ASIM(고급 보안 정보 모델) 스키마는 활동 또는 엔터티를 나타내는 필드 집합입니다. 쿼리에서 정규화된 스키마의 필드를 사용하면 쿼리가 정규화된 모든 원본에서 작동합니다.
스키마가 ASIM 아키텍처 내에서 어떻게 적합한지 이해하려면 ASIM 아키텍처 다이어그램을 참조하세요.
활동/이벤트 스키마
스키마 참조는 각 스키마를 구성하는 필드를 간략하게 설명합니다. ASIM은 현재 이벤트에 대해 다음 스키마를 정의합니다.
| 스키마 | 테스트의 스키마 이름 | 버전 | 상태 |
|---|---|---|---|
| 경고 이벤트 | AlertEvent |
0.1 | 조지아 |
| 감사 이벤트 | AuditEvent |
0.1.2 | 조지아 |
| 인증 이벤트 | Authentication |
0.1.4 | 조지아 |
| DHCP 작업 | DhcpEvent |
0.1.1 | 조지아 |
| DNS 작업 | Dns |
0.1.7 | 조지아 |
| 파일 작업 | FileEvent |
0.2.2 | 조지아 |
| 네트워크 세션 | NetworkSession |
0.2.7 | 조지아 |
| 프로세스 이벤트 | ProcessEvent |
0.1.4 | 조지아 |
| 레지스트리 이벤트 | RegistryEvent |
0.1.3 | 조지아 |
| 사용자 관리 | UserManagement |
0.1.2 | 조지아 |
| 웹 세션 | WebSession |
0.2.7 | 조지아 |
엔터티 스키마
ASIM은 현재 엔터티에 대해 다음 스키마를 정의합니다.
| 스키마 | 테스트의 스키마 이름 | 버전 | 상태 |
|---|---|---|---|
| 자산 엔터티 | AssetEntity |
0.1.0 | 조지아 |
다른 ASIM 스키마의 일부인 엔터 티는 이벤트 엔터티를 참조하세요.
필드 이름 지정
각 스키마의 핵심에는 필드 이름이 있습니다. 필드 이름은 다음 그룹에 속합니다.
- 모든 스키마에 공통된 필드입니다.
- 스키마와 관련된 필드입니다.
- 스키마에 참여하는 사용자와 같은 엔터티를 나타내는 필드입니다. 엔터티를 나타내는 필드는 스키마에서 비슷합니다.
원본에 문서화된 스키마에 표시되지 않는 필드가 있는 경우 일관성을 유지하기 위해 정규화됩니다. 추가 필드가 엔터티를 나타내는 경우 엔터티 필드 지침에 따라 정규화됩니다. 그렇지 않으면 스키마는 모든 스키마에서 일관성을 유지하기 위해 노력합니다.
예를 들어 DNS 서버 활동 로그는 사용자 정보를 제공하지 않지만 엔드포인트의 DNS 활동 로그에는 사용자 정보가 포함될 수 있으며 사용자 엔터티 지침에 따라 정규화될 수 있습니다.
공통 필드
일부 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 각 스키마는 특정 스키마의 컨텍스트에서 몇 가지 공통 필드를 사용하기 위한 지침을 추가할 수 있습니다. 예를 들어 EventType 필드에 허용되는 값은 EventSchemaVersion 필드의 값과 마찬가지로 스키마마다 다를 수 있습니다.
필드 클래스
필드에는 파서에서 필드를 구현해야 하는 시기를 정의하는 여러 클래스가 있을 수 있습니다.
- 필수 필드는 모든 파서에 표시되어야 합니다. 원본이 이 값에 대한 정보를 제공하지 않거나 데이터를 추가할 수 없는 경우 정규화된 스키마를 참조하는 대부분의 콘텐츠 항목을 지원하지 않습니다.
- 사용 가능한 경우 권장 필드를 정규화해야 합니다. 그러나 모든 원본에서 사용할 수 없는 경우도 있습니다. 정규화된 스키마를 참조하는 모든 콘텐츠 항목은 가용성을 고려해야 합니다.
- 선택적 필드(사용 가능한 경우)는 정규화되거나 원래 형식으로 남을 수 있습니다. 일반적으로 최소한의 파서는 성능상의 이유로 정규화되지 않습니다.
- 조건부 필드는 팔로우하는 필드가 채워진 경우 필수입니다. 조건부 필드는 일반적으로 다른 필드의 값을 설명하는 데 사용됩니다. 예를 들어 공용 필드 DvcIdType 은 공통 필드 DvcId 의 int 값을 설명하므로 후자가 채워진 경우 필수입니다.
- 별칭 은 조건부 필드의 특수 형식이며 별칭 필드가 채워진 경우 필수입니다.
이벤트 엔터티
이벤트는 사용자, 호스트, 프로세스 또는 파일과 같은 엔터티를 중심으로 발전합니다. 각 엔터티를 설명하기 위해 여러 필드가 필요할 수 있습니다. 예를 들어 호스트에는 이름과 IP 주소가 있을 수 있습니다.
단일 레코드에는 원본 및 대상 호스트와 같은 동일한 형식의 여러 엔터티가 포함될 수 있습니다.
ASIM은 엔터티를 일관되게 설명하는 방법을 정의하며 엔터티는 스키마를 확장할 수 있도록 허용합니다.
예를 들어 네트워크 세션 스키마에는 프로세스 정보가 포함되지 않지만 일부 이벤트 원본은 추가할 수 있는 프로세스 정보를 제공합니다. 자세한 내용은 엔터티를 참조하세요.
엔터티 기능을 사용하도록 설정하기 위해 엔터티 표현에는 다음 지침이 있습니다.
| 지침 | 설명 |
|---|---|
| 접두사 및 별칭 | 단일 이벤트에는 원본 및 대상 호스트와 같이 동일한 형식의 엔터티가 두 개 이상 포함되는 경우가 많으므로 접두사는 필드가 연결된 엔터티를 식별하는 데 사용됩니다. 정규화를 유지하기 위해 ASIM은 작은 표준 접두사 집합을 사용하여 엔터티의 특정 역할에 가장 적합한 접두사를 선택합니다. 형식의 단일 엔터티가 이벤트와 관련된 경우 접두사를 사용할 필요가 없습니다. 또한 접두사 별칭이 없는 필드 집합은 각 형식에 대해 가장 많이 사용되는 엔터티를 지정합니다. |
| 식별자 및 형식 | 정규화된 스키마를 사용하면 각 엔터티에 대해 여러 식별자를 사용할 수 있습니다. 이 식별자는 이벤트에서 공존할 것으로 예상됩니다. 원본 이벤트에 정규화된 스키마에 매핑할 수 없는 다른 엔터티 식별자가 있는 경우 원본 형식으로 유지하거나 AdditionalFields 동적 필드를 사용합니다. 식별자에 대한 형식 정보를 유지 관리하려면 해당하는 경우 형식의 이름과 접미사가 같은 필드에 형식을 저장 합니다. 예를 들어 UserIdType입니다. |
| 특성 | 엔터티에는 식별자로 사용되지 않고 설명자로 정규화될 수 있는 다른 특성이 있는 경우가 많습니다. 예를 들어 원본 사용자에게 도메인 정보가 있는 경우 정규화된 필드는 SrcUserDomain입니다. |
특정 엔터티 형식에 대한 자세한 내용은 다음을 참조하세요.
전체 엔터티 스키마에 대한 자세한 내용은 다음을 참조하세요.
별칭
별칭은 지정된 값에 대해 여러 이름을 허용합니다. 경우에 따라 다른 사용자는 필드의 이름이 다를 것으로 예상합니다. 예를 들어 DNS 용어에서 DnsQuery라는 필드가 예상되는 반면 일반적으로는 도메인 이름을 보유합니다. 별칭 도메인 은 두 이름을 모두 사용하도록 허용하여 사용자에게 도움이 됩니다.
참고
별칭은 대화형 쿼리를 사용하는 분석가를 돕기 위한 것입니다. 사용자 지정 검색, 분석 규칙 또는 통합 문서와 같은 재사용 가능한 콘텐츠에서 쿼리를 사용하는 경우 별칭이 아닌 별칭 필드를 사용합니다. 별칭 필드를 사용하면 성능이 향상되고 오류가 줄어들며 쿼리 가독성이 향상됩니다.
경우에 따라 별칭은 이벤트에서 사용할 수 있는 값에 따라 여러 필드 중 하나의 값을 가질 수 있습니다. 예를 들어 Dvc 별칭, 별칭은 DvcFQDN, DvcId, DvcHostname 또는 DvcIpAddr 또는 이벤트 제품 필드입니다. 별칭에 여러 값이 있을 수 있는 경우 가능한 모든 별칭 값을 수용하려면 해당 형식이 문자열이어야 합니다. 따라서 이러한 별칭에 값을 할당할 때 KQL 함수 토스트링을 사용하여 형식을 문자열로 변환해야 합니다.
네이티브 정규화된 테이블에 는 별칭이 포함되지 않습니다. 이는 데이터 스토리지를 중복하는 것을 의미합니다. 대신 스텁 파서는 별칭을 추가합니다. 파서에서 별칭을 구현하려면 연산자를 사용하여 원래 값의 복사본을 만듭니다 extend .
논리 형식
각 스키마 필드에는 형식이 있습니다. Log Analytics 작업 영역에는 제한된 데이터 형식 집합이 있습니다. 이러한 이유로 Microsoft Sentinel 많은 스키마 필드에 논리 형식을 사용합니다. Log Analytics는 적용하지 않지만 스키마 호환성을 위해 필요합니다. 논리적 필드 형식은 값과 필드 이름이 원본 간에 일관되도록 합니다.
| 데이터 형식 | 물리적 형식 | 형식 및 값 |
|---|---|---|
| 부울 | 부울 | 부울 값의 숫자 또는 문자열 표현 대신 기본 제공 KQL bool 데이터 형식을 사용합니다. |
| 열거 | String | 필드에 대해 명시적으로 정의된 값 목록입니다. 스키마 정의에는 허용되는 값이 나열됩니다. |
| 날짜/시간 | 수집 방법 기능에 따라 내림차순 우선 순위에서 다음 물리적 표현을 사용합니다. - Log Analytics 기본 제공 날짜/시간 유형 - Log Analytics 날짜/시간 숫자 표현을 사용하는 정수 필드입니다. - Log Analytics 날짜/시간 숫자 표현을 사용하는 문자열 필드 - 지원되는 Log Analytics 날짜/시간 형식을 저장하는 문자열 필드입니다. |
Log Analytics 날짜 및 시간 표현 은 Unix 시간 표현과 유사하지만 다릅니다. 자세한 내용은 변환 지침을 참조하세요. 참고: 해당하는 경우 표준 시간대를 조정해야 합니다. |
| MAC 주소 | String | Colon-Hexadecimal 표기법입니다. |
| IP 주소 | String | Microsoft Sentinel 스키마에는 별도의 IPv4 및 IPv6 주소가 없습니다. 모든 IP 주소 필드에는 다음과 같이 IPv4 주소 또는 IPv6 주소가 포함될 수 있습니다. - 점 소수 표기법의 IPv4입니다. - IPv6 은 86진수 표기법으로, 짧은 형식을 허용합니다. 예시: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6 짧은 형식: 1080::8:800:200C:417A |
| FQDN | String | 점 표기법을 사용하는 정규화된 도메인 이름(예: learn.microsoft.com)입니다. 자세한 내용은 디바이스 엔터티를 참조하세요. |
| 호스트 | String | FQDN이 아닌 호스트 이름은 문자, 숫자 및 하이픈을 포함하여 최대 63자를 포함합니다. 자세한 내용은 디바이스 엔터티를 참조하세요. |
| 도메인 | String | 호스트 이름이 없는 FQDN의 도메인 부분(예: learn.microsoft.com)입니다. 자세한 내용은 디바이스 엔터티를 참조하세요. |
| DomainType | 열거 | 도메인 및 FQDN 필드에 저장된 도메인의 형식입니다. 값 목록 및 자세한 내용은 디바이스 엔터티를 참조하세요. |
| DvcIdType | 열거 | DvcId 필드에 저장된 디바이스 ID의 형식입니다. 허용되는 값 목록 및 자세한 내용은 DvcIdType을 참조하세요. |
| DeviceType | 열거 | DeviceType 필드에 저장된 디바이스의 형식입니다. 가능한 값은 다음과 같습니다. - Computer- Mobile Device- IOT Device- Other. 자세한 내용은 디바이스 엔터티를 참조하세요. |
| 사용자 | String | 지원되는 형식 중 하나의 유효한 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. |
| UsernameType | 열거 | 사용자 이름 필드에 저장된 사용자 이름 형식입니다. 지원되는 값의 자세한 내용 및 목록은 사용자 엔터티를 참조하세요. |
| UserIdType | 열거 | 사용자 ID 필드에 저장된 ID의 형식입니다. 지원되는 값은 , , , , 및 입니다 SIDPUID. AWSIdOktaIdAADIDUIS 자세한 내용은 사용자 엔터티를 참조하세요. |
| UserType | 열거 | 사용자의 유형입니다. 허용되는 값에 대한 자세한 내용과 목록은 사용자 엔터티를 참조하세요. |
| AppType | 열거 | 애플리케이션의 형식입니다. 지원되는 값 목록은 애플리케이션 엔터티를 참조하세요. |
| 국가 | String | 다음 우선 순위에 따라 ISO 3166-1을 사용하는 문자열입니다. - 알파-2 코드(예: US 미국) - 알파-3 코드(예: USA 미국) - 짧은 이름입니다. 코드 목록은 ISO(국제 표준 기구) 웹 사이트에서 찾을 수 있습니다. |
| 지역 | String | ISO 3166-2를 사용하는 국가/지역 세분화 이름입니다. 코드 목록은 ISO(국제 표준 기구) 웹 사이트에서 찾을 수 있습니다. |
| 구/군/시 | String | |
| 경도 | 실수 | ISO 6709 좌표 표현(부호 있는 10진수)입니다. |
| 위도 | 실수 | ISO 6709 좌표 표현(부호 있는 10진수)입니다. |
| MD5 | String | 326진수 문자입니다. |
| SHA1 | String | 40진수 문자입니다. |
| SHA256 | String | 64진수 문자입니다. |
| Sha512 | String | 128진수 문자입니다. |
| ConfidenceLevel | 정수 | 신뢰 수준이 0에서 100 범위로 정규화되었습니다. |
| RiskLevel | 정수 | 위험 수준이 0에서 100 범위로 정규화되었습니다. |
| SchemaVersion | String | 형식의 ASIM 스키마 버전 <major>.<minor>.<sub-minor> |
| DnsQueryClassName | String | DNS 클래스 이름입니다. |
| Username | String | 단순 또는 도메인 정규화된 사용자 이름 |
샘플 엔터티 매핑
이 섹션에서는 Windows 이벤트 4624를 예제로 사용하여 이벤트 데이터가 Microsoft Sentinel 대해 정규화되는 방법을 설명합니다.
이 이벤트에는 다음 엔터티가 있습니다.
| Microsoft 용어 | 원래 이벤트 필드 접두사 | ASIM 필드 접두사 | 설명 |
|---|---|---|---|
| 제목 | Subject |
Actor |
성공적인 로그인에 대한 정보를 보고한 사용자입니다. |
| 새 로그온 | Target |
TargetUser |
로그인이 수행된 사용자입니다. |
| 프로세스 | - | ActingProcess |
로그인을 시도한 프로세스입니다. |
| 네트워크 정보 | - | Src |
로그인 시도가 수행된 컴퓨터입니다. |
이러한 엔터티에 따라 Windows 이벤트 4624 는 다음과 같이 정규화됩니다(일부 필드는 선택 사항임).
| 정규화된 필드 | 원래 필드 | 예제의 값 | 참고 사항 |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | Sid | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | 두 필드를 연결하여 빌드됨 |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | 별칭 | |
| TargetUserIdType | - | Sid | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | 두 필드를 연결하여 빌드됨 |
| Username | TargetDomainName\ TargetUserName | 별칭 | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | Ipaddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | 컴퓨터 | WIN-GG82ULGC9GO | |
| 호스트 이름 | 컴퓨터 | 별칭 |
다음 단계
이 문서에서는 Microsoft Sentinel 및 ASIM의 정규화에 대한 개요를 제공합니다.
자세한 내용은 다음 항목을 참조하세요.