кажутся необычными или подозрительными, но еще не подтверждены как вредоносные)
- Anomaly (Определяет отклонения от обычных шаблонов, которые могут указывать на потенциальный риск безопасности или операционную проблему)
- Compliance Violation (Выделяет действия, которые нарушают нормативные, политические или нормативные стандарты)
EventUid Обязательный string Читаемая компьютером буквенно-цифровая строка, которая однозначно идентифицирует оповещение в системе.
Например. A1bC2dE3fH4iJ5kL6mN7oP8qR9s
EventMessage Необязательный string Подробные сведения об оповещении, включая его контекст, причину и потенциальное влияние.
Например. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets.
IpAddr Alias Псевдоним или понятное имя поля DvcIpAddr .
Hostname (Имя узла) Alias Псевдоним или понятное имя поля DvcHostname .
EventSchema Обязательный Перечисленных Схема, используемая для события. Схема, описанная здесь, — .AlertEvent
EventSchemaVersion Обязательный SchemaVersion (String) Версия схемы. Версия схемы, описанная здесь, — 0.1.

Все общие поля

Поля, отображаемые в таблице ниже, являются общими для всех схем ASIM. Любое указанное выше руководство переопределяет общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM .

Класс Поля
Обязательный - EventCount
- EventStartTime
- EventEndTime
- Eventtype
- EventUid
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
Рекомендуемый - EventSubType
- EventSeverity
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
Необязательный - EventMessage
- EventOriginalType
- EventOriginalSubType
- EventOriginalSeverity
- EventProductVersion
- EventOriginalUid
- EventReportUrl
- EventResult
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcAction
- DvcOriginalAction
- DvcInterface
- Дополнительные поля
- DvcDescription
- DvcScopeId
- DvcScope

Поля проверки

В следующей таблице описаны поля, которые предоставляют критически важные сведения о правилах и угрозах, связанных с оповещениями. Вместе они помогают обогатить контекст оповещения, упрощая аналитикам по безопасности понимание его происхождения и значения.

Поле Класс Тип Описание
AlertId Alias string Псевдоним или понятное имя поля EventUid .
AlertName Рекомендуемый string Заголовок или имя оповещения.
Например. Possible use of the Rubeus kerberoasting tool
Оповещение Alias string Псевдоним или понятное имя поля EventMessage .
AlertVerdict Необязательный Перечисленных Окончательное определение или результат оповещения, указывающий, было ли оповещение подтверждено как угроза, признано ли подозрительным или разрешено как ложноположительное.

Поддерживаемые значения:
- True Positive (Подтверждено как законная угроза)
- False Positive (Неправильно определено как угроза)
- Benign Positive (если событие определено как безвредное)
- Unknown (Неопределенное или неопределенное состояние)
AlertStatus Необязательный Перечисленных Указывает текущее состояние или ход выполнения оповещения.

Поддерживаемые значения:
- Active
- Closed
AlertOriginalStatus Необязательный string Состояние оповещения, сообщаемое исходной системой.
DetectionMethod Необязательный Перечисленных Содержит подробные сведения о конкретном методе обнаружения, технологии или источнике данных, которые способствовали формированию оповещения. Это поле предоставляет более подробные сведения о том, как было обнаружено или активировано оповещение, помогая понять контекст обнаружения и надежность.

Поддерживаются следующие значения:
- EDR: системы обнаружения и реагирования конечных точек, которые отслеживают и анализируют действия конечных точек для выявления угроз.
- Behavioral Analytics: методы, которые обнаруживают аномальные шаблоны в поведении пользователя, устройства или системы.
- Reputation: обнаружение угроз на основе репутации IP-адресов, доменов или файлов.
- Threat Intelligence: каналы внешней или внутренней разведки, предоставляющие данные об известных угрозах или тактике противника.
- Intrusion Detection: системы, которые отслеживают сетевой трафик или действия на наличие признаков вторжений или атак.
- Automated Investigation: автоматизированные системы, которые анализируют и изучают оповещения, уменьшая рабочую нагрузку вручную.
- Antivirus: традиционные антивирусные подсистемы, которые обнаруживают вредоносные программы на основе сигнатур и эвристики.
- Data Loss Prevention: решения, ориентированные на предотвращение несанкционированной передачи данных или утечек.
- User Defined Blocked List: пользовательские списки, определенные пользователями для блокировки определенных IP-адресов, доменов или файлов.
- Cloud Security Posture Management: средства, которые оценивают риски безопасности и управляют ими в облачных средах.
- Cloud Application Security: решения для защиты облачных приложений и данных.
- Scheduled Alerts: оповещения, созданные на основе предопределенных расписаний или пороговых значений.
- Other: любой другой метод обнаружения, не охваченный указанными выше категориями.
Rule Alias string Значение RuleName или значение RuleNumber. Если используется значение RuleNumber, тип следует преобразовать в строку.
RuleNumber Необязательный int Номер правила, связанного с оповещением.

Например. 123456
RuleName Необязательный string Имя или идентификатор правила, связанного с оповещением.

Например. Server PSEXEC Execution via Remote Access
Описание правила Необязательный string Описание правила, связанного с оповещением.

Например. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network
ThreatId Необязательный string Идентификатор угрозы или вредоносной программы, определенной в оповещении.

Например. 1234567891011121314
ThreatName Необязательный string Имя угрозы или вредоносных программ, определенных в оповещении.

Например. Init.exe
ThreatFirstReportedTime Необязательный datetime Дата и время первого сообщения об угрозе.

Например. 2024-09-19T10:12:10.0000000Z
ThreatLastReportedTime Необязательный datetime Дата и время последнего сообщения об угрозе.

Например. 2024-09-19T10:12:10.0000000Z
ThreatCategory Рекомендуемый Перечисленных Категория угроз или вредоносных программ, определенных в оповещении.

Поддерживаемые значения: Malware, Ransomware, , VirusTrojan, Worm, , SpywareAdware, , Rootkit, Cryptominor, Phishing, Spam, , MaliciousUrl, Spoofing, Security Policy ViolationUnknown
ThreatOriginalCategory Необязательный string Категория угрозы, о которой сообщает исходная система.
ThreatIsActive Необязательный логический Указывает, активна ли угроза в настоящее время.

Поддерживаемые значения: True, False
ThreatRiskLevel Необязательный RiskLevel (целое число) Уровень риска, связанный с угрозой. Уровень должен быть числом от 0 до 100.

Примечание. Значение может быть предоставлено в исходной записи с помощью другой шкалы, которая должна быть нормализована по этому масштабу. Исходное значение должно храниться в ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Необязательный string Уровень риска, сообщаемый исходной системой.
ThreatConfidence Необязательный ConfidenceLevel (Целое число) Уровень достоверности обнаруженной угрозы, нормализованный до значения от 0 до 100.
ThreatOriginalConfidence Необязательный string Уровень достоверности, сообщаемый исходной системой.
IndicatorType Рекомендуемый Перечисленных Тип или категория индикатора

Поддерживаемые значения:
-Ip
-User
-Process
-Registry
-Url
-Host
-Cloud Resource
-Application
-File
-Email
-Mailbox
-Logon Session
IndicatorAssociation Необязательный Перечисленных Указывает, связан ли индикатор с угрозой или напрямую влияет на нее.

Поддерживаемые значения:
-Associated
-Targeted
AttackTactics Рекомендуемый string Тактика атаки (имя, идентификатор или и то, и другое), связанная с оповещением.
Предпочтительный формат:

Например: Persistence, Privilege Escalation
AttackTechniques Рекомендуемый string Методы атаки (имя, идентификатор или и то, и другое), связанные с оповещением.
Предпочтительный формат:

Например: Local Groups (T1069.001), Domain Groups (T1069.002)
AttackRemediationSteps Рекомендуемый string Рекомендуемые действия или действия по устранению или устранению выявленных атак или угроз.
Например.
1. Make sure the machine is completely updated and all your software has the latest patch.
2. Contact your incident response team.

Поля пользователя

В этом разделе определяются поля, связанные с идентификацией и классификацией пользователей, связанных с оповещением, что обеспечивает ясность в отношении затронутого пользователя и формата его идентификации. Если оповещение содержит несколько дополнительных полей, связанных с пользователем, которые превышают сопоставленное здесь, можно рассмотреть вопрос о том, может ли специализированная схема, например схема события проверки подлинности, быть более подходящей для полного представления данных.

Поле Класс Тип Описание
UserId Необязательный string Машиночитаемое, буквенно-цифровое уникальное представление пользователя, связанного с оповещением.

Например. A1bC2dE3fH4iJ5kL6mN7o
UserIdType Условного Перечисленных Тип идентификатора пользователя, например GUID, SIDили Email.

Поддерживаемые значения:
- GUID
- SID
- Email
- Username
- Phone
- Other
Username Рекомендуемый Имя пользователя (строка) Имя пользователя, связанного с оповещением, включая сведения о домене, если они доступны.

например Contoso\JSmith , или john.smith@contoso.com
Пользователь Alias string Псевдоним или понятное имя поля Username .
UsernameType Условного UsernameType Указывает тип имени пользователя, хранящегося в Username поле . Дополнительные сведения и список допустимых значений см. в статье UsernameType статьи Общие сведения о схеме.

Например. Windows
UserType Необязательный UserType Тип субъекта. Дополнительные сведения и список допустимых значений см. в статье UserType статьи Общие сведения о схеме.

Например. Guest
OriginalUserType Необязательный string Тип пользователя, о чем сообщает устройство отчетов.
UserSessionId Необязательный string Уникальный идентификатор сеанса пользователя, связанного с оповещением.

Например. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u
UserScopeId Необязательный string Идентификатор область, например Microsoft Entra идентификатор каталога, в котором определены UserId и Username.

Например. a1bc2de3-fh4i-j5kl-6mn7-op8qrs
UserScope Необязательный string Область, например клиент Microsoft Entra, в котором определены UserId и Username. Дополнительные сведения и список допустимых значений см. в разделе UserScopeстатьи Общие сведения о схеме.

Например. Contoso Directory

Поля обработки

Этот раздел позволяет записать сведения, связанные с сущностью процесса, участвуя в оповещении, с помощью указанных полей. Если оповещение содержит дополнительные подробные поля, связанные с процессом, которые превышают сопоставленное здесь, можно рассмотреть вопрос о том, может ли специализированная схема, например схема события процесса, быть более подходящей для полного представления данных.

Поле Класс Тип Описание
ProcessId Необязательный string Идентификатор процесса (PID), связанный с оповещением.

Например. 12345678
ProcessCommandLine Необязательный string Командная строка, используемая для запуска процесса.

Например. "choco.exe" -v
ProcessName Необязательный string Имя процесса.

Например. C:\Windows\explorer.exe
ProcessFileCompany Необязательный string Компания, создающая файл образа процесса.

Например. Microsoft

Поля файлов

Этот раздел позволяет собирать сведения, связанные с файловой сущностью, участвуя в оповещении. Если оповещение содержит дополнительные подробные поля, связанные с файлами, которые превышают сопоставленные здесь, можно рассмотреть вопрос о том, может ли специализированная схема, например схема события файла, быть более подходящей для полного представления данных.

Поле Класс Тип Описание
FileName Необязательный string Имя файла, связанного с оповещением, без пути или расположения.

Например. Notepad.exe
FilePath Необязательный string Полный нормализованный путь к целевому файлу, включая папку или расположение, имя файла и расширение.

Например. C:\Windows\System32\notepad.exe
FileSHA1 Необязательный string Хэш SHA1 файла.

Например. j5kl6mn7op8qr9st0uv1
FileSHA256 Необязательный string Хэш SHA256 файла.

Например. a1bc2de3fh4ij5kl6mn7op8qrs2de3
FileMD5 Необязательный string Хэш MD5 файла.

Например. j5kl6mn7op8qr9st0uv1wx2yz3ab4c
FileSize Необязательный long Размер файла в байтах.

Например. 123456

Поле URL-адреса

Если оповещение содержит сведения о сущности URL-адреса, следующие поля могут записывать данные, связанные с URL-адресом.

Поле Класс Тип Описание
Url Необязательный string Строка URL-адреса, записанная в оповещении.

Например. https://contoso.com/fo/?k=v&amp;q=u#f

Поля реестра

Если оповещение содержит сведения о сущности реестра, используйте следующие поля для сбора определенных сведений, связанных с реестром.

Поле Класс Тип Описание
Registrykey Необязательный string Раздел реестра, связанный с оповещением, нормализованный по стандартным соглашениям об именовании корневых ключей.

Например. HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue Необязательный string Значение реестра.

Например. ImagePath
RegistryValueData Необязательный string Данные значения реестра.

Например. C:\Windows\system32;C:\Windows;
RegistryValueType Необязательный Перечисленных Тип значения реестра.

Например. Reg_Expand_Sz

Поля Email

Если оповещение содержит сведения о сущности электронной почты, используйте следующие поля для сбора сведений, связанных с электронной почтой.

Поле Класс Тип Описание
EmailMessageId Необязательный string Уникальный идентификатор сообщения электронной почты, связанного с оповещением.

Например. Request for Invoice Access
EmailSubject Необязательный string Тема сообщения электронной почты.

Например. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c

Обновления схемы

Ниже приведены изменения в различных версиях схемы.

  • Версия 0.1: начальный выпуск.