Schéma normalizace sítě Microsoft Sentinelu (starší verze – Public Preview)
Schéma normalizace sítě slouží k popisu hlášených síťových událostí a používá ho Microsoft Sentinel k povolení sjednocení analýz.
Další informace naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Tento článek se týká verze 0.1 schématu normalizace sítě, která byla vydána jako verze Preview před dostupností ASIM. Verze 0.2.x schématu normalizace sítě odpovídá ASIM a poskytuje další vylepšení.
Další informace naleznete v tématu Rozdíly mezi verzemi schématu normalizace sítě.
Terminologie
Ve schématech služby Microsoft Sentinel se používá následující terminologie:
| Pojem | definice |
|---|---|
| Zařízení pro vytváření sestav | Systém odesílá záznamy do Microsoft Sentinelu. Nemusí to být systém předmětu záznamu. |
| Záznam | Jednotka dat odesílaných ze zařízení pro generování sestav. Tato jednotka dat se často označuje jako log, eventnebo alert, ale může mít také jiné typy. |
Typy a formáty dat
Následující tabulka obsahuje pokyny pro normalizaci hodnot dat, které jsou vyžadovány pro normalizovaná pole a doporučeno pro jiná pole.
| Datový typ | Fyzický typ | Formát a hodnota |
|---|---|---|
| Datum a čas | Jedna z následujících možností v závislosti na použité možnosti ingestace metody v sestupné prioritě:
|
Reprezentace data a času log Analytics Vyjádření data a času log Analytics je podobné povaze, ale liší se od reprezentace času unixu. Projděte si tyto pokyny pro převod. Datum a čas musí být upraveny pro časová pásma. |
| Adresa MAC | String | Dvojtečka -Šestnáctková notace |
| IP Address | IP adresa | Schéma nemá samostatné adresy IPv4 a IPv6. Jakékoli pole IP adresy může obsahovat adresu IPv4 nebo IPv6:
|
| Uživatel | String | K dispozici jsou následující 3 uživatelská pole:
|
| ID uživatele | String | Aktuálně se podporují následující 2 ID uživatelů:
|
| Zařízení | String | Podporují se následující tři sloupce zařízení a hostitele:
|
| Země/oblast | String | Řetězec používající ISO 3166-1 podle následujících priorit:
|
| Oblast | String | Název dílčího dělení země/oblasti pomocí ISO 3166-2 |
| Město | String | |
| Zeměpisná délka | Hodnota s dvojitou přesností | Reprezentace souřadnic ISO 6709 (desetinná čárka se sign.) |
| Zeměpisná šířka | Hodnota s dvojitou přesností | Reprezentace souřadnic ISO 6709 (desetinná čárka se sign.) |
| HashOvací algoritmus | String | Podporují se následující 4 sloupce hash:
|
| Typ souboru | String | Typ souboru:
|
Schéma tabulky síťových relací
Níže je schéma tabulky síťových relací verze 1.0.0.
| Název pole | Typ hodnoty | Příklad | Popis | Přidružené entity OSSEM |
|---|---|---|---|---|
| Typ události | String | Provoz | Typ shromažďované události | Událost |
| EventSubType | String | Ověřování | Další popis typu, pokud je k dispozici | Událost |
| EventCount | Celé číslo | 10 | Počet agregovaných událostí, pokud je k dispozici. | Událost |
| EventEndTime | Datum a čas | Viz "datové typy". | Čas, kdy událost skončila | Událost |
| EventMessage | string | přístup byl odepřen | Obecná zpráva nebo popis, buď obsažená, nebo vygenerovaná ze záznamu | Událost |
| DvcIpAddr | IP adresa | 23.21.23.34 | IP adresa zařízení, které generuje záznam | Zařízení IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | Adresa MAC síťového rozhraní zařízení, ze kterého byla událost odeslána. | Zařízení Mac |
| DvcHostname | Název zařízení (řetězec) | syslogserver1.contoso.com | Název zařízení, které generuje zprávu. | Zařízení |
| EventProduct | String | OfficeSharepoint | Produkt, který událost generuje. | Událost |
| EventProductVersion | string | 9.0 | Verze produktu generující událost. | Událost |
| EventResourceId | ID zařízení (řetězec) | /subscriptions/aa0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | ID prostředku zařízení, které generuje zprávu. | Událost |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | Odkaz na úplnou sestavu vytvořenou zařízením pro generování sestav | Událost |
| EventVendor | String | Microsoft | Dodavatel produktu, který událost generuje. | Událost |
| EventResult | Multivalue: Success, Partial, Failure, [Empty] (Řetězec) | Success | Výsledek hlášený pro aktivitu. Prázdná hodnota, pokud není k dispozici. | Událost |
| EventResultDetails | String | Nesprávné heslo | Důvod nebo podrobnosti o výsledku hlášeného v EventResult | Událost |
| EventSchemaVersion | Reálné | 0,1 | Verze schématu Služby Microsoft Sentinel Aktuálně 0.1. | Událost |
| EventSeverity | String | Nízká | Pokud hlášená aktivita má vliv na zabezpečení, označuje závažnost dopadu. | Událost |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | ID záznamu ze zařízení pro generování sestav. | Událost |
| EventStartTime | Datum a čas | Viz "datové typy". | Čas, kdy událost uvedla | Událost |
| TimeGenerated | Datum a čas | Viz "datové typy". | Čas, kdy k události došlo, jak je hlášeno zdrojem sestav. | Vlastní pole |
| EventTimeIngested | Datum a čas | Viz "datové typy". | Čas, kdy se událost ingestovala do Microsoft Sentinelu Microsoft Sentinel přidá. | Událost |
| Id události | Guid (řetězec) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Jedinečný identifikátor používaný službou Microsoft Sentinel k označení řádku | Událost |
| NetworkApplicationProtocol | String | HTTPS | Protokol aplikační vrstvy používaný připojením nebo relací. | Síť |
| DstBytes | int | 32455 | Počet bajtů odeslaných z cíle do zdroje pro připojení nebo relaci. | Cíl |
| SrcBytes | int | 46536 | Počet bajtů odeslaných ze zdroje do cíle pro připojení nebo relaci. | Zdroj |
| Síťovébyty | int | 78991 | Počet bajtů odeslaných v obou směrech Pokud existují bajtyReceived i BytesSent, měly by se bajtyTotal rovnat jejich součtu. | Síť |
| NetworkDirection | Více hodnot: Příchozí, Odchozí (řetězec) | Příchozí | Směr připojení nebo relace do organizace nebo mimo ni. | Síť |
| DstGeoCity | String | Burlington | Město přidružené k cílové IP adrese | Cíl Geo |
| DstGeoCountry | Země (řetězec) | USA | Země nebo oblast přidružená ke zdrojové IP adrese | Cíl Geo |
| DstDvcHostname | Název zařízení (řetězec) | victim_pc | Název zařízení cílového zařízení | Cíl Zařízení |
| DstDvcFqdn | String | victim_pc.contoso.local | Plně kvalifikovaný název domény hostitele, ve kterém byl protokol vytvořen | Cíl Zařízení |
| DstDomainHostname | string | CONTOSO | Doména cíle, doména cílového hostitele (web, název domény atd.), například vyhledávání DNS nebo vyhledávání NS | Cíl |
| DstInterfaceName | string | Síťový adaptér Microsoft Hyper-V | Síťové rozhraní používané pro připojení nebo relaci cílovým zařízením. | Cíl |
| DstInterfaceGuid | string | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | IDENTIFIKÁTOR GUID síťového rozhraní použitého pro žádost o ověření | Cíl |
| DstIpAddr | IP adresa | 2001:db8::ff00:42:8329 | IP adresa cíle připojení nebo relace, nejčastěji označovaná jako cílová IP adresa v síťovém paketu | Cíl IP |
| DstDvcIpAddr | IP adresa | 75.22.12.2 | Cílová IP adresa zařízení, které není přímo přidružené k síťovému paketu | Cíl Zařízení IP |
| DstGeoLatitude | Zeměpisná šířka (double) | 44.475833 | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese | Cíl Geo |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | Adresa MAC síťového rozhraní, na kterém se připojení nebo relace ukončily, nejčastěji se v síťovém paketu odkazuje na cílový mac. | Cíl GUMÁK |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | Cílová adresa MAC zařízení, které není přímo přidružené k síťovému paketu. | Cíl Zařízení GUMÁK |
| DstDvcDomain | String | CONTOSO | Doména cílového zařízení. | Cíl Zařízení |
| DstPortNumber | Celé číslo | 443 | Cílový port IP adresy. | Cíl Port |
| Oblast DstGeoRegion | Oblast (řetězec) | Vermont | Oblast přidružená k cílové IP adrese | Cíl Geo |
| DstResourceId | ID zařízení (řetězec) | /subscriptions/aa0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | ID prostředku cílového zařízení. | Cíl |
| DstNatIpAddr | IP adresa | 2::1 | Pokud zprostředkovatel zařízení NAT nahlásí, jako je brána firewall, IP adresa používaná zařízením NAT ke komunikaci se zdrojem. | Cílový překlad adres (NAT), IP |
| DstNatPortNumber | int | 443 | Pokud zprostředkovatel zařízení NAT nahlásí, jako je brána firewall, port používaný zařízením NAT ke komunikaci se zdrojem. | Cílový překlad adres (NAT), Port |
| DstUserSid | IDENTIFIKÁTOR SID uživatele | S-12-1445 | ID uživatele identity přidružené k cíli relace. Identita použitá k ověření serveru se obvykle používá. Další informace naleznete v tématu Datové typy a formáty. | Cíl Uživatelská |
| DstUserAadId | Řetězec (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | ID objektu účtu Microsoft Entra uživatele na cílovém konci relace | Cíl Uživatelská |
| DstUserName | Uživatelské jméno (řetězec) | jand | Uživatelské jméno identity přidružené k cíli relace. | Cíl Uživatelská |
| DstUserUpn | string | johnd@anon.com | Hlavní název uživatele (UPN) identity přidružené k cíli relace. | Cíl Uživatelská |
| DstUserDomain | string | PRACOVNÍ SKUPINA | Název domény nebo počítače účtu v cíli relace | Cíl Uživatelská |
| DstZone | String | Dmz | Zóna sítě cíle definovaná zařízením pro vytváření sestav. | Cíl |
| DstGeoLongitude | Zeměpisná délka (double) | -73.211944 | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese | Cíl Geo |
| DvcAction | Více hodnot: Povolit, Odepřít, Drop (řetězec) | Povolit | Pokud je zprostředkovatelem hlášeno, jako je brána firewall, akce, kterou zařízení provedlo. | Zařízení |
| DvcInboundInterface | String | eth0 | Pokud ho zprostředkovatelé nahlásí, jako je brána firewall, síťové rozhraní, které ho používá pro připojení ke zdrojovému zařízení. | Zařízení |
| DvcOutboundInterface | String | Ethernetový adaptér Ethernet 4 | Pokud je zprostředkovatelské zařízení hlášené jako brána firewall, síťové rozhraní, které ho používá pro připojení k cílovému zařízení. | Zařízení |
| Doba trvání sítě | Celé číslo | 1500 | Doba dokončení síťové relace nebo připojení v milisekundách | Síť |
| NetworkIcmpCode | Celé číslo | 34 | U zprávy ICMP zadejte číselnou hodnotu typu zprávy ICMP (RFC 2780 nebo RFC 4443). | Síť |
| NetworkIcmpType | String | Nedostupný cíl | Pro zprávu ICMP zadejte textovou reprezentaci (RFC 2780 nebo RFC 4443). | Síť |
| Sady DstPackets | int | 446 | Počet paketů odeslaných z cíle do zdroje pro připojení nebo relaci. Význam paketu je definován zařízením pro generování sestav. | Cíl |
| Sady SrcPackets | int | 6478 | Počet paketů odeslaných ze zdroje do cíle pro připojení nebo relaci. Význam paketu je definován zařízením pro generování sestav. | Zdroj |
| NetworkPackets | int | 0 | Počet paketů odeslaných v obou směrech Pokud existují paketyReceived i PacketsSent, měly by se bajtyTotal rovnat jejich součtu. | Síť |
| HttpRequestTime | Celé číslo | 700 | Doba, kterou trvalo odeslání požadavku na server, pokud je to možné. | HTTP |
| HttpResponseTime | Celé číslo | 800 | Doba, kterou trvalo přijetí odpovědi na serveru, pokud je to možné. | HTTP |
| NetworkRuleName | String | AnyAnyDrop | Název nebo ID pravidla, podle kterého bylo o deviceAction rozhodnuto | Síť |
| NetworkRuleNumber | int | 23 | Odpovídající číslo pravidla | Síť |
| NetworkSessionId | string | 172_12_53_32_4322__123_64_207_1_80 | Identifikátor relace hlášený zařízením pro generování sestav. Například identifikátor relace L7 pro konkrétní aplikace po ověření | Síť |
| SrcGeoCity | String | Burlington | Město přidružené ke zdrojové IP adrese | Zdroj Geo |
| SrcGeoCountry | Země (řetězec) | USA | Země nebo oblast přidružená ke zdrojové IP adrese | Zdroj Geo |
| SrcDvcHostname | Název zařízení (řetězec) | padouch | Název zařízení zdrojového zařízení | Zdroj Zařízení |
| SrcDvcFqdn | string | Villain.malicious.com | Plně kvalifikovaný název domény hostitele, ve kterém byl protokol vytvořen | Zdroj Zařízení |
| SrcDvcDomain | string | EVILORG | Doména zařízení, ze kterého byla spuštěna relace | Zdroj Zařízení |
| SrcDvcOs | String | iOS | Operační systém zdrojového zařízení | Zdroj Zařízení |
| SrcDvcModelName | String | Samsung Galaxy Note | Název modelu zdrojového zařízení | Zdroj Zařízení |
| SrcDvcModelNumber | String | 10.0 | Číslo modelu zdrojového zařízení | Zdroj Zařízení |
| SrcDvcType | String | Mobilní | Typ zdrojového zařízení | Zdroj Zařízení |
| SrcInterfaceName | String | eth01 | Síťové rozhraní používané pro připojení nebo relaci zdrojovým zařízením. | Zdroj |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | IDENTIFIKÁTOR GUID použitého síťového rozhraní | Zdroj |
| SrcIpAddr | IP adresa | 77.138.103.108 | IP adresa, ze které pochází připojení nebo relace. | Zdroj IP |
| SrcDvcIpAddr | IP adresa | 77.138.103.108 | Zdrojová IP adresa zařízení, která není přímo přidružená k síťovému paketu (shromažďovaná poskytovatelem nebo explicitně vypočtena). | Zdroj Zařízení IP |
| SrcGeoLatitude | Zeměpisná šířka (double) | 44.475833 | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese | Zdroj Geo |
| SrcGeoLongitude | Zeměpisná délka (double) | -73.211944 | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese | Zdroj Geo |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | Adresa MAC síťového rozhraní, ze kterého relace připojení od pochází. | Zdroj Mac |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | Zdrojová adresa MAC zařízení, které není přímo přidružené k síťovému paketu. | Zdroj Zařízení Mac |
| SrcPortNumber | Celé číslo | 2335 | Port IP, ze kterého připojení pochází. Nemusí být relevantní pro relaci, která obsahuje více připojení. | Zdroj Port |
| SrcGeoRegion | Oblast (řetězec) | Vermont | Oblast v rámci země nebo oblasti přidružené ke zdrojové IP adrese | Zdroj Geo |
| SrcResourceId | String | /subscriptions/aa0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | ID prostředku zařízení, které generuje zprávu. | Zdroj |
| SrcNatIpAddr | IP adresa | 4.3.2.1 | Pokud zprostředkovatel zařízení NAT nahlásí, jako je brána firewall, IP adresa používaná zařízením NAT pro komunikaci s cílem. | Zdrojový překlad adres (NAT), IP |
| SrcNatPortNumber | Celé číslo | 345 | Pokud zprostředkovatel zařízení NAT nahlásí, jako je brána firewall, port používaný zařízením NAT pro komunikaci s cílem. | Zdrojový překlad adres (NAT), Port |
| SrcUserSid | ID uživatele (řetězec) | S-15-1445 | ID uživatele identity přidružené ke zdroji relací. Uživatel obvykle provádí akci na klientovi. Další informace naleznete v tématu Datové typy a formáty. | Zdroj Uživatelská |
| SrcUserAadId | Řetězec (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | ID objektu účtu Microsoft Entra uživatele na zdrojovém konci relace | Zdroj Uživatelská |
| SrcUserName | Uživatelské jméno (řetězec) | olovnice | Uživatelské jméno identity přidružené ke zdroji relací. Uživatel obvykle provádí akci na klientovi. Další informace naleznete v tématu Datové typy a formáty. | Zdroj Uživatelská |
| SrcUserUpn | string | bob@alice.com | Hlavní název uživatele (UPN) účtu, který spouští relaci | Zdroj Uživatelská |
| SrcUserDomain | string | DESKTOP | Doména pro účet, který spouští relaci | Zdroj Uživatelská |
| SrcZone | String | Klepnout | Zóna sítě zdroje definovaná zařízením pro vytváření sestav. | Zdroj |
| NetworkProtocol | String | TCP | Protokol IP používaný připojením nebo relací. Obvykle, TCP, UDP nebo ICMP | Síť |
| CloudAppName | String | Název cílové aplikace pro aplikaci HTTP, jak je identifikováno proxy serverem. | Cloud | |
| CloudAppId | String | 124 | ID cílové aplikace pro aplikaci HTTP, jak je identifikováno proxy serverem. Tato hodnota je obvykle specifická pro použitý proxy server. | Cloud |
| CloudAppOperation | String | DeleteFile | Operace, kterou uživatel provedl v kontextu cílové aplikace pro aplikaci HTTP, jak je identifikováno proxy serverem. Tato hodnota je obvykle specifická pro použitý proxy server. | Cloud |
| CloudAppRiskLevel | String | 3 | Úroveň rizika přidružená k aplikaci HTTP identifikovaná proxy serverem. Tato hodnota je obvykle specifická pro použitý proxy server. | Cloud |
| Jméno souboru | String | ImNotMalicious.exe | Název souboru přenášený přes síťová připojení pro protokoly, jako je FTP a HTTP, které poskytují informace o názvu souboru. | Soubor |
| Cesta k souboru | String | C:\Škodlivý\ImNotMalicious.exe | Úplná cesta, včetně názvu souboru, souboru | Soubor |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | Hodnota hash MD5 souboru přenášeného přes síťová připojení pro protokoly. | Soubor |
| FileHashSha1 | String | 491AE3... C299821476F4 | Hodnota hash SHA1 souboru přenášeného přes síťová připojení pro protokoly. | Soubor |
| FileHashSha256 | String | 9B8F8EDB... C129976F03 | Hodnota hash SHA256 souboru přenášeného přes síťová připojení pro protokoly. | Soubor |
| FileHashSha512 | String | 5E127D... F69F73F01F361 | Hodnota hash SHA512 souboru přenášeného přes síťová připojení pro protokoly. | Soubor |
| FileExtension | String | exe | Typ souboru přenášeného přes síťová připojení pro protokoly, jako je FTP a HTTP. | Soubor |
| FileMimeType | String | application/msword | Typ MIME souboru přenášeného přes síťová připojení pro protokoly, jako je FTP a HTTP | Soubor |
| Velikost souboru | Celé číslo | 23500 | Velikost souboru v bajtech souboru přenášeného přes síťová připojení pro protokoly. | Soubor |
| HttpVersion | String | 2.0 | Verze požadavku HTTP pro síťová připojení HTTP/HTTPS. | HTTP |
| HttpRequestMethod | String | GET | Metoda HTTP pro síťové relace HTTP/HTTPS. | HTTP |
| HttpStatusCode | String | 404 | Stavový kód HTTP pro síťové relace HTTP/HTTPS. | HTTP |
| HttpContentType | String | multipart/form-data; hranice=něco | Hlavička typu obsahu odpovědi HTTP pro síťové relace HTTP/HTTPS. | HTTP |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | Hlavička refereru HTTP pro síťové relace HTTP/HTTPS. | HTTP |
| HttpUserAgentOriginal | String | Mozilla/5.0 (systém Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36 | Hlavička uživatelského agenta HTTP pro síťové relace HTTP/HTTPS. | HTTP |
| HttpRequestXff | String | 120.12.41.1 | Hlavička HTTP X-Forwarded-For pro síťové relace HTTP/HTTPS. | HTTP |
| UrlCategory | String | Vyhledávače | Definované seskupení adresy URL, případně na základě domény v adrese URL, související s obsahem. Příklad: pro dospělé, zprávy, reklamu, parkované domény atd.) | url |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | Adresa URL požadavku HTTP pro síťové relace HTTP/HTTPS. | URL |
| UrlHostname | String | contoso.com | Doména adresy URL požadavku HTTP pro síťové relace HTTP/HTTPS. | URL |
| ThreatCategory | String | Trojský | Kategorie hrozby identifikované systémem zabezpečení, jako je brána zabezpečení ips, a je přidružená k této síťové relaci. | Hrozba |
| ThreatId | String | Tr.124 | ID hrozby identifikované systémem zabezpečení, jako je brána zabezpečení serveru IPS, a je přidružená k této síťové relaci. | Hrozba |
| ThreatName | String | Testovací soubor EICAR | Název zjištěné hrozby nebo malwaru | Hrozba |
| Další pole | Dynamická (taška JSON) | { Vlastnost1: "val1", Vlastnost2: "val2" } |
Pokud se odpovídající sloupec ve schématu shoduje, můžou být další pole uložená v pytli JSON. Pro analýzu času dotazu doporučujeme místo použití tašky JSON propagovat další sloupce, protože balení dat do kódu JSON sníží výkon dotazů. |
Vlastní pole |
Rozdíly mezi verzí 0.1 a verzí 0.2
Původní verze schématu normalizace relace služby Microsoft Sentinel Network verze 0.1 byla vydána jako verze Preview před dostupností ASIM.
Rozdíly mezi verzí 0.1, zdokumentovanou v tomto článku a verzí 0.2.x :
- Ve verzi 0.2 se změnily názvy analyzátoru specifické pro sjednocení a zdroje tak, aby odpovídaly standardním zásadám vytváření názvů ASIM.
- Verze 0.2 přidává specifické pokyny a sjednocení analyzátorů, aby vyhovovaly konkrétním typům zařízení.
Následující části popisují, jak se verze 0.2.x liší pro konkrétní pole.
Přidání polí ve verzi 0.2
Následující pole byla přidána ve verzi 0.2.x a ve verzi 0.1 neexistují:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- UdálostOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- URL
Nově aliasovaná pole ve verzi 0.2
Následující pole jsou teď aliasována ve verzi 0.2.x se zavedením ASIM:
| Pole ve verzi 0.1 | Alias ve verzi 0.2 |
|---|---|
| ID relace | NetworkSessionId |
| Doba trvání | Doba trvání sítě |
| IpAddr | SrcIpAddr |
| Uživatelská | DstUsername |
| Název hostitele | DstHostname |
| UserAgent | HttpUserAgent |
Upravená pole ve verzi 0.2
Následující pole jsou uvedena ve verzi 0.2.x a vyžadují konkrétní hodnotu ze zadaného seznamu.
- Typ události
- EventResultDetails
- EventSeverity
Přejmenovaná pole ve verzi 0.2
Následující pole byla přejmenována ve verzi 0.2.x:
Ve verzi 0.2 použijte předdefinovaná pole Log Analytics:
Všimněte si, že
ingestion_time()je to funkce KQL, nikoli název pole.Pole ve verzi 0.1 Přejmenováno ve verzi 0.2 EventResourceId _ResourceId Id události _ItemId EventTimeIngested ingestion_time() Přejmenováno tak, aby odpovídalo vylepšením v ASIM a OSSEM:
Pole ve verzi 0.1 Přejmenováno ve verzi 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Přejmenováno tak, aby odráželo, že cílem relace sítě nemusí být cloudová služba:
Pole ve verzi 0.1 Přejmenováno ve verzi 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Přejmenováno na změnu případu a sladění se zpracováním entity uživatele ASIM:
Pole ve verzi 0.1 Přejmenováno ve verzi 0.2 DstUserName DstUsername SrcUserName SrcUsername Přejmenováno tak, aby lépe odpovídalo entitě zařízení ASIM a umožňovalo id prostředků kromě Azure:
Pole ve verzi 0.1 Přejmenováno ve verzi 0.2 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId Přejmenováno na odebrání
Dvcřetězce z názvů polí, protože zpracování ve verzi 0.1 bylo nekonzistentní:Pole ve verzi 0.1 Přejmenováno ve verzi 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Přejmenováno tak, aby odpovídalo pokynům k reprezentaci souborů ASIM:
Pole ve verzi 0.1 Přejmenováno ve verzi 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Odebrání polí ve verzi 0.2
Následující pole existují pouze ve verzi 0.1 a byla odebrána ve verzi 0.2.x:
| Důvod | Odebraná pole |
|---|---|
Odebráno, protože existují duplicity bez Dvc řetězce v názvu pole. |
– DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Odebrání pro sladění se zpracováním adres URL ASIM | - UrlHostname |
| Odebráno, protože tato pole nejsou obvykle poskytována jako součást událostí relace sítě. Pokud událost obsahuje tato pole, pomocí schématu událostí procesu zjistěte, jak popsat vlastnosti zařízení. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber – DvcMacAddr - DvcOs |
| Odebrání odpovídající pokynům k reprezentaci souborů ASIM | – Cesta k souboru - FileExtension |
| Odebráno, protože toto pole označuje, že se má použít jiné schéma, například schéma ověřování. | – CloudAppOperation |
Odebráno při duplikátu DstHostname |
- DstDomainHostname |
Další kroky
Další informace naleznete v tématu:
- Normalizace v Microsoft Sentinelu
- Referenční informace ke schématu normalizace ověřování služby Microsoft Sentinel (Public Preview)
- Referenční informace ke schématu normalizace událostí souboru Služby Microsoft Sentinel (Public Preview)
- Referenční informace ke schématu normalizace DNS služby Microsoft Sentinel
- Referenční informace ke schématu normalizace událostí procesu služby Microsoft Sentinel
- Referenční informace ke schématu normalizace událostí registru služby Microsoft Sentinel (Public Preview)