Microsoft Sentinel 자산 엔터티 스키마는 다양한 제품의 자산을 ASIM(Microsoft Advanced Security Information Model) 내에서 표준화된 형식으로 정규화하도록 설계되었습니다. 이 스키마는 비 Microsoft 데이터 원본의 자산에만 중점을 두어 일관되고 효율적인 분석을 보장합니다.
자산은 파일 또는 사이트와 같이 organization 저장, 처리 또는 관리하는 모든 데이터 리소스입니다. 각 자산은 소유권, 권한, 민감도 분류 및 위험 지표를 비롯한 보안 관련 메타데이터를 전달합니다. 자산은 광범위한 플랫폼, 데이터베이스, 클라우드 스토리지 서비스, SaaS 애플리케이션 및 온-프레미스 시스템에서 시작되며 전체 인벤토리 스냅샷 또는 증분 변경 피드로 수집됩니다.
Microsoft Sentinel 자산 데이터를 공통 스키마로 정규화함으로써 보안 팀이 일관된 방식으로 다양한 데이터 원본에서 자산 정보를 분석하고 상호 연결할 수 있습니다. 스키마의 주요 필드에는 자산 고유 식별, 파일 또는 사이트와 같은 자산 종류 구분, AssetType 소유권 추적, AssetSensitivityLabelAssetOriginalDataClassificationTypeAssetOwnerId 데이터 분류 컨텍스트EntityFeedType, 레코드가 전체 인벤토리 스냅샷 또는 증분 변경인지 여부를 나타내는 및 가 포함 EntityIdEntityName 됩니다. 이 통합 표현은 Microsoft Purview 데이터 보안 태세 관리(DSPM)와 같은 통합을 통해 초과 공유된 중요한 파일 식별, 권한 변경 내용 추적, 보호되지 않은 자산 검색 및 전체 데이터 자산에 대한 위험 표시와 같은 다운스트림 시나리오를 지원합니다.
스키마를 사용하면 Microsoft Purview DSPM Microsoft 및 파트너 플랫폼에서 데이터 보안 상태를 관리할 수 있습니다. 자세한 내용은 DSPM 파트너 에코시스템을 소개하는 Ignite 2025 공지 사항을 참조하세요.
Microsoft Sentinel 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
파서
ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요.
파서 통합
모든 ASIM 기본 파서를 통합하는 파서를 사용하고 구성된 모든 원본에서 분석이 실행되도록 하려면 파서를 사용합니다 _Im_AssetEntity .
정규화된 자체 파서 추가
Asset Entity 스키마에 대한 사용자 지정 파서를 개발할 때 다음 구문을 사용하여 KQL 함수의 이름을 지정합니다.
-
vimAssetEntity<vendor><Product>매개 변수가 있는 파서의 경우 -
ASimAssetEntity<vendor><Product>일반 파서용
통합 파서에 사용자 지정 파서를 추가하는 방법을 알아보려면 ASIM 파서 관리 문서를 참조하세요.
파서 매개 변수 필터링
Asset Entity 파서는 쿼리 성능을 향상시키기 위해 다양한 필터링 매개 변수 를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다. 다음 필터링 매개 변수를 사용할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| Starttime | datetime | 이 시간 이후에 수집된 자산만 필터링합니다. 이 매개 변수는 EntityIngestionTime 자산 시간의 표준 지정자인 필드를 필터링합니다. |
| Endtime | datetime | 이 시간 또는 그 이전에 수집된 자산만 필터링합니다. 이 매개 변수는 EntityIngestionTime 자산 시간의 표준 지정자인 필드를 필터링합니다. |
| entityid_has_any | 동적 | 나열된 값 중 하나에 'EntityId' 필드가 있는 자산만 필터링합니다. |
| entityname_has_any | 동적 | 나열된 값 중 하나에 'EntityName' 필드가 있는 자산만 필터링합니다. |
| assettype_in | 문자열 | 'AssetType' 필드가 매개 변수 값과 같은 자산만 필터링합니다. |
| path_has_any | 동적 | 'FilePath' 또는 'SitePath' 필드가 나열된 값 중 하나에 있는 자산만 필터링합니다. |
| assetowner_has_any | 동적 | 'AssetOwner' 또는 'AdditionalAssetOwners' 필드가 나열된 값 중 하나에 있는 자산만 필터링합니다. |
| entitysource_has_any | 동적 | 'EntitySource' 필드가 나열된 값 중 하나에 있는 자산만 필터링합니다. |
스키마 세부 정보
일반적인 ASIM 엔터티 필드
다음 목록에서는 자산 엔터티에 대한 특정 지침과 함께 엔터티 스키마에 대한 필드를 설명합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| EntityUpdatedTime | 필수 | datetime | 엔터티가 원본에서 업데이트되거나 수집된 시점의 타임스탬프(UTC)입니다. |
| EntityIngestionTime | 옵션 | datetime | 수집 파이프라인이 자산 로그를 수신하는 경우의 타임스탬프(UTC)입니다. |
| EntityId | 필수 | 문자열 | 자산의 고유 식별자입니다. |
| EntityOriginalId | 옵션 | 문자열 | 'EntityId'가 다른 경우 원본에 있는 자산의 고유 식별자입니다. |
| EntityName | 필수 | 문자열 | 엔터티의 이름입니다. |
| EntityNameType | 권장 | 문자열 | 엔터티 이름의 형식입니다. |
| EntityVendor | 필수 | 문자열 | 엔터티를 보고한 공급업체 또는 공급자입니다. |
| EntitySource | 필수 | 열거 | 엔터티 레코드를 제공한 데이터 원본 또는 커넥터입니다. 지원 원본은 다음과 같습니다. - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- Other원본이 나열되지 않은 경우 를 사용합니다 Other . |
| EntityOriginalSource | 옵션 | 문자열 | 원본이 현재 지원되지 않는 경우 엔터티 레코드를 제공한 원래 데이터 원본 또는 커넥터입니다. |
| EntityProduct | 필수 | 문자열 | 엔터티를 보고한 원본과 연결된 제품 이름입니다. |
| EntitySubProduct | 필수 | 문자열 | 엔터티를 보고한 원본과 연결된 하위 제품 또는 구성 요소 이름입니다. |
| EntityCreatedTime | 필수 | datetime | 원본 시스템에서 엔터티를 처음 만든 시점의 타임스탬프(UTC)입니다. |
| EntityLastAccessedTime | 옵션 | datetime | 엔터티가 마지막으로 액세스된 시점의 타임스탬프(UTC)입니다. |
| EntityLastModifiedTime | 필수 | datetime | 원본 시스템에서 엔터티가 마지막으로 수정된 시점의 타임스탬프(UTC)입니다. |
| EntityIsDeleted | 옵션 | bool | 원본 시스템에서 엔터티가 삭제되었는지 여부를 나타냅니다. |
| EntityFeedType | 필수 | 열거 | 엔터티 레코드를 제공한 데이터 피드의 형식 또는 범주입니다. 허용되는 값은 또는 Changefeed입니다Snapshot. |
| EntitySchema | 필수 | 열거 | 엔터티에 사용되는 스키마입니다. 여기에 설명된 스키마는 입니다 Asset. |
| EntitySchemaVersion | 필수 | SchemaVersion(문자열) | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 입니다 0.1.0. |
자산 소유자 필드
이 섹션에서는 자산 소유자에 대한 정보를 정의합니다. 자산에 여러 소유자가 있는 경우 필드 AssetOwnerId 와 AdditionalAssetOwners를 모두 채웁다.
AdditionalAssetOwners 는 문자열의 배열이어야 하며 문자열은 과 동일한 형식 AssetOwnerId이어야 합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| AssetOwnerId | 필수 | 문자열 | 컴퓨터에서 읽을 수 있는 영숫자이며 행위자의 고유한 표현입니다. 자세한 내용 및 다른 ID에 대한 대체 필드는 사용자 엔터티를 참조하세요. |
| AssetOwnerIdType | 권장 | 문자열 | 자산 소유자 식별자의 형식 또는 형식입니다. 이는 이벤트 스키마와 유사 UserIdType 합니다. 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의UserIdType을 참조하세요. |
| AssetOwnerType | 옵션 | 문자열 | 자산 소유자의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserType을 참조하세요. |
| AssetOwnerScope | 옵션 | 문자열 | 자산 소유자가 속한 조직 또는 관리 scope. |
| AssetOwnerScopeId | 옵션 | 문자열 | 자산 소유자가 속한 scope 식별자입니다. |
| AdditionalAssetOwners | 옵션 | 동적 | 자산과 연결된 추가 소유자 또는 공동 소유자의 동적 컬렉션입니다. 문자열 배열이어야 합니다. |
자산 메타데이터 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| AADTenantId | 필수 | 문자열 | 자산 또는 엔터티와 연결된 Azure Active Directory 테넌트 식별자입니다. |
| IdentityDirectoryName | 옵션 | 문자열 | 엔터티와 연결된 Azure AD, GCP, AWS와 같은 ID 디렉터리의 이름입니다. |
| IdentityDirectoryId | 필수 | 문자열 | 엔터티와 연결된 ID 디렉터리의 식별자입니다. |
| AdditionalFields | 옵션 | 동적 | 스키마의 다른 필드에 의해 캡처되지 않은 엔터티에 대한 추가 정보입니다. |
자산 형식 필드
이 섹션에서는 자산 유형에 대한 정보를 정의합니다. 지원되는 현재 형식은 및 Site입니다File. 자산의 형식의 추가 속성을 채워야 합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| AssetType | 필수 | 문자열 | 자산의 상위 수준 형식입니다. 허용되는 값과 지원되는 값은 , Site입니다File. |
| AssetOriginalType | 권장 | 문자열 | 원본에 있는 자산의 상위 수준 형식의 원래 이름입니다. |
자산 보안 필드
이 섹션에서는 원본 권한, 민감도 및 데이터 분류 세부 정보, DLP 보호 상태, 관련 위협 지표 및 마지막 분류 검사 시간을 포함하여 자산의 보안 태세 및 노출 컨텍스트를 캡처합니다. 또한 잠재적 노출을 평가하는 데 도움이 되는 내부 및 외부 사용자 액세스 횟수가 포함됩니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| AssetOriginalPermissions | 옵션 | 동적 | 원본 시스템에서 보고한 대로 자산에 할당된 원래 권한 집합입니다. |
| AssetSensitivityLabel | 필수 | 문자열 | 자산에 적용된 민감도 레이블입니다. 허용되는 값은 , , Public, General, ConfidentialHighly Confidential입니다Personal. |
| AssetOriginalSensitivityLevel | 옵션 | 문자열 | 정규화 전 원본 시스템에서 보고한 민감도 수준입니다. |
| AssetIsProtectedByDlp | 옵션 | bool | 자산이 DLP(데이터 손실 방지) 정책으로 보호되는지 여부를 나타냅니다. |
| AssetRelatedIndicators | 옵션 | 동적 | 자산과 관련된 위협 지표 또는 신호의 동적 컬렉션입니다. |
| AssetOriginalDataClassificationType | 필수 | 동적 | 원본 시스템에서 보고한 대로 자산에 할당된 원래 데이터 분류 유형입니다. 문자열의 배열이어야 합니다*. |
| AssetClassificationLastScanDateTime | 필수 | datetime | 자산이 마지막으로 데이터 분류를 검사한 시점의 타임스탬프(UTC)입니다. |
| InternalUsersCount | 옵션 | int | 자산에 연결되거나 액세스 권한이 있는 내부 사용자 수입니다. |
| ExternalUsersCount | 옵션 | int | 자산에 연결되거나 액세스 권한이 있는 외부 사용자의 수입니다. |
자산 위험 필드
이 섹션에서는 정규화 및 원본 보고 위험 이름 및 수준, 첫 번째 및 마지막 보고서 타임스탬프, 공급자별 위험 세부 정보를 포함하여 자산에 대한 위험 컨텍스트를 캡처합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| AssetRiskName | 옵션 | 문자열 | 자산과 관련된 위험 또는 위협의 정규화된 이름입니다. |
| AssetRiskLevel | 옵션 | 열거 | 자산에 할당된 정규화된 위험 수준입니다. 허용되는 값은 , , Low, Medium, High, CriticalOther입니다Info. |
| AssetOriginalRiskLevel | 옵션 | 문자열 | 정규화 전에 원본 시스템에서 보고한 자산에 할당된 위험 수준입니다. |
| AssetRiskFirstReportedTime | 옵션 | datetime | 자산과 관련된 위험이 처음 보고된 시점의 타임스탬프(UTC)입니다. |
| AssetRiskLastReportedTime | 옵션 | datetime | 자산과 관련된 위험이 가장 최근에 보고된 시점의 타임스탬프(UTC)입니다. |
| AssetOriginalRiskDetails | 옵션 | 동적 | 원본 시스템에서 제공하는 자산에 대한 전체 위험 세부 정보입니다. |
파일(자산 형식) 필드
이 섹션에서는 파일별 자산 속성을 캡처합니다. 이 File인 경우 AssetType 속성을 채워야 합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Filepath | 옵션 | 문자열 | 자산과 연결된 파일의 전체 경로입니다. |
| Filesize | 옵션 | long | 파일의 크기(바이트)입니다. |
| FileMD5 | 옵션 | 문자열 | 자산과 연결된 파일의 MD5 해시입니다. |
| FileSHA1 | 옵션 | 문자열 | 자산과 연결된 파일의 SHA-1 해시입니다. |
| FileSHA256 | 옵션 | 문자열 | 자산과 연결된 파일의 SHA-256 해시입니다. |
| FileSHA512 | 옵션 | 문자열 | 자산과 연결된 파일의 SHA-512 해시입니다. |
| FileExtension | 옵션 | 문자열 | 자산과 연결된 파일의 파일 확장명(예: .exe 또는 .pdf)입니다. |
| FileIsSignatureValid | 옵션 | bool | 파일의 디지털 서명이 유효한지 여부를 나타냅니다. |
| FileSignatureDetails | 옵션 | 문자열 | 서명자 또는 인증서 정보와 같은 파일의 디지털 서명에 대한 세부 정보입니다. |
사이트(자산 유형) 필드
이 섹션에서는 Sharepoint 사이트 자산에 대한 사이트별 위치 속성을 캡처합니다. 이 Site인 경우 AssetType 속성을 채워야 합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| SitePath | 옵션 | 문자열 | 자산과 연결된 사이트 또는 스토리지 위치의 경로입니다. |
| SitePrimaryUri | 옵션 | 문자열 | 자산과 연결된 사이트 또는 스토리지 위치의 기본 URI입니다. |
별칭
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| AssetPath | 별칭 | 문자열 | 또는 의 FilePath 별칭입니다. SitePath |
| 사용자 | 별칭 | 문자열 | 의 별칭입니다 AssetOwnerId. |
스키마 업데이트
스키마의 다양한 버전에서 변경된 내용은 다음과 같습니다.
- 버전 0.1.0: 초기 릴리스.
다음 단계
자세한 내용은 다음을 참조하세요.