你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel资产实体架构旨在将各种产品中的资产规范化为Microsoft高级安全信息模型 (ASIM) 的标准化格式。 此架构仅侧重于非Microsoft数据源中的资产,确保分析一致且高效。
资产是组织存储、处理或管理的任何数据资源,例如文件或站点。 每个资产都包含与安全相关的元数据,包括所有权、权限、敏感度分类和风险指标。 资产可以源自各种平台、数据库、云存储服务、SaaS 应用程序和本地系统,并作为完整清单快照或增量更改源收集。
通过将资产数据规范化为通用架构,Microsoft Sentinel使安全团队能够以一致的方式分析和关联不同数据源的资产信息。 架构中的关键字段包括 EntityId 和 EntityName ,用于唯一标识资产、AssetType区分资产类型(如文件或站点)、AssetOwnerId跟踪所有权AssetSensitivityLabel和数据AssetOriginalDataClassificationType分类上下文,以及EntityFeedType指示记录是完整清单快照还是增量更改。 这种统一表示形式为下游方案提供支持,例如识别过度共享的敏感文件、跟踪权限更改、检测未受保护的资产,以及通过集成(如Microsoft Purview 数据安全状况管理 (DSPM) )在整个数据资产中显示风险。
使用该架构,Microsoft Purview DSPM可以跨Microsoft和合作伙伴平台管理数据安全态势。 有关详细信息,请参阅 Ignite 2025 公告介绍DSPM合作伙伴生态系统。
有关Microsoft Sentinel规范化的详细信息,请参阅规范化和高级安全信息模型 (ASIM) 。
解析 器
有关 ASIM 分析程序的详细信息,请参阅 ASIM 分析程序概述。
统一分析器
若要使用统一所有 ASIM 现成分析程序的分析程序,并确保分析跨所有配置的源运行,请使用 _Im_AssetEntity 分析程序。
添加自己的规范化分析程序
为资产实体架构 开发自定义分析程序 时,使用以下语法命名 KQL 函数:
-
vimAssetEntity<vendor><Product>用于参数化分析程序 -
ASimAssetEntity<vendor><Product>用于常规分析程序
请参阅 管理 ASIM 分析程序 一文,了解如何将自定义分析程序添加到统一分析程序。
筛选分析程序参数
资产实体分析程序支持各种 筛选参数 以提高查询性能。 这些参数是可选的,但可以提高查询性能。 以下筛选参数可用:
| 名称 | 类型 | 说明 |
|---|---|---|
| starttime | datetime | 仅筛选在此时间或之后引入的资产。 此参数对 EntityIngestionTime 字段进行筛选,字段是资产时间的标准指示符。 |
| endtime | datetime | 仅筛选在此时间或之前引入的资产。 此参数对 EntityIngestionTime 字段进行筛选,字段是资产时间的标准指示符。 |
| entityid_has_any | 动态 | 仅筛选其中一个所列值中 “EntityId” 字段的资产。 |
| entityname_has_any | 动态 | 仅筛选其中一个所列值中 “EntityName” 字段的资产。 |
| assettype_in | string | 仅筛选 其“AssetType” 字段等于参数值的资产。 |
| path_has_any | 动态 | 仅筛选 “FilePath” 或 “SitePath” 字段位于所列值之一的资产。 |
| assetowner_has_any | 动态 | 仅筛选 其中“AssetOwner” 或 “AdditionalAssetOwners” 字段位于所列值之一的资产。 |
| entitysource_has_any | 动态 | 仅筛选其中一个所列值中 “EntitySource” 字段的资产。 |
架构详细信息
常见 ASIM 实体字段
以下列表提到了实体架构的字段及其针对资产实体的特定准则:
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| EntityUpdatedTime | 强制 | datetime | 时间戳 (UTC) 在源中更新或收集实体的时间。 |
| EntityIngestionTime | 可选 | datetime | 引入管道接收资产日志时 (UTC) 时间戳。 |
| entityId | 强制 | string | 资产的唯一标识符。 |
| EntityOriginalId | 可选 | string | 源中资产的唯一标识符(如果它与 “EntityId”不同)。 |
| EntityName | 强制 | string | 实体的名称。 |
| EntityNameType | 建议 | string | 实体名称的类型。 |
| EntityVendor | 强制 | string | 报告实体的供应商或提供商。 |
| EntitySource | 强制 | 枚举 | 提供实体记录的数据源或连接器。 支持源包括: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- Other如果未列出源,请使用 Other 。 |
| EntityOriginalSource | 可选 | string | 提供实体记录的原始数据源或连接器(如果当前不支持该源)。 |
| EntityProduct | 强制 | string | 与报告实体的源关联的产品名称。 |
| EntitySubProduct | 强制 | string | 与报告实体的源关联的子产品或组件名称。 |
| EntityCreatedTime | 强制 | datetime | 最初在源系统中创建实体的时间戳 (UTC) 。 |
| EntityLastAccessedTime | 可选 | datetime | 上次访问实体的时间戳 (UTC) 。 |
| EntityLastModifiedTime | 强制 | datetime | 时间戳 (UTC) 上次在源系统中修改实体的时间。 |
| EntityIsDeleted | 可选 | 布尔值 | 指示是否已在源系统中删除实体。 |
| EntityFeedType | 强制 | 枚举 | 提供实体记录的数据馈送的类型或类别。 允许的值为: Snapshot 或 Changefeed。 |
| EntitySchema | 强制 | 枚举 | 用于实体的架构。 此处记录的架构为 Asset。 |
| EntitySchemaVersion | 强制 | SchemaVersion (String) | 架构的版本。 此处记录的架构版本为 0.1.0。 |
资产所有者字段
本部分定义有关资产所有者的信息。 如果资产有多个所有者,请同时填充字段 AssetOwnerId 和 AdditionalAssetOwners。
AdditionalAssetOwners 应为字符串数组,并且字符串的格式必须与 相同 AssetOwnerId。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| AssetOwnerId | 强制 | string | Actor 的计算机可读字母数字唯一表示形式。 有关详细信息,以及有关其他 ID 的备用字段,请参阅 User 实体。 |
| AssetOwnerIdType | 建议 | string | 资产所有者标识符的类型或格式。 这类似于 UserIdType 事件架构中的 。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserIdType。 |
| AssetOwnerType | 可选 | string | 资产所有者的类型。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserType。 |
| AssetOwnerScope | 可选 | string | 资产所有者所属的组织或管理范围。 |
| AssetOwnerScopeId | 可选 | string | 资产所有者所属范围的标识符。 |
| AdditionalAssetOwners | 可选 | 动态 | 与资产关联的其他所有者或共同所有者的动态集合。 这必须是 字符串数组。 |
资产元数据字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| AADTenantId | 强制 | string | 与资产或实体关联的Azure Active Directory 租户标识符。 |
| IdentityDirectoryName | 可选 | string | 与实体关联的标识目录的名称,例如 Azure AD、GCP、AWS。 |
| IdentityDirectoryId | 强制 | string | 与实体关联的标识目录的标识符。 |
| AdditionalFields | 可选 | 动态 | 有关架构中的其他字段未捕获的实体的其他信息。 |
资产类型字段
本部分定义有关资产类型的信息。 当前支持的类型是 File 和 Site。 应填充资产类型的附加属性。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| AssetType | 强制 | string | 资产的高级类型。 允许的和支持的值为: File、 Site。 |
| AssetOriginalType | 建议 | string | 源中资产的高级类型的原始名称。 |
资产安全字段
本部分捕获资产的安全状况和暴露上下文,包括源权限、敏感度和数据分类详细信息、DLP 保护状态、相关威胁指标以及上次分类扫描时间。 它还包括内部和外部用户访问计数,以帮助评估潜在的风险。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| AssetOriginalPermissions | 可选 | 动态 | 分配给资产的原始权限集,由源系统报告。 |
| AssetSensitivityLabel | 强制 | string | 应用于资产的敏感度标签。 允许的值为:Personal、、Public、General、ConfidentialHighly Confidential。 |
| AssetOriginalSensitivityLevel | 可选 | string | 规范化前源系统报告的敏感度级别。 |
| AssetIsProtectedByDlp | 可选 | 布尔值 | 指示资产是否受数据丢失防护 (DLP) 策略的保护。 |
| AssetRelatedIndicators | 可选 | 动态 | 与资产相关的威胁指示器或信号的动态集合。 |
| AssetOriginalDataClassificationType | 强制 | 动态 | 原始数据分类类型 () 分配给源系统报告的资产。 这必须是 字符串数组*。 |
| AssetClassificationLastScanDateTime | 强制 | datetime | 时间戳 (UTC) 上次扫描资产进行数据分类的时间。 |
| InternalUsersCount | 可选 | int | 与资产关联或有权访问资产的内部用户数。 |
| ExternalUsersCount | 可选 | int | 与资产关联或有权访问资产的外部用户数。 |
资产风险字段
本部分捕获资产的风险上下文,包括规范化和源报告的风险名称和级别、第一个和最后一个报告时间戳,以及特定于提供程序的风险详细信息。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| AssetRiskName | 可选 | string | 与资产关联的风险或威胁的规范化名称。 |
| AssetRiskLevel | 可选 | 枚举 | 分配给资产的规范化风险级别。 允许的值为:Info、、Low、MediumHigh、Critical、Other。 |
| AssetOriginalRiskLevel | 可选 | string | 在规范化之前,由源系统报告分配给资产的风险级别。 |
| AssetRiskFirstReportedTime | 可选 | datetime | 时间戳 (UTC) 首次报告与资产关联的风险的时间。 |
| AssetRiskLastReportedTime | 可选 | datetime | 时间戳 (UTC) 最近报告与资产关联的风险的时间。 |
| AssetOriginalRiskDetails | 可选 | 动态 | 源系统提供的资产的完整风险详细信息。 |
文件 (资产类型) 字段
本部分捕获特定于文件的资产属性。 如果 为 File,AssetType则应填充属性。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| FilePath | 可选 | string | 与资产关联的文件的完整路径。 |
| FileSize | 可选 | long | 文件的大小(以字节为单位)。 |
| FileMD5 | 可选 | string | 与资产关联的文件的 MD5 哈希。 |
| FileSHA1 | 可选 | string | 与资产关联的文件的 SHA-1 哈希。 |
| FileSHA256 | 可选 | string | 与资产关联的文件的 SHA-256 哈希。 |
| FileSHA512 | 可选 | string | 与资产关联的文件的 SHA-512 哈希。 |
| FileExtension | 可选 | string | 与资产关联的文件的文件扩展名,例如 .exe 或 .pdf。 |
| FileIsSignatureValid | 可选 | 布尔值 | 指示文件的数字签名是否有效。 |
| FileSignatureDetails | 可选 | string | 有关文件的数字签名的详细信息,例如签名者或证书信息。 |
网站 (资产类型) 字段
本部分捕获 sharepoint 网站资产的特定于网站的位置属性。 如果 为“站点”,AssetType则应填充属性。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| SitePath | 可选 | string | 与资产关联的站点或存储位置的路径。 |
| SitePrimaryUri | 可选 | string | 与资产关联的站点或存储位置的主 URI。 |
别名
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| AssetPath | 别名 | string | 或 的 FilePath 别名 SitePath |
| 用户 | 别名 | string | 的 AssetOwnerId别名。 |
架构更新
下面是各种架构版本中的更改:
- 版本 0.1.0:初始版本。
后续步骤
有关更多信息,请参阅: