Referenční dokumentace k běžným polím schématu Advanced Security Information Model (ASIM) (Preview)

Článek
11/05/2024

Některá pole jsou společná pro všechna schémata ASIM. Každé schéma může přidat pokyny pro použití některých běžných polí v kontextu konkrétního schématu. Povolené hodnoty pole EventType se mohou například lišit podle schématu, stejně jako hodnota pole EventSchemaVersion .

Standardní pole Log Analytics

Log Analytics ve většině případů generuje následující pole pro každý záznam. Při vytváření vlastního konektoru je možné je přepsat.

Pole	Typ	Diskuse
TimeGenerated	datetime	Čas, kdy událost vygenerovala zařízení pro generování sestav.
Typ	String	Původní tabulka, ze které byl záznam načten. Toto pole je užitečné, když stejnou událost lze přijímat prostřednictvím několika kanálů do různých tabulek a mají stejné hodnoty EventVendor a EventProduct . Například událost Sysmon lze shromažďovat buď do `Event` tabulky, nebo do `WindowsEvent` tabulky.

Poznámka:

Log Analytics také přidává další pole, která jsou méně relevantní pro případy použití zabezpečení. Další informace najdete v tématu Standardní sloupce v protokolech služby Azure Monitor.

Běžná pole ASIM

Následující pole jsou definována pomocí ASIM pro všechna schémata:

Pole událostí

Pole	Třída	Typ	Popis
EventMessage	Volitelné	String	Obecná zpráva nebo popis, buď zahrnutý nebo vygenerovaný ze záznamu.
EventCount	Povinné	Celé číslo	Počet událostí popsaných záznamem. Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. U jiných zdrojů nastavte hodnotu `1`.
EventStartTime	Povinné	Datum/čas	Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud zdrojový záznam nezadá, toto pole aliasy pole TimeGenerated .
EventEndTime	Povinné	Datum/čas	Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud zdrojový záznam nezadá, toto pole aliasy pole TimeGenerated .
Typ události	Povinné	Enumerated	Popisuje operaci hlášenou záznamem. Každé schéma dokumentuje seznam hodnot platných pro toto pole. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalType .
EventSubType	Volitelné	Enumerated	Popisuje dílčí rozdělení operace hlášené v poli EventType . Každé schéma dokumentuje seznam hodnot platných pro toto pole. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalSubType .
EventResult	Povinné	Enumerated	Jedna z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Případně může zdroj poskytnout pouze pole EventResultDetails , které by mělo být analyzováno pro odvození hodnoty EventResult. Příklad: `Success`
EventResultDetails	Doporučené	Enumerated	Důvod nebo podrobnosti výsledku hlášeného v poli EventResult Každé schéma dokumentuje seznam hodnot platných pro toto pole. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalResultDetails . Příklad: `NXDOMAIN`
Id události	Doporučené	String	Jedinečné ID záznamu přiřazené službou Microsoft Sentinel. Toto pole se obvykle mapuje na `_ItemId` pole Log Analytics.
EventOriginalUid	Volitelné	String	Jedinečné ID původního záznamu, pokud zdroj poskytuje. Příklad: `69f37748-ddcd-4331-bf0f-b137f1ea83b`
EventOriginalType	Volitelné	String	Původní typ nebo ID události, pokud zdroj poskytuje. Toto pole se například používá k uložení původního ID události Systému Windows. Tato hodnota se používá k odvození třídy EventType, která by měla mít pouze jednu z hodnot zdokumentovaných pro každé schéma. Příklad: `4624`
EventOriginalSubType	Volitelné	String	Původní podtyp nebo ID události, pokud zdroj poskytuje. Toto pole se například používá k uložení původního typu přihlášení systému Windows. Tato hodnota se používá k odvození třídy EventSubType, která by měla obsahovat pouze jednu z hodnot zdokumentovaných pro každé schéma. Příklad: `2`
EventOriginalResultDetails	Volitelné	String	Původní podrobnosti o výsledku poskytnuté zdrojem. Tato hodnota se používá k odvození EventResultDetails, které by měly mít pouze jednu z hodnot dokumentovaných pro každé schéma.
EventSeverity	Doporučené	Enumerated	Závažnost události. Platné hodnoty jsou: `Informational`, `Low`, `Medium`nebo `High`.
UdálostOriginalSeverity	Volitelné	String	Původní závažnost poskytovaná zařízením pro generování sestav. Tato hodnota se používá k odvození hodnoty EventSeverity.
EventProduct	Povinné	String	Produkt, který událost generuje. Hodnota by měla být jednou z hodnot uvedených v části Dodavatelé a Produkty. Příklad: `Sysmon`
EventProductVersion	Volitelné	String	Verze produktu generující událost. Příklad: `12.1`
EventVendor	Povinné	String	Dodavatel produktu, který událost generuje. Hodnota by měla být jednou z hodnot uvedených v části Dodavatelé a Produkty. Příklad: `Microsoft`
EventSchema	Povinné	String	Schéma, do které se událost normalizuje. Každé schéma dokumentuje název schématu.
EventSchemaVersion	Povinné	String	Verze schématu. Každé schéma dokumentuje svou aktuální verzi.
EventReportUrl	Volitelné	String	Adresa URL zadaná v události pro prostředek, který poskytuje další informace o události.
Vlastník události	Volitelné	String	Vlastník události, která je obvykle oddělením nebo dceřinou společností, ve které byla vygenerována.

Pole zařízení

Role polí zařízení se liší pro různá schémata a typy událostí. Příklad:

V případě událostí síťové relace pole zařízení obvykle poskytují informace o zařízení, které událost vygenerovalo.
V případě událostí procesu pole zařízení poskytují informace o zařízení, na které se proces spouští.

Každý dokument schématu určuje roli zařízení pro schéma.

Pole	Třída	Typ	Popis
Dvc	Alias	String	Jedinečný identifikátor zařízení, na kterém došlo k události nebo které ohlásila událost v závislosti na schématu. Toto pole může aliasovat pole DvcFQDN, DvcId, DvcHostname nebo DvcIpAddr . Pro cloudové zdroje, pro které není zřejmé zařízení, použijte stejnou hodnotu jako pole Produkt události.
DvcIpAddr	Doporučené	IP adresa	IP adresa zařízení, na kterém došlo k události nebo která událost nahlásila v závislosti na schématu. Příklad: `45.21.42.12`
DvcHostname	Doporučené	Název hostitele	Název hostitele zařízení, na kterém došlo k události nebo které ohlásila událost v závislosti na schématu. Příklad: `ContosoDc`
DvcDomain	Doporučené	String	Doména zařízení, na kterém došlo k události nebo která událost nahlásila v závislosti na schématu. Příklad: `Contoso`
DvcDomainType	Podmíněné	Enumerated	Typ DvcDomain. Seznam povolených hodnot a další informace najdete v části DomainType. Poznámka: Toto pole je povinné, pokud se použije pole DvcDomain .
DvcFQDN	Volitelné	String	Název hostitele zařízení, na kterém došlo k události nebo které ohlásila událost v závislosti na schématu. Příklad: `Contoso\DESKTOP-1282V4D` Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole DvcDomainType odráží použitý formát.
Popis dvcDescription	Volitelné	String	Popisný text přidružený k zařízení Například: `Primary Domain Controller`.
DvcId	Volitelné	String	Jedinečné ID zařízení, na kterém došlo k události nebo které ohlásila událost v závislosti na schématu. Příklad: `41502da5-21b7-48ec-81c9-baeea8d7d669`
DvcIdType	Podmíněné	Enumerated	Typ DvcId. Seznam povolených hodnot a další informace najdete v části DvcIdType. - `MDEid` Pokud je k dispozici více ID, použijte první id ze seznamu a uložte ostatní pomocí názvů polí DvcAzureResourceId a DvcMDEid. Poznámka: Toto pole je povinné, pokud se použije pole DvcId .
DvcMacAddr	Volitelné	GUMÁK	Adresa MAC zařízení, na kterém došlo k události nebo která událost nahlásila. Příklad: `00:1B:44:11:3A:B7`
DvcZone	Volitelné	String	Síť, na které došlo k události nebo která událost hlásila, v závislosti na schématu. Zóna je definovaná zařízením pro generování sestav. Příklad: `Dmz`
DvcOs	Volitelné	String	Operační systém spuštěný na zařízení, na kterém došlo k události nebo na kterém byla událost hlášena. Příklad: `Windows`
DvcOsVersion	Volitelné	String	Verze operačního systému v zařízení, na kterém došlo k události nebo která ohlásila událost. Příklad: `10`
DvcAction	Doporučené	String	U systémů zabezpečení pro vytváření sestav opatření, která systém provedl, pokud je to možné. Příklad: `Blocked`
DvcOriginalAction	Volitelné	String	Původní DvcAction , jak poskytuje zařízení pro generování sestav.
DvcInterface	Volitelné	String	Síťové rozhraní, na kterém byla zaznamenána data. Toto pole je obvykle relevantní pro aktivitu související se sítí, která je zachycena zprostředkujícím zařízením nebo klepnutím na zařízení.
DvcScopeId	Volitelné	String	ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS.
DvcScope	Volitelné	String	Rozsah cloudové platformy, do které zařízení patří. DvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS.

Další pole

Pole	Třída	Typ	Popis
Další pole	Volitelné	dynamicky,	Pokud zdroj poskytuje další informace, které stojí za to zachovat, ponechte je buď s původními názvy polí, nebo vytvořte dynamické pole AdditionalFields a přidejte do něj dodatečné informace jako páry klíč/hodnota.
ASimMatchingIpAddr	Doporučené	String	Pokud analyzátor používá `ipaddr_has_any_prefix` parametry filtrování, je toto pole nastaveno s jednou z hodnot `SrcIpAddr`, `DstIpAddr`nebo `Both` aby odrážel odpovídající pole nebo pole.
ASimMatchingHostname	Doporučené	String	Pokud analyzátor používá `hostname_has_any` parametry filtrování, je toto pole nastaveno s jednou z hodnot `SrcHostname`, `DstHostname`nebo `Both` aby odrážel odpovídající pole nebo pole.

Aktualizace schématu

Pole EventOwner bylo přidáno do společných polí 1. prosince 2022, a proto do všech schémat.
Pole EventUid bylo přidáno do společných polí 26. prosince 2022, a proto do všech schémat.

Dodavatelé a produkty

Kvůli zachování konzistence je seznam povolených dodavatelů a produktů nastavený jako součást ASIM a nemusí přímo odpovídat hodnotě odeslané zdrojem, pokud je k dispozici.

Aktuálně podporovaný seznam dodavatelů a produktů používaných v polích EventVendor a EventProduct je následující:

Dodavatel	Produkty
`AWS`	- `CloudTrail` - `VPC`
`Cisco`	- `ASA` - `Umbrella` - `IOS` - `Meraki`
`Corelight`	`Zeek`
`Cynerio`	`Cynerio`
`Dataminr`	`Dataminr Pulse`
`GCP`	`Cloud DNS`
`Infoblox`	`NIOS`
`Microsoft`	– Microsoft Entra ID - `Azure` - `Azure Firewall` - `Azure Blob Storage` - `Azure File Storage` - `Azure NSG flows` - `Azure Queue Storage` - `Azure Table Storage` - `DNS Server` - `Microsoft Defender XDR for Endpoint` - `Microsoft Defender for IoT` - `Security Events` - `SharePoint` - `OneDrive` - `Sysmon` - `Sysmon for Linu` - `VMConnection` - `Windows Firewall` - `WireData`
`Linux`	- `su` - `sudo`
`Okta`	- `Okta` - `Auth0`
`OpenBSD`	`OpenSSH`
`Palo Alto`	- `PanOS` - `CDL`
`PostgreSQL`	`PostgreSQL`
`Squid`	`Squid Proxy`
`Vectra AI`	`Vectra Steam`
`WatchGuard`	`Fireware`
`Zscaler`	- `ZIA DNS` - `ZIA Firewall` - `ZIA Proxy`

Pokud vyvíjíte analyzátor pro dodavatele nebo produkt, které tu nejsou uvedené, obraťte se na tým Microsoft Sentinelu a přidělte nový povolený dodavatel a designátory produktů.

Další kroky

Další informace naleznete v tématu:

Podívejte se na webinář ASIM nebo si prohlédněte snímky.
Přehled rozšířeného modelu informací o zabezpečení (ASIM)
Schémata advanced Security Information Model (ASIM)
Analyzátory advanced security information model (ASIM)
Obsah rozšířeného modelu informací o zabezpečení (ASIM)

Sdílet prostřednictvím