Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема оповещений Microsoft Sentinel предназначена для нормализации оповещений, связанных с безопасностью, из различных продуктов в стандартизированном формате в рамках microsoft Advanced Security Information Model (ASIM). Эта схема сосредоточена исключительно на событиях безопасности, обеспечивая последовательный и эффективный анализ в разных источниках данных.
Схема оповещений представляет различные типы оповещений системы безопасности, такие как угрозы, подозрительные действия, аномалии поведения пользователей и нарушения соответствия требованиям. Эти оповещения сообщаются различными продуктами и системами безопасности, включая, помимо прочего, EDR, антивирусное программное обеспечение, системы обнаружения вторжений, средства защиты от потери данных и т. д.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в разделе Нормализация и расширенная информационная модель безопасности (ASIM).
Парсеров
Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средства синтаксического анализа ASIM.
Объединение синтаксического анализа
Чтобы использовать средства синтаксического анализа, которые унифицировывают все встроенные средства синтаксического анализа ASIM и обеспечивают выполнение анализа во всех настроенных источниках, используйте _Im_AlertEvent средство синтаксического анализа.
Встроенные средства синтаксического анализа для конкретного источника
Список средств синтаксического анализа оповещений Microsoft Sentinel, которые предоставляются в готовом виде, см. в списке средств синтаксического анализа ASIM.
Добавление собственных нормализованных анализаторов
При разработке пользовательских средств синтаксического анализа для модели генерации оповещений назовите свои функции KQL, используя следующий синтаксис:
-
vimAlertEvent<vendor><Product>для параметризованных анализаторов -
ASimAlertEvent<vendor><Product>для обычных синтаксического анализа
Сведения о том, как добавить пользовательские средства синтаксического анализа в средства синтаксического анализа оповещений, см. в статье Управление средствами синтаксического анализа ASIM .
Фильтрация параметров средства синтаксического анализа
Средства синтаксического анализа оповещений поддерживают различные параметры фильтрации для повышения производительности запросов. Эти параметры являются необязательными, но могут повысить производительность запроса. Доступны следующие параметры фильтрации:
| Имя | Тип | Описание |
|---|---|---|
| Starttime | datetime | Фильтрация только оповещений, запущенных в это время или позже. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа. |
| время окончания | datetime | Фильтрация только оповещений, запущенных в это время или раньше. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа. |
| ipaddr_has_any_prefix | Динамический | Фильтрация только оповещений, для которых поле "DvcIpAddr" находится в одном из перечисленных значений. |
| hostname_has_any | Динамический | Фильтрация только оповещений, для которых поле DvcHostname находится в одном из перечисленных значений. |
| username_has_any | Динамический | Фильтрация только оповещений, для которых поле "Имя пользователя" находится в одном из перечисленных значений. |
| attacktactics_has_any | Динамический | Фильтрация только оповещений, для которых поле "AttackTactics" находится в одном из перечисленных значений. |
| attacktechniques_has_any | Динамический | Фильтрация только оповещений, для которых поле AttackTechniques находится в одном из перечисленных значений. |
| threatcategory_has_any | Динамический | Фильтрация только оповещений, для которых поле ThreatCategory находится в одном из перечисленных значений. |
| alertverdict_has_any | Динамический | Фильтрация только оповещений, для которых поле AlertVerdict находится в одном из перечисленных значений. |
| eventseverity_has_any | Динамический | Фильтрация только оповещений, для которых поле EventSeverity находится в одном из перечисленных значений. |
Общие сведения о схеме
Схема оповещений обслуживает несколько типов событий безопасности, которые используют одни и те же поля. Эти события определяются полем EventType:
- Сведения об угрозах: оповещения, связанные с различными типами вредоносных действий, такими как вредоносные программы, фишинг, программы-шантажисты и другие киберугрозы.
- Подозрительные действия. Оповещения о действиях, которые не обязательно являются подтвержденными угрозами, но являются подозрительными и требуют дальнейшего изучения, таких как несколько неудачных попыток входа или доступ к файлам с ограниченным доступом.
- Аномалии поведения пользователей. Оповещения, указывающие на необычное или непредвиденное поведение пользователя, которое может указывать на проблему безопасности, например аномальное время входа или необычные шаблоны доступа к данным.
- Нарушения соответствия требованиям: оповещения, связанные с несоответствием нормативным или внутренним политикам. Например, виртуальная машина, доступная с открытыми общедоступными портами, уязвима для атак (оповещение системы безопасности облака).
Важно!
Чтобы сохранить релевантность и эффективность схемы оповещений, необходимо сопоставить только оповещения, связанные с безопасностью.
Схема оповещений ссылается на следующие сущности для сбора сведений об оповещении:
- Поля Dvc используются для сбора сведений об узле или IP-адресе, связанном с оповещением.
- Поля пользователя используются для сбора сведений о пользователе, связанном с оповещением.
- Аналогичным образом поля Process, File, Url, Registry и Email используются для записи только ключевых сведений о процессе, файле, URL-адресе, реестре и электронной почте, связанных с оповещением соответственно.
Важно!
- При создании средства синтаксического анализа для конкретного продукта используйте схему оповещений ASIM, если оповещение содержит сведения об инциденте безопасности или потенциальной угрозе, а основные сведения можно сопоставить непосредственно с доступными полями схемы оповещений. Схема оповещений идеально подходит для сбора сводных сведений без обширных полей, относящихся к сущности.
- Однако если вы размещаете основные поля в "AdditionalFields" из-за отсутствия прямых совпадений полей, рассмотрите более специализированную схему. Например, если оповещение содержит сведения, связанные с сетью, такие как несколько IP-адресов, например SrcIpAdr, DstIpAddr, PortNumber и т. д., вы можете выбрать схему NetworkSession вместо схемы оповещения. Специализированные схемы также предоставляют выделенные поля для сбора информации, связанной с угрозами, повышения качества данных и упрощения эффективного анализа.
Сведения о схеме
Общие поля ASIM
В следующем списке перечислены поля с определенными рекомендациями по событиям оповещений:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательный | Перечисленных | Тип события. Поддерживаемые значения: - Alert |
| EventSubType | Рекомендуемый | Перечисленных | Указывает подтип или категорию события оповещения, предоставляя более подробные сведения в более широкой классификации событий. Это поле помогает различать характер обнаруженной проблемы, улучшая стратегии определения приоритетов и реагирования на инциденты. Поддерживаются следующие значения: - Threat (Представляет подтвержденное или весьма вероятное вредоносное действие, которое может поставить под угрозу систему или сеть)- Suspicious Activity (Помечает поведение или события, которые кажутся необычными или подозрительными, но еще не подтверждены как вредоносные)- Anomaly (Определяет отклонения от обычных шаблонов, которые могут указывать на потенциальный риск безопасности или операционную проблему)- Compliance Violation (Выделяет действия, которые нарушают нормативные, политические или нормативные стандарты) |
| EventUid | Обязательный | string | Читаемая компьютером буквенно-цифровая строка, которая однозначно идентифицирует оповещение в системе. Например. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Необязательный | string | Подробные сведения об оповещении, включая его контекст, причину и потенциальное влияние. Например. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Псевдоним или понятное имя поля DvcIpAddr . |
|
| Hostname (Имя узла) | Alias | Псевдоним или понятное имя поля DvcHostname . |
|
| EventSchema | Обязательный | Перечисленных | Схема, используемая для события. Схема, описанная здесь, — .AlertEvent |
| EventSchemaVersion | Обязательный | SchemaVersion (String) | Версия схемы. Версия схемы, описанная здесь, — 0.1. |
Все общие поля
Поля, отображаемые в таблице ниже, являются общими для всех схем ASIM. Любое указанное выше руководство переопределяет общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM .
| Класс | Поля |
|---|---|
| Обязательный |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Рекомендуемый |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Необязательный |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - Дополнительные поля - DvcDescription - DvcScopeId - DvcScope |
Поля проверки
В следующей таблице описаны поля, которые предоставляют критически важные сведения о правилах и угрозах, связанных с оповещениями. Вместе они помогают обогатить контекст оповещения, упрощая аналитикам по безопасности понимание его происхождения и значения.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| AlertId | Alias | string | Псевдоним или понятное имя поля EventUid . |
| AlertName | Рекомендуемый | string | Заголовок или имя оповещения. Например. Possible use of the Rubeus kerberoasting tool |
| Оповещение | Alias | string | Псевдоним или понятное имя поля EventMessage . |
| AlertVerdict | Необязательный | Перечисленных | Окончательное определение или результат оповещения, указывающий, было ли оповещение подтверждено как угроза, признано ли подозрительным или разрешено как ложноположительное. Поддерживаемые значения: - True Positive (Подтверждено как законная угроза)- False Positive (Неправильно определено как угроза)- Benign Positive (если событие определено как безвредное)- Unknown (Неопределенное или неопределенное состояние) |
| AlertStatus | Необязательный | Перечисленных | Указывает текущее состояние или ход выполнения оповещения. Поддерживаемые значения: - Active- Closed |
| AlertOriginalStatus | Необязательный | string | Состояние оповещения, сообщаемое исходной системой. |
| DetectionMethod | Необязательный | Перечисленных | Содержит подробные сведения о конкретном методе обнаружения, технологии или источнике данных, которые способствовали формированию оповещения. Это поле предоставляет более подробные сведения о том, как было обнаружено или активировано оповещение, помогая понять контекст обнаружения и надежность. Поддерживаются следующие значения: - EDR: системы обнаружения и реагирования конечных точек, которые отслеживают и анализируют действия конечных точек для выявления угроз.- Behavioral Analytics: методы, которые обнаруживают аномальные шаблоны в поведении пользователя, устройства или системы.- Reputation: обнаружение угроз на основе репутации IP-адресов, доменов или файлов.- Threat Intelligence: каналы внешней или внутренней разведки, предоставляющие данные об известных угрозах или тактике противника.- Intrusion Detection: системы, которые отслеживают сетевой трафик или действия на наличие признаков вторжений или атак.- Automated Investigation: автоматизированные системы, которые анализируют и изучают оповещения, уменьшая рабочую нагрузку вручную.- Antivirus: традиционные антивирусные подсистемы, которые обнаруживают вредоносные программы на основе сигнатур и эвристики.- Data Loss Prevention: решения, ориентированные на предотвращение несанкционированной передачи данных или утечек.- User Defined Blocked List: пользовательские списки, определенные пользователями для блокировки определенных IP-адресов, доменов или файлов.- Cloud Security Posture Management: средства, которые оценивают риски безопасности и управляют ими в облачных средах.- Cloud Application Security: решения для защиты облачных приложений и данных.- Scheduled Alerts: оповещения, созданные на основе предопределенных расписаний или пороговых значений.- Other: любой другой метод обнаружения, не охваченный указанными выше категориями. |
| Rule | Alias | string | Значение RuleName или значение RuleNumber. Если используется значение RuleNumber, тип следует преобразовать в строку. |
| RuleNumber | Необязательный | int | Номер правила, связанного с оповещением. Например. 123456 |
| RuleName | Необязательный | string | Имя или идентификатор правила, связанного с оповещением. Например. Server PSEXEC Execution via Remote Access |
| Описание правила | Необязательный | string | Описание правила, связанного с оповещением. Например. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Необязательный | string | Идентификатор угрозы или вредоносной программы, определенной в оповещении. Например. 1234567891011121314 |
| ThreatName | Необязательный | string | Имя угрозы или вредоносных программ, определенных в оповещении. Например. Init.exe |
| ThreatFirstReportedTime | Необязательный | datetime | Дата и время первого сообщения об угрозе. Например. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Необязательный | datetime | Дата и время последнего сообщения об угрозе. Например. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Рекомендуемый | Перечисленных | Категория угроз или вредоносных программ, определенных в оповещении. Поддерживаемые значения: Malware, Ransomware, , VirusTrojan, Worm, , SpywareAdware, , Rootkit, Cryptominor, Phishing, Spam, , MaliciousUrl, Spoofing, Security Policy ViolationUnknown |
| ThreatOriginalCategory | Необязательный | string | Категория угрозы, о которой сообщает исходная система. |
| ThreatIsActive | Необязательный | логический | Указывает, активна ли угроза в настоящее время. Поддерживаемые значения: True, False |
| ThreatRiskLevel | Необязательный | RiskLevel (целое число) | Уровень риска, связанный с угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть предоставлено в исходной записи с помощью другой шкалы, которая должна быть нормализована по этому масштабу. Исходное значение должно храниться в ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Необязательный | string | Уровень риска, сообщаемый исходной системой. |
| ThreatConfidence | Необязательный | ConfidenceLevel (Целое число) | Уровень достоверности обнаруженной угрозы, нормализованный до значения от 0 до 100. |
| ThreatOriginalConfidence | Необязательный | string | Уровень достоверности, сообщаемый исходной системой. |
| IndicatorType | Рекомендуемый | Перечисленных | Тип или категория индикатора Поддерживаемые значения: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Необязательный | Перечисленных | Указывает, связан ли индикатор с угрозой или напрямую влияет на нее. Поддерживаемые значения: - Associated- Targeted |
| AttackTactics | Рекомендуемый | string | Тактика атаки (имя, идентификатор или и то, и другое), связанная с оповещением. Предпочтительный формат: Например: Persistence, Privilege Escalation |
| AttackTechniques | Рекомендуемый | string | Методы атаки (имя, идентификатор или и то, и другое), связанные с оповещением. Предпочтительный формат: Например: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Рекомендуемый | string | Рекомендуемые действия или действия по устранению или устранению выявленных атак или угроз. Например. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Поля пользователя
В этом разделе определяются поля, связанные с идентификацией и классификацией пользователей, связанных с оповещением, что обеспечивает ясность в отношении затронутого пользователя и формата его идентификации. Если оповещение содержит несколько дополнительных полей, связанных с пользователем, которые превышают сопоставленное здесь, можно рассмотреть вопрос о том, может ли специализированная схема, например схема события проверки подлинности, быть более подходящей для полного представления данных.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| UserId | Необязательный | string | Машиночитаемое, буквенно-цифровое уникальное представление пользователя, связанного с оповещением. Например. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Условного | Перечисленных | Тип идентификатора пользователя, например GUID, SIDили Email.Поддерживаемые значения: - GUID- SID- Email- Username- Phone- Other |
| Username | Рекомендуемый | Имя пользователя (строка) | Имя пользователя, связанного с оповещением, включая сведения о домене, если они доступны. например Contoso\JSmith , или john.smith@contoso.com |
| Пользователь | Alias | string | Псевдоним или понятное имя поля Username . |
| UsernameType | Условного | UsernameType | Указывает тип имени пользователя, хранящегося в Username поле . Дополнительные сведения и список допустимых значений см. в статье UsernameType статьи Общие сведения о схеме.Например. Windows |
| UserType | Необязательный | UserType | Тип субъекта. Дополнительные сведения и список допустимых значений см. в статье UserType статьи Общие сведения о схеме. Например. Guest |
| OriginalUserType | Необязательный | string | Тип пользователя, о чем сообщает устройство отчетов. |
| UserSessionId | Необязательный | string | Уникальный идентификатор сеанса пользователя, связанного с оповещением. Например. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Необязательный | string | Идентификатор область, например Microsoft Entra идентификатор каталога, в котором определены UserId и Username. Например. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Необязательный | string | Область, например клиент Microsoft Entra, в котором определены UserId и Username. Дополнительные сведения и список допустимых значений см. в разделе UserScopeстатьи Общие сведения о схеме. Например. Contoso Directory |
Поля обработки
Этот раздел позволяет записать сведения, связанные с сущностью процесса, участвуя в оповещении, с помощью указанных полей. Если оповещение содержит дополнительные подробные поля, связанные с процессом, которые превышают сопоставленное здесь, можно рассмотреть вопрос о том, может ли специализированная схема, например схема события процесса, быть более подходящей для полного представления данных.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ProcessId | Необязательный | string | Идентификатор процесса (PID), связанный с оповещением. Например. 12345678 |
| ProcessCommandLine | Необязательный | string | Командная строка, используемая для запуска процесса. Например. "choco.exe" -v |
| ProcessName | Необязательный | string | Имя процесса. Например. C:\Windows\explorer.exe |
| ProcessFileCompany | Необязательный | string | Компания, создающая файл образа процесса. Например. Microsoft |
Поля файлов
Этот раздел позволяет собирать сведения, связанные с файловой сущностью, участвуя в оповещении. Если оповещение содержит дополнительные подробные поля, связанные с файлами, которые превышают сопоставленные здесь, можно рассмотреть вопрос о том, может ли специализированная схема, например схема события файла, быть более подходящей для полного представления данных.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| FileName | Необязательный | string | Имя файла, связанного с оповещением, без пути или расположения. Например. Notepad.exe |
| FilePath | Необязательный | string | Полный нормализованный путь к целевому файлу, включая папку или расположение, имя файла и расширение. Например. C:\Windows\System32\notepad.exe |
| FileSHA1 | Необязательный | string | Хэш SHA1 файла. Например. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Необязательный | string | Хэш SHA256 файла. Например. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Необязательный | string | Хэш MD5 файла. Например. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Необязательный | long | Размер файла в байтах. Например. 123456 |
Поле URL-адреса
Если оповещение содержит сведения о сущности URL-адреса, следующие поля могут записывать данные, связанные с URL-адресом.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Url | Необязательный | string | Строка URL-адреса, записанная в оповещении. Например. https://contoso.com/fo/?k=v&q=u#f |
Поля реестра
Если оповещение содержит сведения о сущности реестра, используйте следующие поля для сбора определенных сведений, связанных с реестром.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Registrykey | Необязательный | string | Раздел реестра, связанный с оповещением, нормализованный по стандартным соглашениям об именовании корневых ключей. Например. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Необязательный | string | Значение реестра. Например. ImagePath |
| RegistryValueData | Необязательный | string | Данные значения реестра. Например. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Необязательный | Перечисленных | Тип значения реестра. Например. Reg_Expand_Sz |
Поля Email
Если оповещение содержит сведения о сущности электронной почты, используйте следующие поля для сбора сведений, связанных с электронной почтой.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EmailMessageId | Необязательный | string | Уникальный идентификатор сообщения электронной почты, связанного с оповещением. Например. Request for Invoice Access |
| EmailSubject | Необязательный | string | Тема сообщения электронной почты. Например. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Обновления схемы
Ниже приведены изменения в различных версиях схемы.
- Версия 0.1: начальный выпуск.