Microsoft Sentinel Audit 事件正規化架構代表與信息系統稽核記錄相關聯的事件。 稽核記錄系統設定活動和原則變更。 這類變更通常是由系統管理員執行,但也可以在設定自己的應用程式設定時由用戶執行。
每個系統都會記錄稽核事件及其核心活動記錄。 例如,防火牆會記錄網路會話的相關事件是處理程式,以及稽核套用至防火牆本身之設定變更的相關事件。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
結構描述概觀
稽核事件的主要欄位如下:
- 物件,例如,事件所關注的 Managed 資源或原則規則,以 Field Object 表示。 Field ObjectType 指定對象的類型。
- 對象的應用程式內容,由Application所別名的TargetAppName欄位表示。
- 在對象上執行的作業,以 EventType 和 Operation 字段表示。 雖然 Operation 是來源所報告的值, 但 EventType 是跨來源更一致的標準化版本。
- 對象的舊值和新值,如果適用,則分別以 OldValue 和 NewValue 表示。
稽核事件也會參考下列與組態作業相關的實體:
- 動作專案 - 執行設定作業的使用者。
- TargetApp - 套用組態作業的應用程式或系統。
- Target - TargetApp* 執行所在的系統。
- ActingApp - 動作專案用來執行設定作業的應用程式。
- Src - 動作項目用來起始組態作業的系統,如果與 Target 不同。
描述項 Dvc 用於報告裝置,這是端點所報告會話的本機系統,在其他情況下則是中繼或安全性裝置。
剖析器
部署和使用稽核事件剖析器
從 Microsoft Sentinel GitHub 存放庫部署 ASIM 稽核事件剖析器。 若要查詢所有稽核事件來源,請使用統一剖析器 imAuditEvent 作為查詢中的數據表名稱。
如需使用 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀。 如需稽核事件剖析器清單,Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單
新增您自己的標準化剖析器
實作檔案事件資訊模型的自定義剖析器時,請使用下列語法為您的 KQL 函式命名: imAuditEvent<vendor><Product>。 請參閱管理 ASIM 剖析器一文,瞭解如何將自定義剖析器新增至稽核事件統一剖析器。
篩選剖析器參數
稽核事件剖析器支援 篩選參數。 雖然這些參數是選擇性的,但它們可以改善查詢效能。
下列篩選參數可供使用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| starttime | 日期時間 | 只篩選在此時間或之後執行的事件。 此參數會 TimeGenerated 使用 欄位作為事件的時間指示項。 |
| endtime | 日期時間 | 只篩選目前或之前執行完畢的事件查詢。 此參數會 TimeGenerated 使用 欄位作為事件的時間指示項。 |
| srcipaddr_has_any_prefix | dynamic | 僅篩選來自此來源IP位址的事件,如SrcIpAddr欄位中所代表。 |
| eventtype_in | 字串 | 只篩選事件類型的事件,如 EventType 欄位中所代表的任何字詞。 |
| eventresult | 字串 | 只篩選事件結果所在的事件,如 EventResult 字段中所表示,等於參數值。 |
| actorusername_has_any | 動態/字串 | 僅篩選 ActorUsername 包含所提供任何字詞的事件。 |
| operation_has_any | 動態/字串 | 僅篩選 [作業] 欄位包含任何提供條款的事件。 |
| object_has_any | 動態/字串 | 僅篩選 Object 字段包含任何提供詞彙的事件。 |
| newvalue_has_any | 動態/字串 | 僅篩選 NewValue 字段包含所提供任何字詞的事件。 |
某些參數可以接受類型的 dynamic 值清單或單一字串值。 若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如:dynamic(['192.168.','10.'])
例如,若要僅篩選包含 installupdate 欄位 或 的稽核事件,從最後一天起,請使用:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
架構詳細數據
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有稽核事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 事件類型 | 必要 | Enumerated | 描述事件使用正規化值稽核的作業。 使用 EventSubType 提供進一步的詳細數據,正規化值不會傳達和 Operation。 以儲存報告裝置所報告的作業。 針對稽核事件記錄,允許的值如下: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other 稽核事件代表各種不同的作業,而 Other 值可啟用沒有對應 EventType的對應作業。 不過,使用 Other 會限制事件的可用性,並應盡可能避免使用。 |
| 事件子類型 | 選擇性 | String | 提供 EventType 中正規化值不會傳達的進一步詳細數據。 |
| EventSchema | 必要 | Enumerated | 這裡記載的架構名稱為 AuditEvent。 |
| EventSchemaVersion | 必要 | SchemaVersion(字串) | 結構描述的版本。 這裡記載的架構版本為 0.1.2。 |
所有通用欄位
出現在數據表中的欄位適用於所有 ASIM 架構。 本檔中指定的任何指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
| 類別 | 欄位 |
|---|---|
| 必要 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 事件結果 - 活動產品 - 活動供應商 - 事件架構 - 事件架構版本 - 視頻 |
| 建議需求 |
-
事件結果詳細資料 - 事件嚴重性 - 事件Uid - DvcIpAddr - Dvc主機名稱 - Dvc網域 - Dvc網域類型 - DvcFQDN - DVCID - DvcId類型 - Dvc動作 |
| 選擇性 |
-
事件訊息 - 事件子類型 - 事件原創 - 事件原始類型 - EventOriginal子類型 - EventOriginalResult詳細資料 - EventOriginal嚴重性 - 事件產品版本 - 事件報告網址 - 事件擁有者 - Dvc區域 - DvcMacAddr - DvcOS - DvcOs版本 - DvcOriginal動作 - Dvc介面 - 附加欄位 - Dvc說明 - DvcScopeID - Dvc範圍 |
稽核欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 運算 | 必要 | String | 報告裝置所報告的作業稽核。 |
| 物體 | 必要 | String | 執行 EventType 所識別作業的物件名稱。 |
| 物件識別 | 選擇性 | String | EventType 所識別操作所執行物件的 ID。 |
| 物件類型 | 條件 | Enumerated | Object 的類型。 允許的值如下: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| 原始物件類型 | 選擇性 | String | 回報系統所回報的 物件 類型 |
| 舊值 | 選擇性 | String | 作業之前 Object 的舊值,如果適用的話。 |
| 新值 | 建議需求 | String | 如果適用,在作業執行之後,Object 的新值。 |
| ReplTest1 | Alias | NewValue 的 別名 | |
| ValueType | 條件 | Enumerated | 舊值和新值的型別。 允許的值為 -其他 |
動作專案欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 演員使用者ID | 選擇性 | String | 機器可讀取、英數位元、動作專案的唯一表示法。 如需詳細資訊,以及其他標識碼的替代字段,請參閱 用戶實體。 範例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍,例如Microsoft Entra 功能變數名稱。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| ActorScopeId | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍標識碼,例如 Microsoft Entra Directory ID。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
| ActorUserIdType | 條件 | Enumerated | 儲存在 ActorUserId 字段中的識別碼類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserIdType。 |
| 演員用戶名 | 建議需求 | 用戶名(字串) | 動作項目的用戶名稱,包括可用時的網域資訊。 如需詳細資訊,請參閱使用者實體。 範例: AlbertE |
| 使用者 | Alias | ActorUsername 的 別名 | |
| ActorUsernameType | 條件 | UsernameType | 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱架構概觀一文中的UsernameType。 範例: Windows |
| ActorUserType | 選擇性 | UserType | 動作項目的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。 例如: Guest |
| ActorOriginalUserType | 選擇性 | String | 報告裝置所報告的用戶類型。 |
| ActorSessionId | 選擇性 | String | 動作專案之登入會話的唯一標識符。 範例: 102pTUgC3p8RIqHvzxLCHnFlg |
目標應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetAppID | 選擇性 | String | 套用事件的應用程式識別碼,包括進程、瀏覽器或服務。 範例: 89162 |
| TargetAppName | 選擇性 | String | 要套用事件的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 範例: Exchange 365 |
| 應用程式 | Alias | TargetAppName 的 別名 | |
| TargetAppType | 條件 | AppType | 代表動作專案授權的應用程式類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。 |
| TargetOriginalAppType | 選擇性 | String | 報告裝置報告所涵蓋事件的應用程式類型。 |
| 目標網址 | 選擇性 | URL | 與目標應用程式相關聯的URL。 範例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
目標系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 夏令時 | Alias | String | 驗證目標的唯一標識碼。 此欄位可能會將 TargetDvcId、 TargetHostname、 TargetIpAddr、 TargetAppId 或 TargetAppName 欄位別名。 範例: 192.168.12.1 |
| 目標主機名稱 | 建議需求 | 主機名稱 | 目標裝置主機名,不包括網域資訊。 範例: DESKTOP-1282V4D |
| 目標網域 | 選擇性 | Domain(字串) | 目標裝置的網域。 範例: Contoso |
| 目標域類型 | 條件 | Enumerated | TargetDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 TargetDomain ,則為必要專案。 |
| TargetFQDN | 選擇性 | FQDN(字串) | 目標裝置主機名,包括可用時的網域資訊。 範例: Contoso\DESKTOP-1282V4D 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 TargetDomainType 會反映所使用的格式。 |
| 目標說明 | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| 目標DVCID | 選擇性 | String | 目標裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 TargetDvc<DvcIdType>。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeID | 選擇性 | String | 裝置所屬的雲端平台範圍識別碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| 目標DVC示波器 | 選擇性 | String | 裝置所屬的雲端平台範圍。 TargetDvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| TargetDvcIdType | 條件 | Enumerated | TargetDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 如果使用 TargetDeviceId ,則為必要專案。 |
| TargetDeviceType | 選擇性 | Enumerated | 目標裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
| 目標 IpAddr | 建議需求 | IP 位址 | 目標裝置的IP位址。 範例: 2.2.2.2 |
| TargetDvcOs | 選擇性 | String | 目標裝置的OS。 範例: Windows 10 |
| TargetPortNumber | 選擇性 | 整數 | 目標裝置的埠。 |
| TargetGeoCountry | 選擇性 | Country | 與目標 IP 位址相關的國家/地區。 範例: USA |
| TargetGeoRegion | 選擇性 | 區域 | 與目標 IP 位址相關的國家/地區區域。 範例: Vermont |
| TargetGeoCity | 選擇性 | 縣/市 | 與目標 IP 位址相關的城市。 範例: Burlington |
| TargetGeoLatitude | 選擇性 | 緯度 | 與目標 IP 位址相關的地理座標緯度。 範例: 44.475833 |
| TargetGeoLongitude | 選擇性 | 經度 | 與目標 IP 位址相關的地理座標經度。 範例: 73.211944 |
| TargetRiskLevel | 選擇性 | 整數 | 與目標相關聯的風險層級。 此值應調整為 的範圍,0100並0針對良性和100高風險。範例: 90 |
| TargetOriginalRiskLevel | 選擇性 | String | 與目標相關聯的風險層級,如報告裝置所報告。 範例: Suspicious |
代理應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingAppId | 選擇性 | String | 起始活動之應用程式的識別碼,包括進程、瀏覽器或服務。 例如: 0x12ae8 |
| ActingAppName | 選擇性 | String | 起始活動之應用程式的名稱,包括服務、URL 或 SaaS 應用程式。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 選擇性 | AppType | 代理應用程式的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的 AppType。 |
| ActingOriginalAppType | 選擇性 | String | 根據報告裝置回報,啟動活動的應用程式類型。 |
| HttpUserAgent | 選擇性 | String | 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
來源系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 來源 | Alias | String | 來源裝置的唯一標識碼。 此欄位可能會將 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段別名。 範例: 192.168.12.1 |
| SrcIpAddr | 建議需求 | IP 位址 | 線上或會話的來源IP位址。 範例: 77.138.103.108 |
| IpAddr | Alias | SrcIpAddr 的別名,如果未提供 SrcIpAddr,則為 TargetIpAddr。 | |
| SrcPortNumber | 選擇性 | 整數 | 線上來源 IP 連接埠。 可能與組成多個連線的會話無關。 範例: 2335 |
| Src主機名稱 | 選擇性 | 主機名稱 | 來源裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| Src網域 | 選擇性 | 域(字串) | 來源裝置的網域。 範例: Contoso |
| Src網域類型 | 條件 | DomainType | SrcDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | FQDN(字串) | 來源裝置主機名,包括可用時的網域資訊。 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| Src說明 | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| SrcDvcId | 選擇性 | String | 來源裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 SrcDvc<DvcIdType>。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平台範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| SrcDvc範圍 | 選擇性 | String | 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 注意:如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
| SrcGeoCountry | 選擇性 | Country | 與來源IP位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源IP位址相關聯的國家/地區內的區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 縣/市 | 與來源IP位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源IP位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源IP位址相關聯的地理座標經度。 範例: 73.211944 |
| SrcRiskLevel | 選擇性 | 整數 | 與來源相關聯的風險層級。 此值應調整為 的範圍,0100並0針對良性和100高風險。範例: 90 |
| SrcOriginalRiskLevel | 選擇性 | String | 與來源相關聯的風險層級,如報告裝置所報告。 範例: Suspicious |
檢查欄位
下列欄位用來代表安全性系統所執行的檢查。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 規則名稱 | 選擇性 | String | 與檢查結果相關聯的規則名稱或標識碼。 |
| 規則編號 | 選擇性 | 整數 | 與檢查結果相關聯的規則數目。 |
| 規則 | Alias | String | RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。 |
| ThreatId | 選擇性 | String | 稽核活動中識別的威脅或惡意代碼標識碼。 |
| ThreatName | 選擇性 | String | 稽核活動中識別的威脅或惡意代碼名稱。 |
| ThreatCategory | 選擇性 | String | 稽核檔案活動中所識別的威脅或惡意代碼類別。 |
| ThreatRiskLevel | 選擇性 | 風險等級(整數) | 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| 威脅原始風險等級 | 選擇性 | String | 報告裝置所報告的風險層級。 |
| ThreatConfidence | 選擇性 | 信心水準(整數) | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 選擇性 | 日期時間 | 第一次將IP位址或網域識別為威脅。 |
| ThreatLastReportedTime | 選擇性 | 日期時間 | 上次將IP位址或網域識別為威脅的時間。 |
| ThreatIpAddr | 選擇性 | IP 位址 | 識別威脅的IP位址。 Field ThreatField 包含 ThreatIpAddr 字段的名稱。 |
| 威脅欄位 | 條件 | Enumerated | 識別威脅的欄位。 值為 SrcIpAddr 或 TargetIpAddr。 |
架構更新
0.1.1 版本架構的變更包括:
- 加上域
ObjectId和OriginalObjectType。
架構0.1.2版中的變更如下:
- 加入欄位
ActingOriginalAppType、OriginalObjectType、SrcOriginalRiskLevelSrcRiskLevel,TargetGeoCity,,TargetGeoCountry,,TargetGeoLatitude,TargetGeoLongitudeTargetGeoRegionTargetOriginalAppType,,,TargetOriginalRiskLevelTargetRiskLevel
下一步
如需詳細資訊,請參閱