Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Schema für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM) ist ein Satz von Feldern, die eine Aktivität darstellen. Die Verwendung der Felder eines normalisierten Schemas in einer Abfrage stellt sicher, dass die Abfrage mit jeder normalisierten Quelle verwendet werden kann.
Informationen zu Schemas in der ASIM-Architektur finden Sie im ASIM-Architekturdiagramm.
Schemaverweise beschreiben die Felder, die jedes Schema umfasst. In ASIM sind derzeit die folgenden Schemas definiert:
| Schema | Version | Status |
|---|---|---|
| Benachrichtigungsereignis | 0,1 | GA |
| Überwachungsereignis | 0.1.2 | GA |
| Authentifizierungsereignis | 0.1.4 | GA |
| DNS-Aktivität | 0.1.7 | GA |
| DHCP-Aktivität | 0.1.1 | GA |
| Dateiaktivität | 0.2.2 | GA |
| Netzwerksitzung | 0.2.7 | GA |
| Prozessereignis | 0.1.4 | GA |
| Registrierungsereignis | 0.1.3 | GA |
| Benutzerverwaltung | 0.1.2 | GA |
| Websitzung | 0.2.7 | GA |
Schemakonzepte
Die folgenden Konzepte helfen Ihnen, die Schemaverweisdokumente zu verstehen und erweitern das Schema auf normalisierte Weise, falls Ihre Daten Informationen enthalten, die das Schema nicht abdeckt.
Feldbenennung
Der Kern jedes Schemas sind die Feldnamen. Feldnamen gehören zu den folgenden Gruppen:
- Felder, die allen Schemas gemeinsam sind.
- Felder, die für ein Schema spezifisch sind.
- Felder, die Entitäten darstellen, z. B. Benutzer, die am Schema teilnehmen. Felder, die Entitäten darstellen, sind in allen Schemas ähnlich.
Wenn Quellen Felder enthalten, die nicht im dokumentierten Schema angegeben sind, werden sie zur Wahrung der Konsistenz normalisiert. Wenn die zusätzlichen Felder eine Entität darstellen, werden sie basierend auf den Leitfäden für Entitätsfelder normalisiert. Andernfalls wird in den Schemas versucht, die Konsistenz über alle Schemas hinweg zu wahren.
Beispielsweise enthalten die Aktivitätsprotokolle von DNS-Servern keine Benutzerinformationen, während die DNS-Aktivitätsprotokolle eines Endpunkts Benutzerinformationen enthalten können, die entsprechend den Leitfäden für die Benutzerentität normalisiert werden können. |
Feldlogiktypen
Jedem Schemafeld ist ein Typ zugeordnet. Der Log Analytics-Arbeitsbereich verfügt über eine begrenzte Anzahl von Datentypen. Daher wird in Microsoft Sentinel für viele Schemafelder ein logischer Typ verwendet, der in Log Analytics nicht erzwungen wird, jedoch für die Schemakompatibilität erforderlich ist. Durch logische Feldtypen wird sichergestellt, dass Werte sowie Feldnamen in allen Quellen konsistent sind.
Weitere Informationen finden Sie unter Logische Typen.
Feldklassen
Felder verfügen möglicherweise über mehrere Klassen, die definieren, wann die Felder von einem Parser implementiert werden sollen:
- Pflichtfelder müssen in jedem Parser angezeigt werden. Wenn eine Quelle keine Informationen für diesen Wert enthält oder die Daten nicht anderweitig hinzugefügt werden können, werden die meisten Inhaltselemente, die auf das normalisierte Schema verweisen, nicht unterstützt.
- Empfohlene Felder sollten bei Bedarf normalisiert werden. Sie sind jedoch möglicherweise nicht in jeder Quelle verfügbar. Jedes Inhaltselement, das auf dieses normalisierte Schema verweist, sollte die Verfügbarkeit berücksichtigen.
- Optionale Felder können, falls verfügbar, normalisiert oder in der ursprünglichen Form verbleiben. Normalerweise werden sie aus Leistungsgründen durch einen sehr einfachen Parser nicht normalisiert.
- Bedingte Felder sind obligatorisch, wenn das folgende Feld aufgefüllt wird. Bedingte Felder werden in der Regel verwendet, um den Wert in einem anderen Feld zu beschreiben. Beispielsweise beschreibt das allgemeine Feld DvcIdType den Integer-Wert im allgemeinen Feld DvcId und ist daher obligatorisch, wenn letzteres ausgefüllt ist.
- Alias ist ein spezieller Typ eines bedingten Felds und ist obligatorisch, wenn das aliasierte Feld aufgefüllt wird.
Allgemeine Felder
Einige Felder sind in allen ASIM-Schemas enthalten. Jedes Schema kann Richtlinien für die Verwendung einiger der allgemeinen Felder im Kontext des jeweiligen Schemas hinzufügen. Beispielsweise können die zulässigen Werte für das Feld EventType und für das Feld EventSchemaVersion je nach Schema unterschiedlich sein.
Entitäten
Ereignisse entwickeln sich im Zusammenhang mit Entitäten wie Benutzern, Hosts, Prozessen oder Dateien. Für jede Entität können mehrere Felder erforderlich sein, um sie zu beschreiben. Beispielsweise kann ein Host einen Namen und eine IP-Adresse aufweisen.
Ein einzelner Datensatz kann mehrere Entitäten desselben Typs enthalten, z. B. einen Quell- und Zielhost.
ASIM definiert, wie Entitäten konsistent beschrieben werden. Mit Entitäten lassen sich die Schemas erweitern.
Während das Netzwerksitzungsschema beispielsweise keine Prozessinformationen enthält, enthalten einige Ereignisquellen Prozessinformationen, die hinzugefügt werden können. Weitere Informationen finden Sie unter Entitäten.
Decknamen
Aliase ermöglichen mehrere Namen für einen angegebenen Wert. In einigen Fällen erwarten verschiedene Benutzer, dass ein Feld unterschiedliche Namen hat. In der DNS-Terminologie wird z. B. ein Feld mit dem Namen DnsQuery erwartet, während es in allgemeineren Anwendungsfällen einen Domänennamen enthält. Der Alias Domäne hilft Benutzer*innen, indem er die Verwendung beider Namen zulässt.
Hinweis
Aliase sollen einem Analysten bei interaktiven Abfragen helfen. Wenn Sie Abfragen in wiederverwendbaren Inhalten wie benutzerdefinierte Erkennungen, Analyseregeln oder Arbeitsmappen verwenden, verwenden Sie das aliasierte Feld anstelle des Alias. Die Verwendung des aliasierten Felds sorgt für eine bessere Leistung, weniger Fehler und bessere Lesbarkeit von Abfragen.
In einigen Fällen kann ein Alias den Wert eines von mehreren Feldern haben, je nachdem, welche Werte im Ereignis verfügbar sind. Beispielsweise werden mit dem Dvc-Alias entweder die Felder DvcFQDN, DvcId, DvcHostname, DvcIpAddr oder Ereignisprodukt benannt. Da ein Alias mehrere Werte haben kann, muss sein Typ eine Zeichenfolge sein, die alle möglichen Aliaswerte aufnimmt. Achten Sie daher beim Zuweisen eines Werts zu einem solchen Alias darauf, den Typ mithilfe der KQL-Funktion tostring in eine Zeichenfolge zu konvertieren.
Native normalisierte Tabellen enthalten keine Aliase, da diese den Datenspeicher verdoppeln würden. Stattdessen werden Aliase über Stubparser hinzugefügt. Um Aliase in Parsern zu implementieren, erstellen Sie mithilfe des extend-Operators eine Kopie des ursprünglichen Werts. |
Logische Typen
Jedem Schemafeld ist ein Typ zugeordnet. Einige Felder verfügen über integrierte Azure Log Analytics-Typen wie string, int, datetime oder dynamic. Andere Felder verfügen über einen logischen Typ, der angibt, wie die Feldwerte normalisiert werden sollen.
| Datentyp | Physischer Typ | Format und Wert |
|---|---|---|
| Boolescher Wert | Bool | Verwenden Sie den integrierten KQL-Datentyp bool anstelle einer numerischen oder Zeichenfolgendarstellung boolescher Werte. |
| Enumeration | String | Eine Liste von Werten, die explizit für das Feld definiert sind. In der Schemadefinition sind die akzeptierten Werte aufgeführt. |
| Datum/Uhrzeit | Verwenden Sie je nach Erfassungsmethode eine der folgenden physischen Darstellungen in absteigender Priorität: - Integrierter datetime-Typ von Log Analytics - Integerfeld, das die numerische datetime-Darstellung von Log Analytics verwendet. - Zeichenfolgenfeld, das die numerische datetime-Darstellung von Log Analytics verwendet - Zeichenfolgenfeld, in dem ein unterstütztes datetime-Format von Log Analytics gespeichert wird. |
Die Darstellung von Datums- und Uhrzeitwerten in Log Analytics ähnelt der UNIX-Darstellung, weist aber Unterschiede auf. Weitere Informationen finden Sie in den Konvertierungsleitfäden. Hinweis: Die Zeitwerte sollten gegebenenfalls an die Zeitzone angepasst sein. |
| MAC address (MAC-Adresse) | String | Hexadezimalnotation mit Doppelpunkt. |
| IP-Adresse | String | Microsoft Sentinel-Schemas enthalten keine separaten IPv4- und IPv6-Adressen. Jedes IP-Adressfeld kann wie folgt entweder eine IPv4-Adresse oder eine IPv6-Adresse enthalten: - IPv4 in einer Dezimalnotation mit Punkt. - IPv6 in 8-Hextett-Notation, die die Kurzform ermöglicht. Beispiel: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6-Kurzform: 1080::8:800:200C:417A |
| FQDN | String | Ein vollqualifizierter Domänenname mit Punktnotation, z. B. learn.microsoft.com. Weitere Informationen finden Sie unter Geräteentität. |
| Hostname | String | Ein Hostname, der kein FQDN ist, umfasst bis zu 63 Zeichen, einschließlich Buchstaben, Zahlen und Bindestrichen. Weitere Informationen finden Sie unter Geräteentität. |
| Domain | String | der Domänenteil eines FQDN, z. B. ohne den Hostnamen. learn.microsoft.com Weitere Informationen finden Sie unter Geräteentität. |
| DomainType | Enumerated | Der Typ der Domäne, der in Domänen- und FQDN-Feldern gespeichert ist. Eine Liste der Werte sowie weitere Informationen finden Sie unter Die Geräteentität. |
| DvcIdType | Enumerated | Der Typ der in DvcId-Feldern gespeicherten Geräte-ID. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType. |
| DeviceType | Enumerated | Der Typ des Geräts, das in DeviceType-Feldern gespeichert ist. Mögliche Werte sind: - Computer- Mobile Device- IOT Device- Other. Weitere Informationen finden Sie unter Geräteentität. |
| Nutzername | String | Ein gültiger Benutzername in einem der unterstützten Typen. Weitere Informationen finden Sie unter Benutzerentität. |
| UsernameType | Enumerated | Der Typ des Benutzernamens, der in Benutzernamenfeldern gespeichert ist. Weitere Informationen und eine Liste der unterstützten Werte finden Sie unter Die Benutzerentität. |
| UserIdType | Enumerated | Der Typ der in Benutzer-ID-Feldern gespeicherten ID. Die Werte SID, UIS, AADID, OktaId, AWSId und PUID werden unterstützt. Weitere Informationen finden Sie unter Benutzerentität. |
| UserType | Enumerated | Der Typ eines Benutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter Die Benutzerentität. |
| AppType | Enumerated | Der Typ einer Anwendung. Unterstützte Werte: Process., Service, Resource, URL, SaaS application, CSP und Other. |
| Country | String | Eine Zeichenfolge unter Verwendung von ISO 3166-1, entsprechend der folgenden Priorität: – Alpha-2-Codes, z. B. US für die USA. – Alpha-3-Codes, z. B. USA für die USA. – Kurzname. Die Liste der Codes finden Sie auf der Website der International Standards Organization (ISO). |
| Region | String | Der Name der Untereinheiten von Ländern/Regionen nach ISO 3166-2. Die Liste der Codes finden Sie auf der Website der International Standards Organization (ISO). |
| City (Ort) | String | |
| Longitude (Längengrad) | Double | ISO 6709-Koordinatendarstellung (Dezimalwert mit Vorzeichen). |
| Latitude (Breitengrad) | Double | ISO 6709-Koordinatendarstellung (Dezimalwert mit Vorzeichen). |
| MD5 | String | 32-Hexadezimalzeichen. |
| SHA1 | String | 40-Hexadezimalzeichen. |
| SHA256 | String | 64-Hexadezimalzeichen. |
| SHA512 | String | 128-Hexadezimalzeichen. |
| ConfidenceLevel | Integer | Ein Konfidenzniveau, das auf den Bereich von 0 bis 100 normalisiert ist. |
| RiskLevel | Integer | Ein Risikoniveau, das auf den Bereich von 0 bis 100 normalisiert ist. |
| SchemaVersion | String | Eine ASIM-Schemaversion im Format <major>.<minor>.<sub-minor> |
| DnsQueryClassName | String | Der DNS-Klassenname. |
| Benutzername | String | Ein einfacher oder domänenqualifizierter Benutzername |
Entitäten
Ereignisse entwickeln sich im Zusammenhang mit Entitäten wie Benutzern, Hosts, Prozessen oder Dateien. Die Entitätsdarstellung ermöglicht, dass mehrere Entitäten desselben Typs Teil eines einzelnen Datensatzes sind, und sie unterstützt mehrere Attribute für dieselben Entitäten.
Zur Ermöglichung von Entitätsfunktionen gelten für die Entitätsdarstellung die folgenden Richtlinien:
| Vorgabe | BESCHREIBUNG |
|---|---|
| Präfixe und Aliase | Da ein einzelnes Ereignis häufig mehrere Entitäten desselben Typs enthält, z. B. Quell- und Zielhosts, werden Präfixe verwendet, um die Entität zu identifizieren, die ein Feld zugeordnet ist. Um die Normalisierung aufrechtzuerhalten, verwendet ASIM eine kleine Gruppe von Standardpräfixen, wobei die am besten geeigneten für die spezifische Rolle der Entitäten ausgewählt werden. Wenn eine einzelne Entität eines Typs für ein Ereignis relevant ist, müssen Sie kein Präfix verwenden. Außerdem wird ein Satz von Feldern ohne Präfix als Alias für die am häufigsten verwendete Entität für jeden Typ verwendet. |
| Bezeichner und Typen | Ein normalisiertes Schema ermöglicht mehrere Bezeichner für jede Entität, die voraussichtlich in Ereignissen gleichzeitig vorhanden sind. Wenn das Quellereignis andere Entitätsbezeichner enthält, die nicht dem normalisierten Schema zugeordnet werden können, behalten Sie sie im Quellformat bei, oder verwenden Sie das dynamische Feld AdditionalFields. Zum Verwalten der Typinformationen für die Bezeichner speichern Sie den Typ ggf. in einem Feld mit dem gleichen Namen und dem Suffix Type. Beispiel: UserIdType. |
| Attribute | Entitäten umfassen häufig andere Attribute, die nicht als Bezeichner dienen und auch mit einem Deskriptor qualifiziert werden können. Wenn der Quellbenutzer z. B. Domäneninformationen enthält, lautet das normalisierte Feld SrcUserDomain. |
Weitere Informationen zu bestimmten Entitätstypen finden Sie unter:
Beispiel von Entitätszuordnung
In diesem Abschnitt wird am Beispiel des Windows-Ereignisses 4624 beschrieben, wie die Ereignisdaten für Microsoft Sentinel normalisiert werden.
Dieses Ereignis umfasst die folgenden Entitäten:
| Microsoft-Terminologie | Präfix des ursprünglichen Ereignisfelds | Präfix des ASIM-Felds | BESCHREIBUNG |
|---|---|---|---|
| Subject | Subject |
Actor |
Der Benutzer, der Informationen zu einer erfolgreichen Anmeldung gemeldet hat. |
| Neue Anmeldung | Target |
TargetUser |
Der Benutzer, für den die Anmeldung durchgeführt wurde. |
| Prozess | - | ActingProcess |
Der Prozess, über den die Anmeldung durchgeführt wurde. |
| Netzwerkinformationen | - | Src |
Der Computer, über den ein Anmeldeversuch durchgeführt wurde. |
Basierend auf diesen Entitäten wird das Windows-Ereignis 4624 wie folgt normalisiert (einige Felder sind optional):
| Normalisiertes Feld | Ursprüngliches Feld | Wert im Beispiel | Notizen |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Erstellt durch Verkettung der beiden Felder |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\TargerUserName | Administrator\WIN-GG82ULGC9GO$ | Erstellt durch Verkettung der beiden Felder |
| Benutzername | TargetDomainName\TargerUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Hostname | Computer | Alias |
Nächste Schritte
Dieser Artikel bietet eine Übersicht über Normalisierung in Microsoft Sentinel und ASIM.
Weitere Informationen finden Sie unter
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)