Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema di normalizzazione degli eventi dell'agente di Microsoft Sentinel rappresenta gli eventi associati alle attività e ai dati di telemetria degli agenti di intelligenza artificiale che operano in tutti gli ambienti aziendali. Questi eventi acquisiscono l'intero spettro delle interazioni degli agenti, incluse le chiamate del modello, l'utilizzo degli strumenti, il consumo di token, i processi di pensiero e la comunicazione tra gli agenti di origine e di destinazione. Queste attività vengono generate da un'ampia gamma di piattaforme e framework di agenti di intelligenza artificiale, ognuno dei quali produce dati di telemetria nel proprio formato.
Ogni piattaforma dell'agente di intelligenza artificiale registra gli eventi dell'agente come parte dei dati di telemetria operativi. La normalizzazione di questi eventi usando lo schema ASIM consente agli analisti della sicurezza di correlare i comportamenti degli agenti tra piattaforme, rilevare modelli anomali e analizzare gli eventi imprevisti senza dover apprendere il formato proprietario di ogni origine.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).
Parser
Distribuzione e uso di parser di eventi dell'agente
Distribuire i parser di eventi dell'agente ASIM dal repository GitHub Microsoft Sentinel. Per eseguire query su tutte le origini eventi dell'agente, usare il parser _Im_AgentEvent unificante come nome di tabella nella query.
Per altre informazioni sull'uso dei parser ASIM, vedere panoramica dei parser ASIM.
Aggiungere i propri parser normalizzati
Quando si implementano parser personalizzati per il modello di informazioni sugli eventi dell'agente, assegnare un nome alle funzioni KQL usando la sintassi seguente:
-
ASimAgentEvent<vendor><Product>per i parser regolari -
vimAgentEvent<vendor><Product>per i parser con parametri
Per aggiungere parser personalizzati al parser di unificazione degli eventi dell'agente, vedere Gestione dei parser ASIM.
Filtro dei parametri del parser
I parser degli eventi dell'agente supportano i parametri di filtro. Anche se questi parametri sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| Starttime | datetime | Filtrare solo gli eventi eseguiti in corrispondenza o dopo questo periodo di tempo. Questo parametro usa il TimeGenerated campo come indicatore di ora dell'evento. |
| Endtime | datetime | Filtrare solo gli eventi che hanno terminato l'esecuzione in corrispondenza o prima di questo momento. Questo parametro usa il TimeGenerated campo come indicatore di ora dell'evento. |
| agentid_has_any | Dinamico | Filtrare solo gli eventi con uno qualsiasi degli ID agente, come rappresentato nel campo SrcAgentId, TargetAgentId o PlatformTargetAgentId . |
| agentname_has_any | Dinamico | Filtrare solo gli eventi con uno qualsiasi dei nomi dell'agente, come rappresentato nel campo SrcAgentName, TargetAgentName o PlatformTargetAgentName . |
| username_has_any | Dinamico | Filtrare solo gli eventi con uno dei nomi utente elencati, come rappresentato nel campo ActorUsername . |
Alcuni parametri possono accettare sia l'elenco di valori di tipo dynamic che un singolo valore stringa. Per passare un elenco di valori letterali a parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.'])
Ad esempio, per filtrare solo gli eventi dell'agente con i nomi M365Planner degli agenti dell'ultimo giorno, usare:
_Im_AgentEvent (agentname_has_any=dynamic(['M365Planner']), starttime = ago(1d), endtime=now())
Dettagli dello schema
Campi ASIM comuni
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni di ASIM .
Campi comuni con linee guida specifiche
Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi dell'agente:
Tutti i campi comuni
I campi in questa tabella sono comuni a tutti gli schemi ASIM. Le linee guida specificate in questo documento sostituiscono le linee guida generali per ogni campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .
| Classe | Campi |
|---|---|
| Obbligatorio |
-
EventCount - EventStartTime - EventEndTime - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Consigliata |
-
EventUid |
| Facoltativo |
-
EventOriginalUid - EventOriginalType - EventOriginalResultDetails - AdditionalFields |
Informazioni sull'agente di origine
Campi dell'agente di destinazione
Campi dell'agente di destinazione della piattaforma
Campi dell'attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Facoltativo | Stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'attore. Per altre informazioni e per i campi alternativi per altri ID, vedere L'entità Utente. Esempio: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorUserIdType | Facoltativo | Stringa | Tipo dell'ID archiviato nel campo ActorUserId . Per altre informazioni e l'elenco dei valori consentiti, vedere UserIdTypenell'articolo Panoramica dello schema. |
| ActorUserScope | Facoltativo | Stringa | Ambito, ad esempio Microsoft Entra nome di dominio, in cui sono definiti ActorUserId e ActorUsername. Per altre informazioni e un elenco di valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. |
| ActorUserScopeId | Facoltativo | Stringa | ID ambito, ad esempio Microsoft Entra ID directory, in cui sono definiti ActorUserId e ActorUsername. Per altre informazioni e un elenco di valori consentiti, vedere UserScopeIdnell'articolo Panoramica dello schema. |
| ActorUsername | Facoltativo | Nome utente (stringa) | Nome utente dell'attore, incluse le informazioni sul dominio quando disponibili. Per altre informazioni, vedere L'entità Utente. Esempio: AlbertE |
| ActorUsernameType | Facoltativo | Stringa | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameTypenell'articolo Panoramica dello schema. Esempio: Windows |
| ActingAppId | Facoltativo | Stringa | ID dell'applicazione che ha avviato l'attività segnalata, inclusi un processo, un browser o un servizio. Ad esempio: 0x12ae8 |
| ActingAppName | Facoltativo | Stringa | Nome dell'applicazione che ha avviato l'attività segnalata, inclusi un servizio, un URL o un'applicazione SaaS. Ad esempio: C:\Windows\System32\svchost.exe |
| ActingAppType | Facoltativo | AppType | Tipo di applicazione che agisce. Per altre informazioni e l'elenco di valori consentiti, vedere AppTypenell'articolo Panoramica dello schema. |
| ActingOriginalAppType | Facoltativo | Stringa | Tipo dell'applicazione che ha avviato l'attività come segnalato dal dispositivo di report. |
Campi del modello
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ModelProviderName | Facoltativo | Stringa | Nome del provider di modelli. |
| Modelname | Facoltativo | Stringa | Nome del modello. |
Campi token
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| InputTokensUsed | Facoltativo | long | Numero di token di input usati. |
| OutputTokensUsed | Facoltativo | long | Numero di token di output usati. |