Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein ASIM-Schema (Advanced Security Information Model) ist eine Reihe von Feldern, die eine Aktivität oder Entität darstellen. Die Verwendung der Felder aus einem normalisierten Schema in einer Abfrage stellt sicher, dass die Abfrage mit jeder normalisierten Quelle funktioniert.
Informationen zu Schemas in der ASIM-Architektur finden Sie im ASIM-Architekturdiagramm.
Aktivitäts-/Ereignisschemas
Schemaverweise beschreiben die Felder, die jedes Schema umfasst. ASIM definiert derzeit die folgenden Schemas für Ereignisse:
| Schema | Schemaname für Tests | Version | Status |
|---|---|---|---|
| Benachrichtigungsereignis | AlertEvent |
0,1 | GA |
| Überwachungsereignis | AuditEvent |
0.1.2 | GA |
| Authentifizierungsereignis | Authentication |
0.1.4 | GA |
| DHCP-Aktivität | DhcpEvent |
0.1.1 | GA |
| DNS-Aktivität | Dns |
0.1.7 | GA |
| Dateiaktivität | FileEvent |
0.2.2 | GA |
| Netzwerksitzung | NetworkSession |
0.2.7 | GA |
| Prozessereignis | ProcessEvent |
0.1.4 | GA |
| Registrierungsereignis | RegistryEvent |
0.1.3 | GA |
| Benutzerverwaltung | UserManagement |
0.1.2 | GA |
| Websitzung | WebSession |
0.2.7 | GA |
Entitätsschemas
ASIM definiert derzeit die folgenden Schemas für Entitäten:
| Schema | Schemaname für Tests | Version | Status |
|---|---|---|---|
| Vermögensentität | AssetEntity |
0.1.0 | GA |
Informationen zu Entitäten, die Teil anderer ASIM-Schemas sind, finden Sie unter "Ereignisentitäten".
Feldbenennung
Der Kern jedes Schemas sind die Feldnamen. Feldnamen gehören zu den folgenden Gruppen:
- Felder, die allen Schemas gemeinsam sind.
- Felder, die für ein Schema spezifisch sind.
- Felder, die Entitäten darstellen, z. B. Benutzer, die am Schema teilnehmen. Felder, die Entitäten darstellen, sind in allen Schemas ähnlich.
Wenn Quellen Felder enthalten, die nicht im dokumentierten Schema angegeben sind, werden sie zur Wahrung der Konsistenz normalisiert. Wenn die zusätzlichen Felder eine Entität darstellen, werden sie basierend auf den Entitätsfeldrichtlinien normalisiert. Andernfalls wird in den Schemas versucht, die Konsistenz über alle Schemas hinweg zu wahren.
Beispielsweise enthalten die Aktivitätsprotokolle von DNS-Servern keine Benutzerinformationen, während die DNS-Aktivitätsprotokolle eines Endpunkts Benutzerinformationen enthalten können, die entsprechend den Leitfäden für die Benutzerentität normalisiert werden können.
Allgemeine Felder
Einige Felder sind in allen ASIM-Schemas enthalten. Jedes Schema kann Richtlinien für die Verwendung einiger der allgemeinen Felder im Kontext des jeweiligen Schemas hinzufügen. Beispielsweise können die zulässigen Werte für das Feld EventType und für das Feld EventSchemaVersion je nach Schema unterschiedlich sein.
Feldklassen
Felder verfügen möglicherweise über mehrere Klassen, die definieren, wann die Felder von einem Parser implementiert werden sollen:
- Pflichtfelder müssen in jedem Parser angezeigt werden. Wenn Ihre Quelle keine Informationen für diesen Wert bereitstellt oder die Daten andernfalls nicht hinzugefügt werden können, werden die meisten Inhaltselemente, die auf das normalisierte Schema verweisen, nicht unterstützt.
- Empfohlene Felder sollten bei Bedarf normalisiert werden. Sie sind jedoch möglicherweise nicht in jeder Quelle verfügbar. Jedes Inhaltselement, das auf dieses normalisierte Schema verweist, sollte die Verfügbarkeit berücksichtigen.
- Optionale Felder können, falls verfügbar, normalisiert oder in der ursprünglichen Form verbleiben. Normalerweise werden sie aus Leistungsgründen durch einen sehr einfachen Parser nicht normalisiert.
- Bedingte Felder sind obligatorisch, wenn das folgende Feld aufgefüllt wird. Bedingte Felder werden in der Regel verwendet, um den Wert in einem anderen Feld zu beschreiben. Beispielsweise beschreibt das allgemeine Feld DvcIdType den Integer-Wert im allgemeinen Feld DvcId und ist daher obligatorisch, wenn letzteres ausgefüllt ist.
- Alias ist ein spezieller Typ eines bedingten Felds und ist obligatorisch, wenn das aliasierte Feld aufgefüllt wird.
Ereignisentitäten
Ereignisse entwickeln sich im Zusammenhang mit Entitäten wie Benutzern, Hosts, Prozessen oder Dateien. Für jede Entität können mehrere Felder erforderlich sein, um sie zu beschreiben. Beispielsweise kann ein Host einen Namen und eine IP-Adresse aufweisen.
Ein einzelner Datensatz kann mehrere Entitäten desselben Typs enthalten, z. B. einen Quell- und Zielhost.
ASIM definiert, wie Entitäten konsistent beschrieben werden. Mit Entitäten lassen sich die Schemas erweitern.
Während das Netzwerksitzungsschema beispielsweise keine Prozessinformationen enthält, enthalten einige Ereignisquellen Prozessinformationen, die hinzugefügt werden können. Weitere Informationen finden Sie unter Entitäten.
Zur Ermöglichung von Entitätsfunktionen gelten für die Entitätsdarstellung die folgenden Richtlinien:
| Vorgabe | BESCHREIBUNG |
|---|---|
| Präfixe und Aliase | Da ein einzelnes Ereignis häufig mehrere Entitäten desselben Typs enthält, z. B. Quell- und Zielhosts, werden Präfixe verwendet, um die Entität zu identifizieren, die ein Feld zugeordnet ist. Um die Normalisierung aufrechtzuerhalten, verwendet ASIM eine kleine Gruppe von Standardpräfixen, wobei die am besten geeigneten für die spezifische Rolle der Entitäten ausgewählt werden. Wenn eine einzelne Entität eines Typs für ein Ereignis relevant ist, müssen Sie kein Präfix verwenden. Außerdem wird ein Satz von Feldern ohne Präfix als Alias für die am häufigsten verwendete Entität für jeden Typ verwendet. |
| Bezeichner und Typen | Ein normalisiertes Schema ermöglicht mehrere Bezeichner für jede Entität, die voraussichtlich in Ereignissen gleichzeitig vorhanden sind. Wenn das Quellereignis andere Entitätsbezeichner enthält, die nicht dem normalisierten Schema zugeordnet werden können, behalten Sie sie im Quellformat bei, oder verwenden Sie das dynamische Feld AdditionalFields. Zum Verwalten der Typinformationen für die Bezeichner speichern Sie den Typ ggf. in einem Feld mit dem gleichen Namen und dem Suffix Type. Beispiel: UserIdType. |
| Attribute | Entitäten umfassen häufig andere Attribute, die nicht als Bezeichner dienen und auch mit einem Deskriptor qualifiziert werden können. Wenn der Quellbenutzer z. B. Domäneninformationen enthält, lautet das normalisierte Feld SrcUserDomain. |
Weitere Informationen zu bestimmten Entitätstypen finden Sie unter:
Weitere Informationen zu vollständigen Entitätsschemas finden Sie unter:
Decknamen
Aliase ermöglichen mehrere Namen für einen angegebenen Wert. In einigen Fällen erwarten verschiedene Benutzer, dass ein Feld unterschiedliche Namen hat. In der DNS-Terminologie wird z. B. ein Feld mit dem Namen DnsQuery erwartet, während es in allgemeineren Anwendungsfällen einen Domänennamen enthält. Der Alias Domäne hilft Benutzer*innen, indem er die Verwendung beider Namen zulässt.
Hinweis
Aliase sollen einem Analysten bei interaktiven Abfragen helfen. Verwenden Sie bei der Verwendung von Abfragen in wiederverwendbaren Inhalten wie in benutzerdefinierten Erkennungen, Analyseregeln oder Arbeitsmappen das aliasierte Feld anstelle des Alias. Die Verwendung des aliasierten Felds sorgt für eine bessere Leistung, weniger Fehler und bessere Lesbarkeit von Abfragen.
In einigen Fällen kann ein Alias den Wert eines von mehreren Feldern haben, je nachdem, welche Werte im Ereignis verfügbar sind. Beispielsweise werden mit dem Dvc-Alias entweder die Felder DvcFQDN, DvcId, DvcHostname, DvcIpAddr oder Ereignisprodukt benannt. Da ein Alias mehrere Werte haben kann, muss sein Typ eine Zeichenfolge sein, die alle möglichen Aliaswerte aufnimmt. Achten Sie daher beim Zuweisen eines Werts zu einem solchen Alias darauf, den Typ mithilfe der KQL-Funktion tostring in eine Zeichenfolge zu konvertieren.
Native normalisierte Tabellen enthalten keine Aliase, da diese doppelten Datenspeicher bedeuten würden. Stattdessen werden Aliase über Stubparser hinzugefügt. Um Aliase in Parsern zu implementieren, erstellen Sie mithilfe des extend-Operators eine Kopie des ursprünglichen Werts.
Logische Typen
Jedem Schemafeld ist ein Typ zugeordnet. Der Arbeitsbereich Log Analytics verfügt über einen begrenzten Satz von Datentypen. Aus diesem Grund verwendet Microsoft Sentinel einen logischen Typ für viele Schemafelder, die Log Analytics nicht erzwingen, aber für die Schemakompatibilität erforderlich ist. Durch logische Feldtypen wird sichergestellt, dass Werte sowie Feldnamen in allen Quellen konsistent sind.
| Datentyp | Physischer Typ | Format und Wert |
|---|---|---|
| Boolean | Bool | Verwenden Sie den integrierten KQL-Datentyp bool anstelle einer numerischen oder Zeichenfolgendarstellung boolescher Werte. |
| Enumeration | String | Eine Liste von Werten, die explizit für das Feld definiert sind. In der Schemadefinition sind die akzeptierten Werte aufgeführt. |
| Datum/Uhrzeit | Verwenden Sie je nach Erfassungsmethode eine der folgenden physischen Darstellungen in absteigender Priorität: - Integrierter datetime-Typ von Log Analytics - Ein ganzzahliges Feld mit einer numerischen Datum-Uhrzeit-Darstellung von Log Analytics. - Ein Textfeld mit der numerischen Datums-/Uhrzeitdarstellung von Log Analytics - Ein Zeichenfolgenfeld, das ein unterstütztes Log Analytics Datums-/Uhrzeitformat speichert. |
Log Analytics Datums- und Uhrzeitdarstellung ist ähnlich, unterscheidet sich jedoch von der Unix-Zeitdarstellung. Weitere Informationen finden Sie in den Konvertierungsleitfäden. Hinweis: Die Zeitwerte sollten gegebenenfalls an die Zeitzone angepasst sein. |
| MAC-Adresse | String | Hexadezimalnotation mit Doppelpunkt. |
| IP-Adresse | String | Microsoft Sentinel Schemas verfügen nicht über separate IPv4- und IPv6-Adressen. Jedes IP-Adressfeld kann wie folgt entweder eine IPv4-Adresse oder eine IPv6-Adresse enthalten: - IPv4 in einer Dezimalnotation mit Punkt. - IPv6 in 8-Hextett-Notation, die die Kurzform ermöglicht. Beispiel: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6-Kurzform: 1080::8:800:200C:417A |
| FQDN | String | Ein vollqualifizierter Domänenname mit Punktnotation, z. B. learn.microsoft.com. Weitere Informationen finden Sie unter Geräteentität. |
| Hostname | String | Ein Hostname, der kein FQDN ist, umfasst bis zu 63 Zeichen, einschließlich Buchstaben, Zahlen und Bindestrichen. Weitere Informationen finden Sie unter Geräteentität. |
| Domäne | String | der Domänenteil eines FQDN, z. B. ohne den Hostnamen. learn.microsoft.com Weitere Informationen finden Sie unter Geräteentität. |
| DomainType | Enumeration | Der Typ der Domäne, der in Domänen- und FQDN-Feldern gespeichert ist. Eine Liste der Werte sowie weitere Informationen finden Sie unter Die Geräteentität. |
| DvcIdType | Enumeration | Der Typ der in DvcId-Feldern gespeicherten Geräte-ID. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType. |
| Devicetype | Enumeration | Der Typ des Geräts, das in DeviceType-Feldern gespeichert ist. Mögliche Werte sind: - Computer- Mobile Device- IOT Device- Other. Weitere Informationen finden Sie unter Geräteentität. |
| Nutzername | String | Ein gültiger Benutzername in einem der unterstützten Typen. Weitere Informationen finden Sie unter Benutzerentität. |
| UsernameType | Enumeration | Der Typ des Benutzernamens, der in Benutzernamenfeldern gespeichert ist. Weitere Informationen und eine Liste der unterstützten Werte finden Sie unter Die Benutzerentität. |
| UserIdType | Enumeration | Der Typ der in Benutzer-ID-Feldern gespeicherten ID. Die Werte SID, UIS, AADID, OktaId, AWSId und PUID werden unterstützt. Weitere Informationen finden Sie unter Benutzerentität. |
| UserType | Enumeration | Der Typ eines Benutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter Die Benutzerentität. |
| AppType | Enumeration | Der Typ einer Anwendung. Eine Liste der unterstützten Werte finden Sie unter "Application Entity". |
| Country | String | Eine Zeichenfolge unter Verwendung von ISO 3166-1, entsprechend der folgenden Priorität: - Alpha-2-Codes, z.B. US für die Vereinigten Staaten. - Alpha-3-Codes, z. B. USA für die Vereinigten Staaten. – Kurzname. Die Liste der Codes finden Sie auf der Website der International Standards Organization (ISO). |
| Region | String | Der Name der Untereinheiten von Ländern/Regionen nach ISO 3166-2. Die Liste der Codes finden Sie auf der Website der International Standards Organization (ISO). |
| City | String | |
| Längengrad | Double | ISO 6709-Koordinatendarstellung (Dezimalwert mit Vorzeichen). |
| Breite | Double | ISO 6709-Koordinatendarstellung (Dezimalwert mit Vorzeichen). |
| MD5 | String | 32-Hexadezimalzeichen. |
| SHA1 | String | 40-Hexadezimalzeichen. |
| SHA256 | String | 64-Hexadezimalzeichen. |
| SHA512 | String | 128-Hexadezimalzeichen. |
| ConfidenceLevel | Integer | Ein Konfidenzniveau, das auf den Bereich von 0 bis 100 normalisiert ist. |
| RiskLevel | Integer | Ein Risikoniveau, das auf den Bereich von 0 bis 100 normalisiert ist. |
| SchemaVersion | String | Eine ASIM-Schemaversion im Format <major>.<minor>.<sub-minor> |
| DnsQueryClassName | String | Der DNS-Klassenname. |
| Nutzername | String | Ein einfacher oder domänenqualifizierter Benutzername |
Beispiel von Entitätszuordnung
In diesem Abschnitt werden Windows-Ereignis 4624 als Beispiel verwendet, um zu beschreiben, wie die Ereignisdaten für Microsoft Sentinel normalisiert werden.
Dieses Ereignis umfasst die folgenden Entitäten:
| Microsoft-Terminologie | Präfix des ursprünglichen Ereignisfelds | Präfix des ASIM-Felds | BESCHREIBUNG |
|---|---|---|---|
| Betreff | Subject |
Actor |
Der Benutzer, der Informationen zu einer erfolgreichen Anmeldung gemeldet hat. |
| Neue Anmeldung | Target |
TargetUser |
Der Benutzer, für den die Anmeldung durchgeführt wurde. |
| Prozess | - | ActingProcess |
Der Prozess, über den die Anmeldung durchgeführt wurde. |
| Netzwerkinformationen | - | Src |
Der Computer, über den ein Anmeldeversuch durchgeführt wurde. |
Basierend auf diesen Entitäten wird Windows Ereignis 4624 wie folgt normalisiert (einige Felder sind optional):
| Normalisiertes Feld | Ursprüngliches Feld | Wert im Beispiel | Notizen |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Erstellt durch Verkettung der beiden Felder |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| Benutzer-ID | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\TargerUserName | Administrator\WIN-GG82ULGC9GO$ | Erstellt durch Verkettung der beiden Felder |
| Nutzername | TargetDomainName\TargerUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Hostname | Computer | Alias |
Nächste Schritte
Dieser Artikel enthält eine Übersicht über die Normalisierung in Microsoft Sentinel und ASIM.
Weitere Informationen finden Sie unter
- Sehen Sie sich das webinar Deep Dive on Microsoft Sentinel Normalizing Parsers and Normalized Content an, oder überprüfen Sie die slides
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)