Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il Microsoft Sentinel Asset Entity Schema è progettato per normalizzare gli asset di vari prodotti in un formato standardizzato all'interno di Microsoft Advanced Security Information Model (ASIM). Questo schema è incentrato esclusivamente sugli asset in origini dati non Microsoft, garantendo un'analisi coerente ed efficiente.
Un asset è qualsiasi risorsa dati che un'organizzazione archivia, elabora o gestisce, ad esempio un file o un sito. Ogni asset include metadati rilevanti per la sicurezza, tra cui proprietà, autorizzazioni, classificazioni di riservatezza e indicatori di rischio. Gli asset possono provenire da un'ampia gamma di piattaforme, database, servizi di archiviazione cloud, applicazioni SaaS e sistemi locali e vengono raccolti come snapshot di inventario completi o feed di modifiche incrementali.
Normalizzando i dati degli asset in uno schema comune, Microsoft Sentinel consente ai team di sicurezza di analizzare e correlare le informazioni sugli asset tra origini dati diverse in modo coerente. I campi chiave nello schema includono EntityId e EntityName per identificare in modo univoco gli asset, AssetType per distinguere tra i tipi di asset, ad esempio File o Sito, AssetOwnerId per tenere traccia della proprietà AssetSensitivityLabel e AssetOriginalDataClassificationType per il contesto di classificazione dei dati e EntityFeedType per indicare se un record è uno snapshot di inventario completo o una modifica incrementale. Questa rappresentazione unificata alimenta gli scenari downstream, ad esempio l'identificazione di file sensibili sovracondivisi, il rilevamento delle modifiche delle autorizzazioni, il rilevamento di asset non protetti e il rischio di visualizzazione nell'intero patrimonio dati tramite integrazioni come Gestione della postura di sicurezza dei dati di Microsoft Purview (DSPM).
L'utilizzo dello schema consente a Microsoft Purview DSPM di gestire il comportamento di sicurezza dei dati nelle piattaforme Microsoft e partner. Per altre informazioni, vedere l'annuncio di Ignite 2025 che introduce l'ecosistema di partner DSPM.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).
Parser
Per altre informazioni sui parser ASIM, vedere panoramica dei parser ASIM.
Unificazione dei parser
Per usare parser che unificano tutti i parser predefiniti di ASIM e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare il _Im_AssetEntity parser.
Aggiungere i propri parser normalizzati
Quando si sviluppano parser personalizzati per lo schema dell'entità asset, assegnare un nome alle funzioni KQL usando la sintassi seguente:
-
vimAssetEntity<vendor><Product>per i parser con parametri -
ASimAssetEntity<vendor><Product>per i parser regolari
Per informazioni su come aggiungere i parser personalizzati ai parser unificanti, vedere l'articolo Gestione dei parser ASIM .
Filtro dei parametri del parser
I parser di entità asset supportano vari parametri di filtro per migliorare le prestazioni delle query. Questi parametri sono facoltativi, ma possono migliorare le prestazioni delle query. Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| Starttime | datetime | Filtrare solo gli asset che sono stati inseriti in corrispondenza o dopo questo periodo di tempo. Questo parametro filtra il EntityIngestionTime campo, ovvero l'indicatore standard per l'ora dell'asset. |
| Endtime | datetime | Filtrare solo gli asset che sono stati inseriti in corrispondenza o prima di questo momento. Questo parametro filtra il EntityIngestionTime campo, ovvero l'indicatore standard per l'ora dell'asset. |
| entityid_has_any | Dinamico | Filtrare solo gli asset per i quali il campo 'EntityId' si trova in uno dei valori elencati. |
| entityname_has_any | Dinamico | Filtrare solo gli asset per i quali il campo 'EntityName' si trova in uno dei valori elencati. |
| assettype_in | stringa | Filtrare solo gli asset per i quali il campo 'AssetType' è uguale al valore del parametro. |
| path_has_any | Dinamico | Filtrare solo gli asset per i quali il campo 'FilePath' o 'SitePath' si trova in uno dei valori elencati. |
| assetowner_has_any | Dinamico | Filtrare solo gli asset per i quali il campo 'AssetOwner' o 'AdditionalAssetOwners' si trova in uno dei valori elencati. |
| entitysource_has_any | Dinamico | Filtrare solo gli asset per i quali il campo 'EntitySource' si trova in uno dei valori elencati. |
Dettagli dello schema
Campi comuni delle entità ASIM
L'elenco seguente elenca i campi per uno schema di entità insieme alle linee guida specifiche per le entità asset:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EntityUpdatedTime | Obbligatorio | datetime | Timestamp (UTC) di quando l'entità è stata aggiornata o raccolta nell'origine. |
| EntityIngestionTime | Facoltativo | datetime | Timestamp (UTC) di quando la pipeline di inserimento riceve il log degli asset. |
| EntityId | Obbligatorio | stringa | Identificatore univoco dell'asset. |
| EntityOriginalId | Facoltativo | stringa | Identificatore univoco dell'asset nell'origine se è diverso da "EntityId". |
| EntityName | Obbligatorio | stringa | Nome dell'entità. |
| EntityNameType | Consigliata | stringa | Tipo del nome dell'entità. |
| EntityVendor | Obbligatorio | stringa | Fornitore o provider che ha segnalato l'entità. |
| EntitySource | Obbligatorio | Enumerato | Origine dati o connettore che ha fornito il record di entità. Le origini di supporto includono: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherUsare Other se l'origine non è elencata. |
| EntityOriginalSource | Facoltativo | stringa | Origine dati o connettore originale che ha fornito il record di entità, se l'origine non è attualmente supportata. |
| EntityProduct | Obbligatorio | stringa | Nome del prodotto associato all'origine che ha segnalato l'entità. |
| EntitySubProduct | Obbligatorio | stringa | Nome del sottoprodotto o del componente associato all'origine che ha segnalato l'entità. |
| EntityCreatedTime | Obbligatorio | datetime | Timestamp (UTC) di quando l'entità è stata originariamente creata nel sistema di origine. |
| EntityLastAccessedTime | Facoltativo | datetime | Timestamp (UTC) di quando è stato eseguito l'ultimo accesso all'entità. |
| EntityLastModifiedTime | Obbligatorio | datetime | Timestamp (UTC) di quando l'entità è stata modificata per l'ultima volta nel sistema di origine. |
| EntityIsDeleted | Facoltativo | bool | Indica se l'entità è stata eliminata nel sistema di origine. |
| EntityFeedType | Obbligatorio | Enumerato | Tipo o categoria del feed di dati che ha fornito il record di entità. I valori consentiti sono: Snapshot o Changefeed. |
| EntitySchema | Obbligatorio | Enumerato | Schema usato per l'entità. Lo schema documentato qui è Asset. |
| EntitySchemaVersion | Obbligatorio | SchemaVersion (String) | Versione dello schema. La versione dello schema documentata qui è 0.1.0. |
Campi del proprietario dell'asset
Questa sezione definisce le informazioni sul proprietario dell'asset. Se l'asset ha più proprietari, popolare sia i campi AssetOwnerIdAdditionalAssetOwnersche .
AdditionalAssetOwners deve essere una matrice di stringhe e le stringhe devono avere lo stesso formato di AssetOwnerId.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetOwnerId | Obbligatorio | stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'attore. Per altre informazioni e per i campi alternativi per altri ID, vedere L'entità Utente. |
| AssetOwnerIdType | Consigliata | stringa | Tipo o formato dell'identificatore del proprietario dell'asset. Ciò è analogo a in UserIdType Schemi eventi. Per altre informazioni e l'elenco dei valori consentiti, vedere UserIdTypenell'articolo Panoramica dello schema. |
| AssetOwnerType | Facoltativo | stringa | Tipo di proprietario dell'asset. Per altre informazioni ed elenco dei valori consentiti, vedere UserTypenell'articolo Panoramica dello schema. |
| AssetOwnerScope | Facoltativo | stringa | Ambito aziendale o amministrativo a cui appartiene il proprietario dell'asset. |
| AssetOwnerScopeId | Facoltativo | stringa | Identificatore dell'ambito a cui appartiene il proprietario dell'asset. |
| AdditionalAssetOwners | Facoltativo | Dinamico | Raccolta dinamica di altri proprietari o comproprietari associati all'asset. Deve essere una matrice di stringhe. |
Campi dei metadati degli asset
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AADTenantId | Obbligatorio | stringa | Il Azure identificatore del tenant di Active Directory associato all'asset o all'entità. |
| IdentityDirectoryName | Facoltativo | stringa | Nome della directory identity, ad esempio Azure AD, GCP, AWS, associato all'entità. |
| IdentityDirectoryId | Obbligatorio | stringa | Identificatore della directory identity associata all'entità. |
| AdditionalFields | Facoltativo | Dinamico | Informazioni aggiuntive sull'entità che non viene acquisita da altri campi nello schema. |
Campi tipo di asset
Questa sezione definisce le informazioni sul tipo di asset. I tipi correnti supportati sono File e Site. Le proprietà aggiuntive del tipo di asset devono essere popolate.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetType | Obbligatorio | stringa | Tipo generale dell'asset. I valori consentiti e supportati sono: File, Site. |
| AssetOriginalType | Consigliata | stringa | Nome originale del tipo di alto livello dell'asset nell'origine. |
Campi di sicurezza degli asset
Questa sezione acquisisce il comportamento di sicurezza e il contesto di esposizione dell'asset, incluse le autorizzazioni di origine, i dettagli di riservatezza e classificazione dei dati, lo stato di protezione DLP, gli indicatori di minaccia correlati e l'ultimo tempo di analisi della classificazione. Include anche i conteggi degli accessi degli utenti interni ed esterni per valutare la potenziale esposizione.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetOriginalPermissions | Facoltativo | Dinamico | Set di autorizzazioni originale assegnato all'asset come indicato dal sistema di origine. |
| AssetSensitivityLabel | Obbligatorio | stringa | Etichetta di riservatezza applicata all'asset. I valori consentiti sono: Personal, Public, General, Confidential, . Highly Confidential |
| AssetOriginalSensitivityLevel | Facoltativo | stringa | Livello di riservatezza segnalato dal sistema di origine, prima della normalizzazione. |
| AssetIsProtectedByDlp | Facoltativo | bool | Indica se l'asset è protetto da criteri di prevenzione della perdita dei dati. |
| AssetRelatedIndicators | Facoltativo | Dinamico | Raccolta dinamica di indicatori o segnali di minaccia correlati all'asset. |
| AssetOriginalDataClassificationType | Obbligatorio | Dinamico | Tipi di classificazione dei dati originali assegnati all'asset come indicato dal sistema di origine. Deve essere una matrice di stringhe*. |
| AssetClassificationLastScanDateTime | Obbligatorio | datetime | Timestamp (UTC) di quando l'asset è stato analizzato per l'ultima volta per la classificazione dei dati. |
| InternalUsersCount | Facoltativo | int | Numero di utenti interni associati o con accesso all'asset. |
| ExternalUsersCount | Facoltativo | int | Numero di utenti esterni associati o con accesso all'asset. |
Campi di rischio degli asset
Questa sezione acquisisce il contesto di rischio per l'asset, inclusi i nomi e i livelli di rischio normalizzati e segnalati dall'origine, i timestamp del primo e dell'ultimo report e i dettagli dei rischi specifici del provider.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetRiskName | Facoltativo | stringa | Nome normalizzato del rischio o della minaccia associato all'asset. |
| AssetRiskLevel | Facoltativo | Enumerato | Livello di rischio normalizzato assegnato all'asset. I valori consentiti sono: Info, Low, Medium, High, Critical, Other. |
| AssetOriginalRiskLevel | Facoltativo | stringa | Livello di rischio assegnato all'asset come indicato dal sistema di origine, prima della normalizzazione. |
| AssetRiskFirstReportedTime | Facoltativo | datetime | Timestamp (UTC) di quando è stato segnalato per la prima volta il rischio associato all'asset. |
| AssetRiskLastReportedTime | Facoltativo | datetime | Timestamp (UTC) di quando il rischio associato all'asset è stato segnalato più di recente. |
| AssetOriginalRiskDetails | Facoltativo | Dinamico | Dettagli completi sui rischi per l'asset forniti dal sistema di origine. |
Campi file (tipo di asset)
Questa sezione acquisisce le proprietà degli asset specifiche del file. Le proprietà devono essere popolate se è AssetTypeFile.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Filepath | Facoltativo | stringa | Percorso completo del file associato all'asset. |
| Dimensione | Facoltativo | long | Dimensioni del file in byte. |
| FileMD5 | Facoltativo | stringa | Hash MD5 del file associato all'asset. |
| FileSHA1 | Facoltativo | stringa | Hash SHA-1 del file associato all'asset. |
| FileSHA256 | Facoltativo | stringa | Hash SHA-256 del file associato all'asset. |
| FileSHA512 | Facoltativo | stringa | Hash SHA-512 del file associato all'asset. |
| FileExtension | Facoltativo | stringa | Estensione del file associato all'asset, ad esempio .exe o .pdf. |
| FileIsSignatureValid | Facoltativo | bool | Indica se la firma digitale del file è valida. |
| FileSignatureDetails | Facoltativo | stringa | Dettagli sulla firma digitale del file, ad esempio le informazioni sul firmatario o sul certificato. |
Campi sito (tipo di asset)
Questa sezione acquisisce le proprietà della posizione specifiche del sito per gli asset del sito di SharePoint. Le proprietà devono essere popolate se AssetType è Site.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| SitePath | Facoltativo | stringa | Percorso del sito o del percorso di archiviazione associato all'asset. |
| SitePrimaryUri | Facoltativo | stringa | URI primario del sito o del percorso di archiviazione associato all'asset. |
Alias
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| AssetPath | Alias | stringa | Alias per FilePath o SitePath |
| Utente | Alias | stringa | Alias per AssetOwnerId. |
Aggiornamenti dello schema
Di seguito sono riportate le modifiche apportate alle varie versioni dello schema:
- Versione 0.1.0: versione iniziale.
Passaggi successivi
Per ulteriori informazioni, vedere: