Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Sentinel Objektentitätsschema wurde entwickelt, um Ressourcen aus verschiedenen Produkten in einem standardisierten Format in Microsoft Advanced Security Information Model (ASIM) zu normalisieren. Dieses Schema konzentriert sich ausschließlich auf Ressourcen in Nicht-Microsoft-Datenquellen und stellt eine konsistente und effiziente Analyse sicher.
Eine Ressource ist jede Datenressource, die von einer Organisation gespeichert, verarbeitet oder verwaltet wird, z. B. eine Datei oder Website. Jedes Objekt trägt sicherheitsrelevante Metadaten, einschließlich Besitz, Berechtigungen, Vertraulichkeitsklassifizierungen und Risikoindikatoren. Ressourcen können aus einer Vielzahl von Plattformen, Datenbanken, Cloudspeicherdiensten, SaaS-Anwendungen und lokalen Systemen stammen und entweder als vollständige Bestandsmomentaufnahmen oder inkrementelle Änderungsfeeds erfasst werden.
Durch die Normalisierung von Bestandsdaten in ein gemeinsames Schema ermöglicht Microsoft Sentinel Sicherheitsteams das Analysieren und Korrelieren von Ressourceninformationen in verschiedenen Datenquellen auf konsistente Weise. Schlüsselfelder im Schema umfassen EntityId und EntityName für die eindeutige Identifizierung von Ressourcen, AssetType für die Unterscheidung zwischen Objekttypen wie Datei oder Website, AssetOwnerId zum Nachverfolgen des Besitzes AssetSensitivityLabel und AssetOriginalDataClassificationType zum Datenklassifizierungskontext und EntityFeedType zum Angeben, ob ein Datensatz eine vollständige Bestandsmomentaufnahme oder eine inkrementelle Änderung ist. Diese einheitliche Darstellung ermöglicht nachgeschaltete Szenarien wie das Identifizieren von überlasteten vertraulichen Dateien, das Nachverfolgen von Berechtigungsänderungen, das Erkennen ungeschützter Ressourcen und das Erkennen von Risiken über die gesamte Datenbestände hinweg durch Integrationen wie Microsoft Purview Data Security Posture Management (DSPM).
Die Verwendung des Schemas ermöglicht es Microsoft Purview DSPM, den Sicherheitsstatus von Daten auf Microsoft- und Partnerplattformen zu verwalten. Weitere Informationen finden Sie in der Ignite 2025-Ankündigung zur Einführung des DSPM-Partnerökosystems.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization und das Advanced Security Information Model (ASIM).
Parser
Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.
Vereinheitlichen von Parsern
Um Parser zu verwenden, die alle ASIM-Out-of-the-Box-Parser vereinheitlichen und sicherstellen möchten, dass Ihre Analyse über alle konfigurierten Quellen hinweg ausgeführt wird, verwenden Sie den _Im_AssetEntity Parser.
Hinzufügen eigener normalisierter Parser
Benennen Sie beim Entwickeln von benutzerdefinierten Parsern für das Objektentitätsschema Ihre KQL-Funktionen mithilfe der folgenden Syntax:
-
vimAssetEntity<vendor><Product>für parametrisierte Parser -
ASimAssetEntity<vendor><Product>für reguläre Parser
Im Artikel Verwalten von ASIM-Parsern erfahren Sie, wie Sie Ihren benutzerdefinierten Parsern den vereinheitlichenden Parsern hinzufügen.
Filtern von Parser-Parametern
Die Asset Entity Parsers unterstützen verschiedene Filterparameter , um die Abfrageleistung zu verbessern. Diese Parameter sind optional, können aber die Abfrageleistung verbessern. Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| StartTime | Datum/Uhrzeit | Filtern Sie nur Ressourcen, die zu oder nach dieser Zeit aufgenommen wurden. Dieser Parameter filtert nach dem EntityIngestionTime Feld, bei dem es sich um den Standarddesignator für die Zeit des Asset handelt. |
| EndTime | Datum/Uhrzeit | Filtern Sie nur Ressourcen, die zu oder vor dieser Zeit aufgenommen wurden. Dieser Parameter filtert nach dem EntityIngestionTime Feld, bei dem es sich um den Standarddesignator für die Zeit des Asset handelt. |
| entityid_has_any | dynamisch | Filtert nur Ressourcen, für die sich das Feld 'EntityId' in einem der aufgelisteten Werte befindet. |
| entityname_has_any | dynamisch | Filtert nur Ressourcen, für die sich das Feld 'EntityName' in einem der aufgelisteten Werte befindet. |
| assettype_in | Schnur | Filtert nur Ressourcen, für die das Feld "AssetType" gleich dem Parameterwert ist. |
| path_has_any | dynamisch | Filtert nur Ressourcen, für die sich das Feld "FilePath" oder "SitePath" in einem der aufgelisteten Werte befindet. |
| assetowner_has_any | dynamisch | Filter only assets for which the 'AssetOwner' or 'AdditionalAssetOwners' field is in one of the listed values. |
| entitysource_has_any | dynamisch | Filtert nur Ressourcen, für die sich das Feld 'EntitySource' in einem der aufgelisteten Werte befindet. |
Schemadetails
Allgemeine ASIM-Entitätsfelder
In der folgenden Liste werden Felder für ein Entitätsschema zusammen mit ihren spezifischen Richtlinien für Asset-Entitäten erwähnt:
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| EntityUpdatedTime | Obligatorisch. | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Entität aktualisiert oder an der Quelle gesammelt wurde. |
| EntityIngestionTime | Fakultativ | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, an dem die Aufnahmepipeline das Bestandsprotokoll empfängt. |
| Entitäts-ID | Obligatorisch. | Schnur | Der eindeutige Bezeichner der Ressource. |
| EntityOriginalId | Fakultativ | Schnur | Der eindeutige Bezeichner der Ressource an der Quelle, wenn sie sich von 'EntityId' unterscheidet. |
| EntityName | Obligatorisch. | Schnur | Der Name der Entität. |
| EntityNameType | Empfohlen | Schnur | Der Typ des Entitätsnamens. |
| EntityVendor | Obligatorisch. | Schnur | Der Anbieter oder Anbieter, der die Entität gemeldet hat. |
| EntitySource | Obligatorisch. | Schnur | Die Datenquelle oder der Connector, die den Entitätsdatensatz bereitgestellt hat. |
| EntityProduct | Obligatorisch. | Schnur | Der Produktname, der der Quelle zugeordnet ist, die die Entität gemeldet hat. |
| EntitySubProduct | Obligatorisch. | Schnur | Der Name des Unterprodukts oder der Komponente, der der Quelle zugeordnet ist, die die Entität gemeldet hat. |
| EntityCreatedTime | Obligatorisch. | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Entität ursprünglich im Quellsystem erstellt wurde. |
| EntityLastAccessedTime | Fakultativ | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Entität zuletzt zugegriffen wurde. |
| EntityLastModifiedTime | Obligatorisch. | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Entität zuletzt im Quellsystem geändert wurde. |
| EntityIsDeleted | Fakultativ | Boolesch | Gibt an, ob die Entität im Quellsystem gelöscht wurde. |
| EntityFeedType | Obligatorisch. | Aufgezählt | Der Typ oder die Kategorie des Datenfeeds, der den Entitätsdatensatz bereitgestellt hat. Die zulässigen Werte sind: Snapshot oder Changefeed. |
| EntitySchema | Obligatorisch. | Aufgezählt | Das schema, das für die Entität verwendet wird. Das hier dokumentierte Schema ist Asset. |
| EntitySchemaVersion | Obligatorisch. | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die Version des hier dokumentierten Schemas lautet 0.1.0. |
Felder des Objektbesitzers
In diesem Abschnitt werden Informationen zum Objektbesitzer definiert. Wenn Ihr Objekt über mehrere Besitzer verfügt, füllen Sie beide Felder AssetOwnerId und AdditionalAssetOwners.
AdditionalAssetOwners sollte ein Array von Zeichenfolgen sein, und die Zeichenfolgen müssen im gleichen Format wie AssetOwnerId.
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| AssetOwnerId | Obligatorisch. | Schnur | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Weitere Informationen und alternative Felder für andere IDs finden Sie unter Die Benutzerentität. |
| AssetOwnerIdType | Empfohlen | Schnur | Der Typ oder das Format des Objektbesitzerbezeichners. Dies entspricht UserIdType in Ereignisschemas. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel „Schemaübersicht“. |
| AssetOwnerType | Fakultativ | Schnur | Der Typ des Objektbesitzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel „Schemaübersicht“. |
| AssetOwnerScope | Fakultativ | Schnur | Der Organisations- oder Verwaltungsbereich, zu dem der Objektbesitzer gehört. |
| AssetOwnerScopeId | Fakultativ | Schnur | Der Bezeichner des Bereichs, zu dem der Objektbesitzer gehört. |
| AdditionalAssetOwners | Fakultativ | dynamisch | Eine dynamische Sammlung zusätzlicher Besitzer oder Mitbesitzer, die dem Objekt zugeordnet sind. Dies muss ein Array von Zeichenfolgen sein. |
Ressourcenmetadatenfelder
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| AADTenantId | Obligatorisch. | Schnur | Der Azure Active Directory Mandantenbezeichner, der der Ressource oder Entität zugeordnet ist. |
| IdentityDirectoryName | Fakultativ | Schnur | Der Name des Identitätsverzeichnisses, z. B. Azure AD, GCP, AWS, die der Entität zugeordnet ist. |
| IdentityDirectoryId | Obligatorisch. | Schnur | Der Bezeichner des Identitätsverzeichnisses, das der Entität zugeordnet ist. |
| AdditionalFields | Fakultativ | dynamisch | Zusätzliche Informationen zur Entität, die nicht von anderen Feldern im Schema erfasst wird. |
Ressourcentypfelder
In diesem Abschnitt werden Informationen zum Objekttyp definiert. Die unterstützten aktuellen Typen sind File und Site. Die zusätzlichen Eigenschaften des Objekttyps sollten aufgefüllt werden.
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| AssetType | Obligatorisch. | Schnur | Der allgemeine Typ der Ressource. Die zulässigen und unterstützten Werte sind: File, Site. |
| AssetOriginalType | Empfohlen | Schnur | Der ursprüngliche Name des allgemeinen Typs der Ressource an der Quelle. |
Ressourcensicherheitsfelder
Dieser Abschnitt erfasst den Sicherheitsstatus und den Belichtungskontext der Ressource, einschließlich Quellberechtigungen, Vertraulichkeits- und Datenklassifizierungsdetails, DLP-Schutzstatus, zugehörige Bedrohungsindikatoren und die letzte Überprüfungszeit der Klassifizierung. Sie umfasst auch interne und externe Benutzerzugriffszähler, um potenzielle Expositionen zu bewerten.
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| AssetOriginalPermissions | Fakultativ | dynamisch | Der ursprüngliche Berechtigungssatz, der dem Objekt zugewiesen ist, wie vom Quellsystem gemeldet. |
| AssetSensitivityLabel | Obligatorisch. | Schnur | Die Vertraulichkeitsbezeichnung, die auf die Ressource angewendet wurde. Die zulässigen Werte sind: Personal, , Public, General, Confidential, . Highly Confidential |
| AssetOriginalSensitivityLevel | Fakultativ | Schnur | Die vom Quellsystem gemeldete Vertraulichkeitsstufe vor der Normalisierung. |
| AssetIsProtectedByDlp | Fakultativ | Boolesch | Gibt an, ob die Ressource durch eine DLP-Richtlinie (Data Loss Prevention) geschützt ist. |
| AssetRelatedIndicators | Fakultativ | dynamisch | Eine dynamische Sammlung von Bedrohungsindikatoren oder Signalen im Zusammenhang mit dem Objekt. |
| AssetOriginalDataClassificationType | Obligatorisch. | dynamisch | Die ursprünglichen Datenklassifizierungstypen, die dem Objekt zugeordnet sind, wie vom Quellsystem gemeldet. Dies muss ein Array von Zeichenfolgen*sein. |
| AssetClassificationLastScanDateTime | Obligatorisch. | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Ressource zuletzt nach der Datenklassifizierung gescannt wurde. |
| InternalUsersCount | Fakultativ | int | Die Anzahl der internen Benutzer, die dem Objekt zugeordnet sind oder Zugriff auf die Ressource haben. |
| ExternalUsersCount | Fakultativ | int | Die Anzahl der externen Benutzer, die dem Objekt zugeordnet sind oder Zugriff auf die Ressource haben. |
Felder für Anlagerisiko
In diesem Abschnitt werden Risikokontexte für die Ressource erfasst, einschließlich normalisierter und von der Quelle gemeldeter Risikonamen und -ebenen, zeitstempel des ersten und letzten Berichts sowie anbieterspezifische Risikodetails.
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| AssetRiskName | Fakultativ | Schnur | Der normalisierte Name des Risikos oder der Bedrohung, das dem Objekt zugeordnet ist. |
| AssetRiskLevel | Fakultativ | Aufgezählt | Die dem Asset zugewiesene normalisierte Risikostufe. Die zulässigen Werte sind: Info, , Low, MediumHigh, , . OtherCritical |
| AssetOriginalRiskLevel | Fakultativ | Schnur | Die dem Objekt zugewiesene Risikostufe, wie vom Quellsystem gemeldet, vor der Normalisierung. |
| AssetRiskFirstReportedTime | Fakultativ | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem das mit dem Objekt verbundene Risiko zum ersten Mal gemeldet wurde. |
| AssetRiskLastReportedTime | Fakultativ | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem das mit dem Objekt verbundene Risiko zuletzt gemeldet wurde. |
| AssetOriginalRiskDetails | Fakultativ | dynamisch | Die vollständigen Risikodetails für das Objekt, wie vom Quellsystem angegeben. |
Dateifelder (Objekttyp)
In diesem Abschnitt werden dateispezifische Objekteigenschaften erfasst. Die Eigenschaften sollten aufgefüllt werden, wenn es sich um AssetType"Datei" handelt.
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| FilePath | Fakultativ | Schnur | Der vollständige Pfad der Datei, die dem Objekt zugeordnet ist. |
| FileSize | Fakultativ | lang | Die Größe der Datei in Bytes. |
| FileMD5 | Fakultativ | Schnur | Der MD5-Hash der Datei, die der Ressource zugeordnet ist. |
| FileSHA1 | Fakultativ | Schnur | Der SHA-1-Hash der Datei, die der Ressource zugeordnet ist. |
| FileSHA256 | Fakultativ | Schnur | Der SHA-256-Hash der Datei, die der Ressource zugeordnet ist. |
| FileSHA512 | Fakultativ | Schnur | Der SHA-512-Hash der Datei, die der Ressource zugeordnet ist. |
| FileExtension | Fakultativ | Schnur | Die Dateierweiterung der Datei, die dem Objekt zugeordnet ist, z. B. .exe oder .pdf. |
| FileIsSignatureValid | Fakultativ | Boolesch | Gibt an, ob die digitale Signatur der Datei gültig ist. |
| FileSignatureDetails | Fakultativ | Schnur | Details zur digitalen Signatur der Datei, z. B. der Signierer oder Zertifikatinformationen. |
Websitefelder (Objekttyp)
In diesem Abschnitt werden websitespezifische Standorteigenschaften für SharePoint-Websiteobjekte erfasst. Die Eigenschaften sollten aufgefüllt werden, wenn es sich um "AssetTypeWebsite" handelt.
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| SitePath | Fakultativ | Schnur | Der Pfad des Website- oder Speicherorts, der dem Objekt zugeordnet ist. |
| SitePrimaryUri | Fakultativ | Schnur | Der primäre URI der Website oder des Speicherorts, der dem Objekt zugeordnet ist. |
Decknamen
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| AssetPath | Alias | Schnur | Der Alias für entweder FilePath oder SitePath |
| Benutzer | Alias | Schnur | Der Alias für AssetOwnerId. |
Schemaupdates
Im Folgenden sind die Änderungen in verschiedenen Versionen des Schemas aufgeführt:
- Version 0.1.0: Erste Version.
Nächste Schritte
Weitere Informationen findest du unter:
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)