Schémata advanced Security Information Model (ASIM)
Schéma modelu ASIM (Advanced Security Information Model) je sada polí, která představují aktivitu. Použití polí z normalizovaného schématu v dotazu zajistí, že dotaz bude fungovat pro každý normalizovaný zdroj.
Informace o tom, jak se schémata vejdou do architektury ASIM, najdete v diagramu architektury ASIM.
Odkazy na schéma popisují pole, která tvoří jednotlivá schémata. ASIM v současné době definuje následující schémata:
| Schéma | Verze | Stav |
|---|---|---|
| Událost auditu | 0,1 | Preview |
| Událost ověřování | 0.1.3 | Preview |
| Aktivita DNS | 0.1.7 | Preview |
| Aktivita DHCP | 0,1 | Preview |
| Aktivita souboru | 0.2.1 | Preview |
| Síťová relace | 0.2.6 | Preview |
| Událost procesu | 0.1.4 | Preview |
| Událost registru | 0.1.2 | Preview |
| Správa uživatelů | 0,1 | Preview |
| Webová relace | 0.2.6 | Preview |
Důležité
Schémata a analyzátory ASIM jsou aktuálně ve verzi Preview. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Koncepty schématu
Následující koncepty pomáhají porozumět referenčním dokumentům schématu a rozšířit schéma normalizovaným způsobem pro případ, že vaše data obsahují informace, které schéma nepokrývá.
| Koncept | Popis |
|---|---|
| Názvy polí | Jádrem každého schématu jsou názvy polí. Názvy polí patří do následujících skupin: – Pole společná pro všechna schémata. – Pole specifická pro schéma. – Pole, která představují entity, jako jsou uživatelé, kteří se účastní schématu. Pole představující entity jsou podobná napříč schématy. Pokud zdroje obsahují pole, která nejsou uvedena v dokumentovaném schématu, normalizují se, aby zachovaly konzistenci. Pokud pole navíc představují entitu, budou normalizována na základě pokynů pro pole entity. V opačném případě se schémata snaží zachovat konzistenci napříč všemi schématy. Protokoly aktivit serveru DNS například neposkytují informace o uživateli, ale protokoly aktivit DNS z koncového bodu můžou obsahovat informace o uživateli, které je možné normalizovat podle pokynů pro entitu uživatele. |
| Typy polí | Každé pole schématu má typ. Pracovní prostor služby Log Analytics má omezenou sadu datových typů. Z tohoto důvodu Používá Microsoft Sentinel logický typ pro mnoho polí schématu, která Služba Log Analytics nevynucuje, ale vyžaduje se kvůli kompatibilitě schématu. Typy logických polí zajišťují, že názvy hodnot a polí jsou konzistentní napříč zdroji. Další informace naleznete v tématu Logické typy. |
| Třída pole | Pole můžou mít několik tříd, které definují, kdy mají být pole implementována analyzátorem: - Povinná pole se musí zobrazovat v každém analyzátoru. Pokud zdroj neposkytuje informace pro tuto hodnotu nebo data nelze jinak přidat, nebude podporovat většinu položek obsahu, které odkazují na normalizované schéma. - Doporučená pole by měla být normalizována, pokud jsou k dispozici. Nemusí ale být dostupné ve všech zdrojích. Všechny položky obsahu, které odkazují na normalizované schéma, by měly vzít v úvahu dostupnost. - Volitelná pole, pokud jsou k dispozici, lze normalizovat nebo ponechat v původní podobě. Minimální analyzátor by je obvykle nenormalizoval z důvodů výkonu. - Podmíněná pole jsou povinná , pokud se vyplní následující pole. Podmíněná pole se obvykle používají k popisu hodnoty v jiném poli. Například společné pole DvcIdType popisuje hodnotu int společné pole DvcId , a proto je povinné, pokud je tato hodnota naplněna. - Alias je speciální typ podmíněného pole a je povinný, pokud je pole aliasu vyplněné. |
| Běžná pole | Některá pole jsou společná pro všechna schémata ASIM. Každé schéma může přidat pokyny pro použití některých běžných polí v kontextu konkrétního schématu. Povolené hodnoty pole EventType se mohou například lišit podle schématu, stejně jako hodnota pole EventSchemaVersion . |
| Entity | Události se vyvíjejí kolem entit, jako jsou uživatelé, hostitelé, procesy nebo soubory. Každá entita může k popisu vyžadovat několik polí. Hostitel může mít například název a IP adresu. Jeden záznam může obsahovat více entit stejného typu, například zdrojového i cílového hostitele. ASIM definuje, jak popisovat entity konzistentně a entity umožňují rozšíření schémat. Například když schéma relace sítě neobsahuje informace o procesu, některé zdroje událostí poskytují informace o procesu, které je možné přidat. Další informace naleznete v tématu Entity. |
| Aliasy | Aliasy umožňují více názvů pro zadanou hodnotu. V některých případech můžou různí uživatelé očekávat, že pole bude mít jiné názvy. V terminologii DNS můžete například očekávat pole s názvem DnsQuery, obecněji však obsahuje název domény. Doména aliasu pomáhá uživateli tím, že povolí použití obou názvů. V některých případech může alias mít hodnotu jednoho z několika polí v závislosti na tom, které hodnoty jsou v události k dispozici. Například alias Dvc , aliasy buď DvcFQDN, DvcId, DvcHostname, nebo DvcIpAddr , nebo Pole Produkt události. Pokud může mít alias několik hodnot, musí být jeho typ řetězcem, aby vyhovoval všem možným aliasovaným hodnotám. Proto při přiřazování hodnoty k natolik aliasu nezapomeňte převést typ na řetězec pomocí funkce KQL tostring. Nativní normalizované tabulky nezahrnují aliasy, což by znamenalo duplicitní úložiště dat. Místo toho analyzátory zástupných procedur přidávají aliasy. Pokud chcete implementovat aliasy v analyzátorech, vytvořte kopii původní hodnoty pomocí operátoru extend . |
Logické typy
Každé pole schématu má typ. Některé mají integrované typy Log Analytics, například string, int, datetimenebo dynamic. Jiná pole mají logický typ, který představuje způsob normalizace hodnot polí.
| Datový typ | Fyzický typ | Formát a hodnota |
|---|---|---|
| Logická hodnota | Bool | Použijte předdefinovaný datový typ KQL bool , nikoli číselnou nebo řetězcovou reprezentaci logických hodnot. |
| Vypočítaný | String | Seznam hodnot, jak je explicitně definováno pro pole. Definice schématu obsahuje seznam přijatých hodnot. |
| Datum a čas | V závislosti na schopnosti metody příjmu dat použijte některou z následujících fyzických reprezentací sestupnou prioritou: – Integrovaný typ data a času služby Log Analytics – Celočíselné pole využívající číselnou reprezentaci data a času log Analytics – Řetězcové pole využívající číselnou reprezentaci data a času log Analytics – Pole řetězce obsahující podporovaný formát data a času služby Log Analytics. |
Vyjádření data a času služby Log Analytics je podobné, ale liší se od reprezentace času unixu. Další informace najdete v pokynech pro převod. Poznámka: Pokud je to možné, měl by být čas upraven. |
| Adresa MAC | String | Dvojtečka-šestnáctková notace. |
| IP adresa | String | Schémata Služby Microsoft Sentinel nemají samostatné adresy IPv4 a IPv6. Jakékoli pole IP adresy může obsahovat adresu IPv4 nebo adresu IPv6 následujícím způsobem: - IPv4 v tečkované notaci - IPv6 v zápisu 8-hextetů, což umožňuje krátkou formu. Příklad: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Krátký formulář IPv6: 1080::8:800:200C:417A |
| FQDN | String | Plně kvalifikovaný název domény s tečkou, například learn.microsoft.com. Další informace najdete v tématu Entita Zařízení. |
| Název hostitele | String | Název hostitele, který není plně kvalifikovaným názvem domény, obsahuje až 63 znaků včetně písmen, číslic a pomlček. Další informace najdete v tématu Entita Zařízení. |
| DomainType | Enumerated | Typ domény uložené v polích domény a plně kvalifikovaný název domény. Seznam hodnot a další informace najdete v tématu Entita Zařízení. |
| DvcIdType | Enumerated | Typ ID zařízení uloženého v polích DvcId. Seznam povolených hodnot a další informace najdete v dvcIdType. |
| DeviceType | Enumerated | Typ zařízení uloženého v polích DeviceType. Možné hodnoty zahrnují: - Computer- Mobile Device- IOT Device- Other. Další informace najdete v tématu Entita Zařízení. |
| Uživatelské jméno | String | Platné uživatelské jméno v jednom z podporovaných typů. Další informace naleznete v tématu Entita Uživatel. |
| UsernameType | Enumerated | Typ uživatelského jména uloženého v polích uživatelského jména. Další informace a seznam podporovaných hodnot naleznete v tématu Entita Uživatel. |
| UserIdType | Enumerated | Typ ID uloženého v polích ID uživatele. Podporované hodnoty jsou SID, , UIS, OktaIdAADID, AWSId, a PUID. Další informace naleznete v tématu Entita Uživatel. |
| UserType | Enumerated | Typ uživatele. Další informace a seznam povolených hodnot najdete v tématu Entita Uživatel. |
| Typ aplikace | Enumerated | Typ aplikace. Mezi podporované hodnoty patří: Process, Service, Resource, URL, , SaaS application, CSPa Other. |
| Země/oblast | String | Řetězec používající ISO 3166-1 podle následující priority: - Alfa-2 kódy, například US pro USA. - Alfa-3 kódy, například USA pro USA. - Krátký název. Seznam kódů najdete na webu ORGANIZACE ISO (International Standards Organization). |
| Oblast | String | Název dílčího dělení země/oblasti s použitím ISO 3166-2. Seznam kódů najdete na webu ORGANIZACE ISO (International Standards Organization). |
| Město | String | |
| Zeměpisná délka | Hodnota s dvojitou přesností | Reprezentace souřadnic ISO 6709 (desetinná čárka se sign. |
| Zeměpisná šířka | Hodnota s dvojitou přesností | Reprezentace souřadnic ISO 6709 (desetinná čárka se sign. |
| MD5 | String | 32 šestnáctkových znaků. |
| SHA1 | String | 40 šestnáctkových znaků. |
| SHA256 | String | 64 šestnáctkových znaků. |
| SHA512 | String | 128 šestnáctkových znaků. |
Entity
Události se vyvíjejí kolem entit, jako jsou uživatelé, hostitelé, procesy nebo soubory. Reprezentace entit umožňuje, aby několik entit stejného typu bylo součástí jednoho záznamu a podporovalo více atributů pro stejné entity.
Aby bylo možné povolit funkce entity, má reprezentace entit následující pokyny:
| Pokyn | Popis |
|---|---|
| Popisovače a aliasy | Vzhledem k tomu, že jedna událost často zahrnuje více než jednu entitu stejného typu, jako jsou zdrojoví a cíloví hostitelé, popisovače se používají jako předpona k identifikaci všech polí přidružených ke konkrétní entitě. Pro zachování normalizace používá ASIM malou sadu standardních popisovačů a vybírá ty nejvhodnější pro konkrétní roli entit. Pokud je jedna entita typu relevantní pro událost, není nutné používat popisovač. Sada polí bez aliasů popisovače také představuje nejužitenější entitu pro každý typ. |
| Identifikátory a typy | Normalizované schéma umožňuje pro každou entitu několik identifikátorů, které očekáváme, že v událostech budou existovat společně. Pokud zdrojová událost obsahuje další identifikátory entit, které nelze mapovat na normalizované schéma, ponechte je ve zdrojovém formuláři nebo použijte dynamické pole AdditionalFields . Chcete-li zachovat informace o typu identifikátorů, uložte typ, pokud je to možné, do pole se stejným názvem a příponou typu. Například UserIdType. |
| Atributy | Entity často mají jiné atributy, které neslouží jako identifikátor a dají se také kvalifikovat popisovačem. Pokud má například zdrojový uživatel informace o doméně, normalizované pole je SrcUserDomain. |
Každé schéma explicitně definuje centrální entity a pole entit. Následující pokyny umožňují pochopit pole centrálního schématu a jak rozšířit schémata normalizovaným způsobem pomocí jiných entit nebo polí entit, které nejsou explicitně definovány ve schématu.
Entita User
Uživatelé jsou centrální pro aktivity hlášené událostmi. Pole uvedená v této části slouží k popisu uživatelů zapojených do akce. Předpony slouží k určení role uživatele v aktivitě. Předpony Src a Dst slouží k určení role uživatele v událostech souvisejících se sítí, ve kterých zdrojový systém a cílový systém komunikují. Předpony Actor a Target se používají pro události orientované na systém, jako jsou události procesu.
ID uživatele a obor
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| UserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace uživatele. |
| UserScope | Volitelné | string | Obor, ve kterém jsou definované ID uživatele a uživatelské jméno . Například název domény tenanta Microsoft Entra. Pole UserIdType představuje také typ přidruženého k tomuto poli. |
| UserScopeId | Volitelné | string | ID oboru, ve kterém jsou definované ID uživatele a uživatelské jméno . Například ID adresáře tenanta Microsoft Entra. Pole UserIdType představuje také typ přidruženého k tomuto poli. |
| UserIdType | Volitelné | UserIdType | Typ ID uloženého v poli UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Volitelné | String | Pole použitá k ukládání konkrétních ID uživatelů Jako primární ID uložené v Id uživatele vyberte ID, které je přidruženo k události. Vyplňte příslušné konkrétní pole ID, a to kromě UserId, i když má událost pouze jedno ID. |
| UserAADTenant, UserAWSAccount | Volitelné | String | Pole použitá k ukládání konkrétních oborů. Pro obor přidružený k ID uloženému v poli UserId použijte pole UserScope. Naplnit příslušné konkrétní pole oboru kromě UserScope, i když má událost pouze jedno ID. |
Povolené hodnoty pro typ ID uživatele jsou:
| Typ | Popis | Příklad |
|---|---|---|
| SID | ID uživatele Systému Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | ID uživatele Linuxu. | 4578 |
| AADID | ID uživatele Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | ID uživatele Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | ID uživatele AWS. | 72643944673 |
| PUID | ID uživatele Microsoftu 365 | 10032001582F435C |
| SalesforceId | ID uživatele Salesforce. | 00530000009M943 |
Uživatelské jméno
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Uživatelské jméno | Volitelné | String | Zdrojové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Do pole UsernameType uložte typ uživatelského jména. |
| UsernameType | Volitelné | UsernameType | Určuje typ uživatelského jména uloženého v poli Uživatelské jméno . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Volitelné | String | Pole použitá k uložení dalších uživatelských jmen, pokud původní událost obsahuje více uživatelských jmen. Vyberte uživatelské jméno přidružené k události jako primární uživatelské jméno uložené v uživatelském jménu. |
Povolené hodnoty pro typ uživatelského jména jsou:
| Typ | Popis | Příklad |
|---|---|---|
| Hlavní názvu uživatele (UPN) | Hlavní jméno uživatele (UPN) nebo e-mailová adresa – designátor uživatelského jména | johndow@contoso.com |
| Windows | Uživatelské jméno systému Windows včetně domény. | Contoso\johndow |
| DN | Rozlišující názvový designátor LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Stručně | Jednoduché uživatelské jméno bez návrhu domény. | johndow |
| AWSId | ID uživatele AWS. | 72643944673 |
Další uživatelská pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| UserType | Volitelné | UserType | Typ zdrojového uživatele. Mezi podporované hodnoty patří: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole OriginalUserType . |
| OriginalUserType | Volitelné | String | Původní typ cílového uživatele, pokud ho poskytuje zařízení pro vytváření sestav. |
Entita zařízení
Zařízení nebo hostitelé jsou běžné termíny používané pro systémy, které se účastní události. Předpona Dvc slouží k určení primárního zařízení, na kterém k události dochází. Některé události, například síťové relace, mají zdrojová a cílová zařízení určená předponou Src a Dst. V takovém případě se předpona používá pro zařízení, Dvc které hlásí událost, což může být zdroj, cíl nebo monitorovací zařízení.
Aliasy zařízení
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Dvc, Src, Dst | Povinné | String | Pole Dvc, Src nebo Dst se používají jako jedinečný identifikátor zařízení. Je nastavená na nejlepší dostupnou verzi určenou pro dané zařízení. Tato pole mohou aliasovat pole plně kvalifikovaný název domény, DvcId, název hostitele nebo IpAddr . Pro cloudové zdroje, pro které není zřejmé zařízení, použijte stejnou hodnotu jako pole Produkt události. |
Název zařízení
Nahlášené názvy zařízení můžou obsahovat jenom název hostitele nebo plně kvalifikovaný název domény ( FQDN), který zahrnuje název hostitele a název domény. Plně kvalifikovaný název domény se může vyjádřit pomocí několika formátů. Následující pole umožňují podporovat různé varianty, ve kterých může být uveden název zařízení.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Název hostitele | Doporučené | Název hostitele | Krátký název hostitele zařízení. |
| Doména | Doporučené | String | Doména zařízení, na kterém došlo k události, bez názvu hostitele. |
| DomainType | Doporučené | Enumerated | Typ domény. Podporované hodnoty zahrnují FQDN a Windows. Toto pole je povinné, pokud se použije pole Doména . |
| FQDN | Volitelné | String | Plně kvalifikovaný název domény zařízení, včetně názvu hostitele i domény . Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát domény Systému Windows\název_hostitele. Pole DomainType odráží použitý formát. |
Příklad:
| Pole | Hodnota pro vstup appserver.contoso.com |
hodnota pro vstup appserver |
|---|---|---|
| Název hostitele | appserver |
appserver |
| Doména | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
Pokud je hodnota poskytnutá zdrojem plně kvalifikovaný název domény nebo pokud může být hodnota buď plně kvalifikovaný název domény nebo krátký název hostitele, měl by analyzátor vypočítat 4 hodnoty. Pomocí pomocných funkcí _ASIM_ResolveFQDNASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNa _ASIM_ResolveDvcFQDN snadno nastavit všechna čtyři pole na základě jedné vstupní hodnoty. Další informace naleznete v tématu Pomocné funkce ASIM.
ID a rozsah zařízení
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| DvcId | Volitelné | String | Jedinečné ID zařízení . Příklad: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. Mapování rozsahu na ID předplatného v Azure a ID účtu v AWS |
| Scope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. Mapování rozsahu na předplatné v Azure a na účet v AWS |
| DvcIdType | Volitelné | Enumerated | Typ DvcId. Obvykle toto pole také identifikuje typ Oboru a ScopeId. Toto pole se vyžaduje, pokud se použije pole DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Volitelné | String | Pole použitá k uložení dalších ID zařízení, pokud původní událost obsahuje více ID zařízení. Jako primární ID uložené v DvcId vyberte ID zařízení, které je přidruženo k události. |
Všimněte si, že pole s názvem by měla mít předponu role, například Src nebo Dst, ale neměla by předcházet druhé Dvc předponě, pokud je použita v této roli.
Povolené hodnoty pro typ ID zařízení jsou:
| Typ | Popis |
|---|---|
| MDEid | ID systému přiřazené programem Microsoft Defender for Endpoint. |
| AzureResourceId | ID prostředku Azure. |
| MD4IoTid | ID prostředku Microsoft Defenderu pro IoT |
| VMConnectionId | ID prostředku řešení Azure Monitor VM Insights |
| AwsVpcId | ID AWS VPC. |
| VectraId | ID prostředku přiřazeného vectra AI |
| Další | Typ ID není uvedený výše. |
Například řešení Azure Monitor VM Insights poskytuje informace o síťových relacích v nástroji VMConnection. Tabulka obsahuje ID prostředku Azure v _ResourceId poli a id konkrétního zařízení virtuálního počítače v Machine tomto poli. K reprezentaci těchto ID použijte následující mapování:
| Pole | Mapovat na |
|---|---|
| DvcId | Pole Machine v VMConnection tabulce. |
| DvcIdType | Hodnota VMConnectionId |
| DvcAzureResourceId | Pole _ResourceId v VMConnection tabulce. |
Další pole zařízení
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| IpAddr | Doporučené | IP adresa | IP adresa zařízení. Příklad: 45.21.42.12 |
| Popis dvcDescription | Volitelné | String | Popisný text přidružený k zařízení Například: Primary Domain Controller. |
| MacAddr | Volitelné | GUMÁK | Adresa MAC zařízení, na kterém došlo k události nebo která událost nahlásila. Příklad: 00:1B:44:11:3A:B7 |
| Zóna | Volitelné | String | Síť, na které došlo k události nebo která událost hlásila, v závislosti na schématu. Zóna je definovaná zařízením pro generování sestav. Příklad: Dmz |
| DvcOs | Volitelné | String | Operační systém spuštěný na zařízení, na kterém došlo k události nebo na kterém byla událost hlášena. Příklad: Windows |
| DvcOsVersion | Volitelné | String | Verze operačního systému v zařízení, na kterém došlo k události nebo která ohlásila událost. Příklad: 10 |
| DvcAction | Volitelné | String | U systémů zabezpečení pro vytváření sestav opatření, která systém provedl, pokud je to možné. Příklad: Blocked |
| DvcOriginalAction | Volitelné | String | Původní DvcAction , jak poskytuje zařízení pro generování sestav. |
| Rozhraní | Volitelné | String | Síťové rozhraní, na kterém byla zaznamenána data. Toto pole je obvykle relevantní pro aktivitu související se sítí, která je zachycena zprostředkujícím zařízením nebo klepnutím. |
Všimněte si, že pole pojmenovaná v seznamu s předponou Dvc by měla předcházet předponu role, například Src nebo Dst, ale neměla by předpona předcházet druhé Dvc předponě, pokud se používá v této roli.
Ukázkové mapování entit
Tato část používá událost Windows 4624 jako příklad, který popisuje, jak jsou data událostí normalizována pro Microsoft Sentinel.
Tato událost má následující entity:
| Terminologie Microsoftu | Předpona pole původní události | Předpona pole ASIM | Popis |
|---|---|---|---|
| Předmět | Subject |
Actor |
Uživatel, který oznámil informace o úspěšném přihlášení. |
| Nové přihlášení | Target |
TargetUser |
Uživatel, pro kterého bylo přihlášení provedeno. |
| Proces | - | ActingProcess |
Proces, který se pokusil o přihlášení. |
| Informace o síti | - | Src |
Počítač, ze kterého byl proveden pokus o přihlášení. |
Na základě těchto entit je událost Systému Windows 4624 normalizována následujícím způsobem (některá pole jsou volitelná):
| Normalizované pole | Původní pole | Hodnota v příkladu | Notes |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Sestaveno zřetězením dvou polí |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Sestaveno zřetězením dvou polí |
| Uživatelské jméno | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | Název pracovní stanice | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Počítač | WIN-GG82ULGC9GO | |
| Název hostitele | Počítač | Alias |
Další kroky
Tento článek obsahuje přehled normalizace v Microsoft Sentinelu a ASIM.
Další informace naleznete v tématu:
- Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky.
- Přehled rozšířeného modelu informací o zabezpečení (ASIM)
- Analyzátory advanced security information model (ASIM)
- Obsah rozšířeného modelu informací o zabezpečení (ASIM)