Freigeben über


Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)

Ein Schema für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM) ist ein Satz von Feldern, die eine Aktivität darstellen. Die Verwendung der Felder eines normalisierten Schemas in einer Abfrage stellt sicher, dass die Abfrage mit jeder normalisierten Quelle verwendet werden kann.

Informationen zu Schemas in der ASIM-Architektur finden Sie im ASIM-Architekturdiagramm.

Schemaverweise beschreiben die Felder, die jedes Schema umfasst. In ASIM sind derzeit die folgenden Schemas definiert:

Schema Version Status
Überwachungsereignis 0,1 Vorschau
Authentifizierungsereignis 0.1.3 Vorschau
DNS-Aktivität 0.1.7 Vorschau
DHCP-Aktivität 0,1 Vorschau
Dateiaktivität 0.2.1 Vorschau
Netzwerksitzung 0.2.6 Vorschau
Prozessereignis 0.1.4 Vorschau
Registrierungsereignis 0.1.2 Vorschau
Benutzerverwaltung 0,1 Vorschau
Websitzung 0.2.6 Vorschau

Wichtig

ASIM-Schemas und -Parser befinden sich derzeit in der Vorschauversion. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Schemakonzepte

Die folgenden Konzepte helfen Ihnen, die Schemaverweisdokumente zu verstehen und erweitern das Schema auf normalisierte Weise, falls Ihre Daten Informationen enthalten, die das Schema nicht abdeckt.

Konzept BESCHREIBUNG
Feldnamen Der Kern jedes Schemas sind die Feldnamen. Feldnamen lassen sich in folgende Gruppen einordnen:

– Felder, die allen Schemas gemeinsam sind.
– Felder, die für ein Schema spezifisch sind.
– Felder, die Entitäten darstellen, z. B. Benutzer, die am Schema mitwirken. Felder, die Entitäten darstellen, sind in allen Schemas ähnlich.

Wenn Quellen Felder enthalten, die nicht im dokumentierten Schema angegeben sind, werden sie zur Wahrung der Konsistenz normalisiert. Wenn die zusätzlichen Felder eine Entität darstellen, werden sie basierend auf den Leitfäden für Entitätsfelder normalisiert. Andernfalls wird in den Schemas versucht, die Konsistenz über alle Schemas hinweg zu wahren.

Beispielsweise enthalten die Aktivitätsprotokolle von DNS-Servern keine Benutzerinformationen, während die DNS-Aktivitätsprotokolle eines Endpunkts Benutzerinformationen enthalten können, die entsprechend den Leitfäden für die Benutzerentität normalisiert werden können.
Feldtypen Jedem Schemafeld ist ein Typ zugeordnet. Der Log Analytics-Arbeitsbereich verfügt über eine begrenzte Anzahl von Datentypen. Daher wird in Microsoft Sentinel für viele Schemafelder ein logischer Typ verwendet, der in Log Analytics nicht erzwungen wird, jedoch für die Schemakompatibilität erforderlich ist. Durch logische Feldtypen wird sichergestellt, dass Werte sowie Feldnamen in allen Quellen konsistent sind.

Weitere Informationen finden Sie unter Logische Typen.
Feldklasse Felder können mehrere Klassen beinhalten, die definieren, wann die Felder durch einen Parser implementiert werden sollen:

- Erforderliche Felder müssen in jedem Parser angezeigt werden. Wenn eine Quelle keine Informationen für diesen Wert enthält oder die Daten nicht anderweitig hinzugefügt werden können, werden die meisten Inhaltselemente, die auf das normalisierte Schema verweisen, nicht unterstützt.
- Empfohlene Felder sollten normalisiert werden, falls sie verfügbar sind. Sie sind jedoch möglicherweise nicht in jeder Quelle verfügbar. Jedes Inhaltselement, das auf dieses normalisierte Schema verweist, sollte die Verfügbarkeit berücksichtigen.
- Optionale Felder können, falls vorhanden, normalisiert oder in ihrer ursprünglichen Form belassen werden. Normalerweise werden sie aus Leistungsgründen durch einen sehr einfachen Parser nicht normalisiert.
- Bedingte Felder sind obligatorisch, wenn das Feld, auf das sie folgen, ausgefüllt ist. Bedingte Felder werden in der Regel verwendet, um den Wert in einem anderen Feld zu beschreiben. Beispielsweise beschreibt das allgemeine Feld DvcIdType den Integer-Wert im allgemeinen Feld DvcId und ist daher obligatorisch, wenn letzteres ausgefüllt ist.
- Alias ist ein besonderer Typ eines bedingten Felds und obligatorisch, wenn das Aliasfeld ausgefüllt ist.
Allgemeine Felder Einige Felder sind in allen ASIM-Schemas enthalten. Jedes Schema kann Richtlinien für die Verwendung einiger der allgemeinen Felder im Kontext des jeweiligen Schemas hinzufügen. Beispielsweise können die zulässigen Werte für das Feld EventType und für das Feld EventSchemaVersion je nach Schema unterschiedlich sein.
Entitäten Ereignisse entwickeln sich im Zusammenhang mit Entitäten wie Benutzern, Hosts, Prozessen oder Dateien. Für jede Entität können mehrere Felder erforderlich sein, um sie zu beschreiben. Beispielsweise kann ein Host einen Namen und eine IP-Adresse aufweisen.

Ein einzelner Datensatz kann mehrere Entitäten desselben Typs enthalten, z. B. einen Quell- und Zielhost.

ASIM definiert, wie Entitäten konsistent beschrieben werden. Mit Entitäten lassen sich die Schemas erweitern.

Während das Netzwerksitzungsschema beispielsweise keine Prozessinformationen enthält, enthalten einige Ereignisquellen Prozessinformationen, die hinzugefügt werden können. Weitere Informationen finden Sie unter Entitäten.
Aliase Aliase ermöglichen mehrere Namen für einen angegebenen Wert. In einigen Fällen erwarten verschiedene Benutzer, dass ein Feld unterschiedliche Namen hat. In der DNS-Terminologie wird z. B. ein Feld mit dem Namen DnsQuery erwartet, während es in allgemeineren Anwendungsfällen einen Domänennamen enthält. Der Alias Domäne hilft Benutzer*innen, indem er die Verwendung beider Namen zulässt.

In einigen Fällen kann ein Alias den Wert eines von mehreren Feldern haben, je nachdem, welche Werte im Ereignis verfügbar sind. Beispielsweise werden mit dem Dvc-Alias entweder die Felder DvcFQDN, DvcId, DvcHostname, DvcIpAddr oder Ereignisprodukt benannt. Da ein Alias mehrere Werte haben kann, muss sein Typ eine Zeichenfolge sein, die alle möglichen Aliaswerte aufnimmt. Achten Sie daher beim Zuweisen eines Werts zu einem solchen Alias darauf, den Typ mithilfe der KQL-Funktion tostring in eine Zeichenfolge zu konvertieren.

Native normalisierte Tabellen enthalten keine Aliase, da diese den Datenspeicher verdoppeln würden. Stattdessen werden Aliase über Stubparser hinzugefügt. Um Aliase in Parsern zu implementieren, erstellen Sie mithilfe des extend-Operators eine Kopie des ursprünglichen Werts.

Logische Typen

Jedem Schemafeld ist ein Typ zugeordnet. Einige Felder verfügen über integrierte Azure Log Analytics-Typen wie string, int, datetime oder dynamic. Andere Felder verfügen über einen logischen Typ, der angibt, wie die Feldwerte normalisiert werden sollen.

Datentyp Physischer Typ Format und Wert
Boolean Bool Verwenden Sie den integrierten KQL-Datentyp bool anstelle einer numerischen oder Zeichenfolgendarstellung boolescher Werte.
Enumeration String Eine Liste von Werten, die explizit für das Feld definiert sind. In der Schemadefinition sind die akzeptierten Werte aufgeführt.
Datum/Uhrzeit Verwenden Sie je nach Erfassungsmethode eine der folgenden physischen Darstellungen in absteigender Priorität:

- Integrierter datetime-Typ von Log Analytics
- Integerfeld, das die numerische datetime-Darstellung von Log Analytics verwendet.
- Zeichenfolgenfeld, das die numerische datetime-Darstellung von Log Analytics verwendet
- Zeichenfolgenfeld, in dem ein unterstütztes datetime-Format von Log Analytics gespeichert wird.
Die Darstellung von Datums- und Uhrzeitwerten in Log Analytics ähnelt der UNIX-Darstellung, weist aber Unterschiede auf. Weitere Informationen finden Sie in den Konvertierungsleitfäden.

Hinweis: Die Zeitwerte sollten gegebenenfalls an die Zeitzone angepasst sein.
MAC address (MAC-Adresse) String Hexadezimalnotation mit Doppelpunkt.
IP-Adresse String Microsoft Sentinel-Schemas enthalten keine separaten IPv4- und IPv6-Adressen. Jedes IP-Adressfeld kann wie folgt entweder eine IPv4-Adresse oder eine IPv6-Adresse enthalten:

- IPv4 in einer Dezimalnotation mit Punkt.
- IPv6 in 8-Hextett-Notation, die die Kurzform ermöglicht.

Zum Beispiel:
- IPv4: 192.168.10.10
- IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
- IPv6-Kurzform: 1080::8:800:200C:417A
FQDN String Ein vollqualifizierter Domänenname mit Punktnotation, z. B. learn.microsoft.com. Weitere Informationen finden Sie unter Geräteentität.
Hostname String Ein Hostname, der kein FQDN ist, umfasst bis zu 63 Zeichen, einschließlich Buchstaben, Zahlen und Bindestrichen. Weitere Informationen finden Sie unter Geräteentität.
DomainType Enumerated Der Typ der Domäne, der in Domänen- und FQDN-Feldern gespeichert ist. Eine Liste der Werte sowie weitere Informationen finden Sie unter Die Geräteentität.
DvcIdType Enumerated Der Typ der in DvcId-Feldern gespeicherten Geräte-ID. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType.
DeviceType Enumerated Der Typ des Geräts, das in DeviceType-Feldern gespeichert ist. Mögliche Werte sind:
- Computer
- Mobile Device
- IOT Device
- Other. Weitere Informationen finden Sie unter Geräteentität.
Username String Ein gültiger Benutzername in einem der unterstützten Typen. Weitere Informationen finden Sie unter Benutzerentität.
UsernameType Enumerated Der Typ des Benutzernamens, der in Benutzernamenfeldern gespeichert ist. Weitere Informationen und eine Liste der unterstützten Werte finden Sie unter Die Benutzerentität.
UserIdType Enumerated Der Typ der in Benutzer-ID-Feldern gespeicherten ID.

Die Werte SID, UIS, AADID, OktaId, AWSId und PUID werden unterstützt. Weitere Informationen finden Sie unter Benutzerentität.
UserType Enumerated Der Typ eines Benutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter Die Benutzerentität.
AppType Enumerated Der Typ einer Anwendung. Unterstützte Werte: Process.
, Service, Resource, URL, SaaS application, CSP und Other.
Country String Eine Zeichenfolge unter Verwendung von ISO 3166-1, entsprechend der folgenden Priorität:

– Alpha-2-Codes, z. B. US für die USA.
– Alpha-3-Codes, z. B. USA für die USA.
– Kurzname.

Die Liste der Codes finden Sie auf der Website der International Standards Organization (ISO).
Region String Der Name der Untereinheiten von Ländern/Regionen nach ISO 3166-2.

Die Liste der Codes finden Sie auf der Website der International Standards Organization (ISO).
City (Ort) String
Longitude (Längengrad) Double ISO 6709-Koordinatendarstellung (Dezimalwert mit Vorzeichen).
Latitude (Breitengrad) Double ISO 6709-Koordinatendarstellung (Dezimalwert mit Vorzeichen).
MD5 String 32-Hexadezimalzeichen.
SHA1 String 40-Hexadezimalzeichen.
SHA256 String 64-Hexadezimalzeichen.
SHA512 String 128-Hexadezimalzeichen.

Entitäten

Ereignisse entwickeln sich im Zusammenhang mit Entitäten wie Benutzern, Hosts, Prozessen oder Dateien. Die Entitätsdarstellung ermöglicht, dass mehrere Entitäten desselben Typs Teil eines einzelnen Datensatzes sind, und sie unterstützt mehrere Attribute für dieselben Entitäten.

Zur Ermöglichung von Entitätsfunktionen gelten für die Entitätsdarstellung die folgenden Richtlinien:

Vorgabe BESCHREIBUNG
Deskriptoren und Aliase Da ein einzelnes Ereignis häufig mehrere Entitäten desselben Typs enthält, z. B. Quell- und Zielhosts, werden Deskriptoren als Präfix verwendet, um alle Felder zu identifizieren, die einer bestimmten Entität zugeordnet sind.

Zur Aufrechterhaltung der Normalisierung wird in ASIM eine kleine Gruppe von Standarddeskriptoren verwendet, die für die spezifische Rolle der Entitäten am besten geeignet sind.

Wenn eine einzelne Entität eines Typs für ein Ereignis relevant ist, ist es nicht erforderlich, einen Deskriptor zu verwenden. Außerdem wird ein Satz von Feldern ohne Deskriptor als Alias für die am häufigsten verwendete Entität für jeden Typ verwendet.
Bezeichner und Typen Ein normalisiertes Schema ermöglicht mehrere Bezeichner für jede Entität, die voraussichtlich in Ereignissen gleichzeitig vorhanden sind. Wenn das Quellereignis andere Entitätsbezeichner enthält, die nicht dem normalisierten Schema zugeordnet werden können, behalten Sie sie im Quellformat bei, oder verwenden Sie das dynamische Feld AdditionalFields.

Zum Verwalten der Typinformationen für die Bezeichner speichern Sie den Typ ggf. in einem Feld mit dem gleichen Namen und dem Suffix Type. Beispiel: UserIdType.
Attribute Entitäten umfassen häufig andere Attribute, die nicht als Bezeichner dienen und auch mit einem Deskriptor qualifiziert werden können. Wenn der Quellbenutzer z. B. Domäneninformationen enthält, lautet das normalisierte Feld SrcUserDomain.

Mit jedem Schema werden explizit die zentralen Entitäten und Entitätsfelder definiert. Die folgenden Richtlinien helfen Ihnen, die zentralen Schemafelder zu verstehen, und zeigen Ihnen, wie Sie Schemas auf normalisierte Weise mit anderen Entitäten oder Entitätsfeldern erweitern können, die nicht explizit im Schema definiert sind.

Die Benutzerentität

Benutzer sind zentral für Aktivitäten, die von Ereignissen gemeldet werden. Die in diesem Abschnitt aufgeführten Felder werden verwendet, um die an der Aktion beteiligten Benutzer zu beschreiben. Präfixe werden verwendet, um die Rolle des Benutzers in der Aktivität zu bestimmen. Die Präfixe Src und Dst werden verwendet, um die Benutzerrolle in netzwerkbezogenen Ereignissen festzulegen, in denen ein Quellsystem und ein Zielsystem kommunizieren. Die Präfixe „Actor“ und „Target“ werden für systemorientierte Ereignisse wie Prozessereignisse verwendet.

Die Benutzer-ID und der Bereich

Feld Klasse type BESCHREIBUNG
UserId Optional String Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Benutzers.
UserScope Optional Zeichenfolge Der Bereich, in dem UserId und Username definiert sind. Zum Beispiel einen Microsoft Entra-Mandanten-Domänennamen. Das Feld UserIdType repräsentiert auch den Typ der mit diesem Feld verknüpften Benutzer-ID.
UserScopeId Optional Zeichenfolge Die ID des Bereichs, in dem UserId und Username definiert sind. Zum Beispiel eine Microsoft Entra-Mandantenverzeichnis-ID. Das Feld UserIdType repräsentiert auch den Typ der mit diesem Feld verknüpften Benutzer-ID.
UserIdType Optional UserIdType Der Typ der ID, die im Feld UserId gespeichert ist.
UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid Optional String Felder, die zum Speichern bestimmter Benutzer-IDs verwendet werden. Wählen Sie die ID aus, die dem Ereignis am häufigsten zugeordnet ist, als primäre ID, die in UserId gespeichert ist. Füllen Sie das relevante spezifische ID-Feld zusätzlich zu UserId auf, auch wenn das Ereignis nur eine ID aufweist.
UserAADTenant, UserAWSAccount Optional String Felder, die zum Speichern bestimmter Bereiche verwendet werden. Verwenden Sie das Feld UserScope für den Bereich, der mit der im Feld UserId gespeicherten ID verknüpft ist. Füllen Sie das relevante spezifische Bereichsfeld zusätzlich zu UserScope auf, auch wenn das Ereignis nur eine ID aufweist.

Die zulässigen Werte für einen Benutzer-ID-Typ sind:

Typ Beschreibung Beispiel
SID Eine Windows-Benutzer-ID. S-1-5-21-1377283216-344919071-3415362939-500
UID Eine Linux-Benutzer-ID. 4578
AADID Eine Microsoft Entra-Benutzer-ID. 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
OktaId Eine Okta Benutzer-ID. 00urjk4znu3BcncfY0h7
AWSId Eine AWS-Benutzer-ID. 72643944673
PUID Eine Microsoft 365-Benutzer-ID. 10032001582F435C
SalesforceId Eine Salesforce-Benutzer-ID. 00530000009M943

Benutzername

Feld Klasse type BESCHREIBUNG
Username Optional String Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld UsernameType.
UsernameType Optional UsernameType Gibt den Typ des Benutzernamens an, der im Feld Username gespeichert ist.
UserUPN, WindowsUsername, DNUsername, SimpleUsername Optional String Felder, die zum Speichern zusätzlicher Benutzernamen verwendet werden, wenn das ursprüngliche Ereignis mehrere Benutzernamen enthält. Wählen Sie den Benutzernamen, der dem Ereignis am häufigsten zugeordnet ist, als primären Benutzernamen aus, der unter Benutzername gespeichert ist.

Die zulässigen Werte für einen Benutzernamentyp sind:

type Beschreibung Beispiel
UPN Ein UPN- oder E-Mail-Benutzername-Designator. johndow@contoso.com
Windows Ein Windows Benutzername einschließlich einer Domäne. Contoso\johndow
DN Ein Designator für einen eindeutigen LDAP-Namen. CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
Einfach Ein einfacher Benutzername ohne Domänen-Designator. johndow
AWSId Eine AWS-Benutzer-ID. 72643944673

Zusätzliche Benutzerfelder

Feld Klasse type BESCHREIBUNG
UserType Optional UserType Der Typ des Quellbenutzers. Unterstützte Werte sind:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Service
- Anonymous
- Other.

Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld OriginalUserType.
OriginalUserType Optional String Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt.

Die Geräteentität

Geräte oder Hosts sind die allgemeinen Begriffe, die für die Systeme verwendet werden, die an dem Ereignis beteiligt sind. Das Präfix Dvc wird verwendet, um das primäre Gerät festzulegen, auf dem das Ereignis erfolgt. Einige Ereignisse, wie z. B. Netzwerksitzungen, verfügen über Quell- und Zielgeräte, die durch die Präfixe Src und Dst bestimmt sind. In diesem Fall wird das Präfix Dvc für das Gerät verwendet, das das Ereignis meldet. Dies kann die Quelle, das Ziel oder ein Überwachungsgerät sein.

Die Gerätealiase.

Feld Klasse type BESCHREIBUNG
Dvc, Src, Dst Obligatorisch. String Die Felder Dvc, „Src“ oder „Dst“ werden als eindeutiger Bezeichner des Geräts verwendet. Er ist auf die besten für das Gerät verfügbaren Bezeichner festgelegt. Diese Felder können als Alias für die Felder FQDN, DvcId, Hostname oder IpAddr verwendet werden. Verwenden Sie für Cloudquellen, für die es kein offensichtliches Gerät gibt, den gleichen Wert wie das Feld Ereignisprodukt.

Der Gerätename

Gemeldete Gerätenamen können nur einen Hostnamen oder einen vollqualifizierten Domänennamen (FQDN) enthalten, der einen Hostnamen und einen Domänennamen enthält. Der FQDN kann mithilfe mehrerer Formate ausgedrückt werden. In den folgenden Feldern werden die verschiedenen Varianten unterstützt, in denen der Gerätename angegeben werden kann.

Feld Klasse type BESCHREIBUNG
Hostname Empfohlen Hostname Der kurze Hostname des Geräts.
Domäne Empfohlen String Die Domäne des Geräts, auf dem das Ereignis aufgetreten ist, ohne den Hostnamen.
DomainType Empfohlen Enumerated Der Typ der Domäne. Unterstützte Werte: FQDN und Windows. Dieses Feld ist erforderlich, wenn das Feld Domain verwendet wird.
FQDN Optional String Der FQDN des Geräts, einschließlich Hostname und Domäne. Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld DomainType spiegelt das verwendete Format wider.

Beispiel:

Feld Wert für Eingabe appserver.contoso.com Wert für Eingabe appserver
Hostname appserver appserver
Domäne contoso.con <empty>
DomainType FQDN <empty>
FQDN appserver.contoso.com <empty>

Wenn der von der Quelle bereitgestellte Wert ein FQDN ist oder der Wert entweder ein FQDN oder ein kurzer Hostname sein kann, sollte der Parser die 4 Werte berechnen. Verwenden Sie die ASIM-Hilfsfunktionen_ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN und _ASIM_ResolveDvcFQDN, um einfach alle vier Felder basierend auf einem einzelnen Eingabewert festzulegen. Weitere Informationen finden Sie unter ASIM- Hilfsfunktionen.

Die Geräte-ID und der Gerätebereich.

Feld Klasse type BESCHREIBUNG
DvcId Optional String Die eindeutige ID des Geräts. Beispiel: 41502da5-21b7-48ec-81c9-baeea8d7d669
ScopeId Optional String Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. Scope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
Scope Optional String Der Cloudplattformbereich, zu dem das Gerät gehört. Scope wird einem Abonnement in Azure und einem Konto in AWS zugeordnet.
DvcIdType Optional Enumerated Der Typ von DvcId. Dieses Feld identifiziert in der Regel auch den Typ von Scope und ScopeId. Dieses Feld ist ein Pflichtfeld, wenn das Feld Dvcld verwendet wird.
DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId Optional String Felder, die zum Speichern zusätzlicher Geräte-IDs verwendet werden, wenn das ursprüngliche Ereignis mehrere Geräte-IDs enthält. Wählen Sie die ID, die dem Ereignis am häufigsten zugeordnet ist, als primäre ID aus, die in Dvcld gespeichert ist.

Beachten Sie, dass den benannten Feldern ein Rollenpräfix wie z. B. Src oder Dst, aber kein zweites Dvc-Präfix vorangestellt werden sollte, wenn sie in dieser Rolle verwendet werden.

Die zulässigen Werte für einen Geräte-ID-Typ sind:

Typ BESCHREIBUNG
MDEid Die für den Endpunkt von Microsoft Defender zugewiesene System-ID.
AzureResourceId Die Azure-Ressourcen-ID.
MD4IoTid Die Microsoft Defender für IoT-Ressourcen-ID.
VMConnectionId Die AZURE Monitor-VM Insights Lösungsressourcen-ID.
AwsVpcId Eine AWS VPC-ID.
VectraId Eine Vectra AI zugewiesene Ressourcen-ID.
Andere Ein ID-Typ, der oben nicht aufgeführt ist.

Beispielsweise stellt die VM Insights-Lösung von Azure Monitor Netzwerksitzungsinformationen in der VMConnection bereit. Die Tabelle stellt eine Azure-Ressourcen-ID im Feld _ResourceId und eine spezielle VM Insights-Geräte-ID im Feld Machine bereit. Verwenden Sie die folgende Zuordnung, um diese IDs darzustellen:

Feld Zuordnen zu
DvcId Das Feld Machine in der Tabelle VMConnection.
DvcIdType Der VMConnectionId-Wert
DvcAzureResourceId Das Feld _ResourceId in der Tabelle VMConnection.

Zusätzliche Gerätefelder

Feld Klasse type BESCHREIBUNG
IpAddr Empfohlen IP-Adresse Die IP-Adresse des Geräts

Beispiel: 45.21.42.12
DvcDescription Optional String Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller.
MacAddr Optional MAC Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: 00:1B:44:11:3A:B7
Zone Optional String Je nach Schema ist dies das Netzwerk, in dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Die Zone wird vom meldenden Gerät definiert.

Beispiel: Dmz
DvcOs Optional String Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: Windows
DvcOsVersion Optional String Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: 10
DvcAction Optional String Bei meldenden Sicherheitssystemen ist dies die vom System ausgeführte Aktion (falls zutreffend).

Beispiel: Blocked
DvcOriginalAction Optional String Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben.
Schnittstelle Optional String Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder TAP-Gerät erfasst werden.

Beachten Sie, dass den in der Liste mit dem Präfix Dvc benannten Feldern ein Rollenpräfix wie z. B. Src oder Dst, aber kein zweites Dvc-Präfix vorangestellt werden sollte, wenn sie in dieser Rolle verwendet werden.

Beispiel von Entitätszuordnung

In diesem Abschnitt wird am Beispiel des Windows-Ereignisses 4624 beschrieben, wie die Ereignisdaten für Microsoft Sentinel normalisiert werden.

Dieses Ereignis umfasst die folgenden Entitäten:

Microsoft-Terminologie Präfix des ursprünglichen Ereignisfelds Präfix des ASIM-Felds BESCHREIBUNG
Subject Subject Actor Der Benutzer, der Informationen zu einer erfolgreichen Anmeldung gemeldet hat.
Neue Anmeldung Target TargetUser Der Benutzer, für den die Anmeldung durchgeführt wurde.
Process - ActingProcess Der Prozess, über den die Anmeldung durchgeführt wurde.
Netzwerkinformationen - Src Der Computer, über den ein Anmeldeversuch durchgeführt wurde.

Basierend auf diesen Entitäten wird das Windows-Ereignis 4624 wie folgt normalisiert (einige Felder sind optional):

Normalisiertes Feld Ursprüngliches Feld Wert im Beispiel Notizen
ActorUserId SubjectUserSid S-1-5-18
ActorUserIdType - SID
ActorUserName SubjectDomainName\ SubjectUserName WORKGROUP\WIN-GG82ULGC9GO$ Erstellt durch Verkettung der beiden Felder
ActorUserNameType - Windows
ActorSessionId SubjectLogonId 0x3e7
TargetUserId TargetUserSid S-1-5-21-1377283216-344919071-3415362939-500
UserId TargetUserSid Alias
TargetUserIdType - SID
TargetUserName TargetDomainName\TargerUserName Administrator\WIN-GG82ULGC9GO$ Erstellt durch Verkettung der beiden Felder
Benutzername TargetDomainName\TargerUserName Alias
TargetUserNameType - Windows
TargetSessionId TargetLogonId 0x8dcdc
ActingProcessName ProcessName C:\Windows\System32\svchost.exe
ActingProcessId ProcessId 0x44c
SrcHostname WorkstationName Windows
SrcIpAddr IpAddress 127.0.0.1
SrcPortNumber IpPort 0
TargetHostname Computer WIN-GG82ULGC9GO
Hostname Computer Alias

Nächste Schritte

Dieser Artikel bietet eine Übersicht über Normalisierung in Microsoft Sentinel und ASIM.

Weitere Informationen finden Sie unter