Freigeben über

Referenz zu allgemeinen Schemafeldern des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) (Vorschauversion)

  • Artikel

Einige Felder sind in allen ASIM-Schemas enthalten. Jedes Schema kann Richtlinien für die Verwendung einiger der allgemeinen Felder im Kontext des jeweiligen Schemas hinzufügen. Beispielsweise können die zulässigen Werte für das Feld EventType und für das Feld EventSchemaVersion je nach Schema unterschiedlich sein.

Log Analytics-Standardfelder

Die folgenden Felder werden von Log Analytics in den meisten Fällen für jeden Datensatz generiert. Sie können überschrieben werden, wenn Sie einen benutzerdefinierten Connector erstellen.

Feld type Diskussion (Discussion)
TimeGenerated datetime Der Zeitpunkt, zu dem das Ereignis vom meldenden Gerät generiert wurde.
Type String Die ursprüngliche Tabelle, aus der der Datensatz abgerufen wurde. Dieses Feld ist nützlich, wenn dasselbe Ereignis über mehrere Kanäle in unterschiedlichen Tabellen empfangen werden kann und die gleichen EventVendor- und EventProduct-Werte vorliegen.

Ein Sysmon-Ereignis kann z. B. entweder in der Tabelle Event oder in der Tabelle WindowsEvent gesammelt werden.

Hinweis

Log Analytics fügt auch andere Felder hinzu, die für Sicherheitsanwendungsfälle weniger relevant sind. Weitere Informationen finden Sie unter Standardspalten in Azure Monitor-Protokollen.

Allgemeine ASIM-Felder

Die folgenden Felder werden von ASIM für alle Schemas definiert:

Ereignisfelder

Feld Klasse type BESCHREIBUNG
EventMessage Optional String Eine allgemeine Nachricht oder Beschreibung, entweder im Datensatz enthalten oder aus ihm generiert.
EventCount Obligatorisch. Integer Die Anzahl der Ereignisse, die vom Datensatz beschrieben werden.

Dieser Wert wird verwendet, wenn die Quelle Aggregation unterstützt. Ein einzelner Datensatz kann mehrere Ereignisse darstellen.

Legen Sie den Wert für andere Quellen auf 1 fest.
EventStartTime Obligatorisch. Datum/Uhrzeit Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar.
EventEndTime Obligatorisch. Datum/Uhrzeit Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar.
EventType Obligatorisch. Enumerated Beschreibt den vom Datensatz gemeldeten Vorgang. Jedes Schema definiert die Liste der für dieses Feld gültigen Werte. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalType gespeichert.
EventSubType Optional Enumerated Beschreibt eine Untereinheit des Vorgangs, der im Feld EventType gemeldet wird. Jedes Schema definiert die Liste der für dieses Feld gültigen Werte. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalSubType gespeichert.
EventResult Obligatorisch. Enumerated Einer der folgenden Werte: Success, Partial, Failure, NA (Not Applicable/nicht zutreffend).

Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Alternativ kann die Quelle auch nur das Feld EventResultDetails angeben, das analysiert werden muss, um den EventResult-Wert abzuleiten.

Beispiel: Success
EventResultDetails Empfohlen Enumerated Grund oder Details für das im Feld EventResult gemeldete Ergebnis. Jedes Schema definiert die Liste der für dieses Feld gültigen Werte. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalResultDetails gespeichert.

Beispiel: NXDOMAIN
EventUid Empfohlen String Die eindeutige ID des Datensatzes, die von Microsoft Sentinel zugewiesen wurde. Dieses Feld ist in der Regel dem Log Analytics-Feld _ItemId zugeordnet.
EventOriginalUid Optional String Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt.

Beispiel: 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType Optional String Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. Dieses Feld wird beispielsweise verwendet, um die ursprüngliche Windows-Ereignis-ID zu speichern. Dieser Wert wird verwendet, um das Feld EventType abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte.

Beispiel: 4624
EventOriginalSubType Optional String Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. Dieses Feld wird beispielsweise verwendet, um den ursprünglichen Windows-Anmeldetyp zu speichern. Dieser Wert wird verwendet, um das Feld EventSubType abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte.

Beispiel: 2
EventOriginalResultDetails Optional String Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. Dieser Wert wird verwendet, um das Feld EventResultDetails abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte.
EventSeverity Empfohlen Enumerated Der Schweregrad des Ereignisses. Gültige Werte sind Informational, Low, Medium oder High.
EventOriginalSeverity Optional String Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. Dieser Wert wird zum Ableiten von EventSeverity verwendet.
EventProduct Obligatorisch. String Das Produkt, das das Ereignis erzeugt. Der Wert sollte einer der unter Anbieter und Produkte aufgeführten Werte sein.

Beispiel: Sysmon
EventProductVersion Optional String Die Version des Produkts, das das Ereignis erzeugt.

Beispiel: 12.1
EventVendor Obligatorisch. String Der Hersteller des Produkts, das das Ereignis erzeugt. Der Wert sollte einer der unter Anbieter und Produkte aufgeführten Werte sein.

Beispiel: Microsoft

EventSchema Obligatorisch. String Das Schema, in das das Ereignis normalisiert wird. Jedes Schema dokumentiert seinen Schemanamen.
EventSchemaVersion Obligatorisch. String Die Version des Schemas. In jedem Schema ist die aktuelle Version dokumentiert.
EventReportUrl Optional String Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält.
EventOwner Optional String Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde

Gerätefelder

Die Rolle der Gerätefelder unterscheidet sich für unterschiedliche Schemas und Ereignistypen. Beispiel:

  • Für die Netzwerksitzungsereignisse enthalten Gerätefelder in der Regel Informationen zu dem Gerät, das das Ereignis generiert hat.
  • Für die Prozessereignisse enthalten die Gerätefelder Informationen zu dem Gerät, auf dem der Prozess ausgeführt wird.

Jedes Schemadokument gibt die Rolle des Geräts für das Schema an.

Feld Klasse type BESCHREIBUNG
Dvc Alias String Je nach Schema ist dies ein eindeutiger Bezeichner des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Dieses Feld kann ein Alias für die Felder DvcFQDN, DvcId, DvcHostname oder DvcIpAddr sein. Verwenden Sie für Cloudquellen, für die es kein offensichtliches Gerät gibt, den gleichen Wert wie das Feld Ereignisprodukt.
DvcIpAddr Empfohlen IP-Adresse Je nach Schema ist dies die IP-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: 45.21.42.12
DvcHostname Empfohlen Hostname Je nach Schema ist dies der Hostname des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: ContosoDc
DvcDomain Empfohlen String Je nach Schema ist dies die Domäne des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: Contoso
DvcDomainType Bedingt Enumerated Der Typ von DvcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType.

Hinweis: Dieses Feld ist erforderlich, wenn das Feld DvcDomain verwendet wird.
DvcFQDN Optional String Je nach Schema ist dies der Hostname des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: Contoso\DESKTOP-1282V4D

Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld DvcDomainType spiegelt das verwendete Format wider.
DvcDescription Optional String Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller.
DvcId Optional String Je nach Schema ist dies die eindeutige ID des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: 41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType Bedingt Enumerated Der Typ von DvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType.
- MDEid

Wenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der Liste, und speichern Sie die anderen anhand der Feldnamen DvcAzureResourceId bzw. DvcMDEid.

Hinweis: Dieses Feld ist erforderlich, wenn das Feld DvcId verwendet wird.
DvcMacAddr Optional MAC Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: 00:1B:44:11:3A:B7
DvcZone Optional String Je nach Schema ist dies das Netzwerk, in dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Die Zone wird vom meldenden Gerät definiert.

Beispiel: Dmz
DvcOs Optional String Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: Windows
DvcOsVersion Optional String Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.

Beispiel: 10
DvcAction Empfohlen String Bei meldenden Sicherheitssystemen ist dies die vom System ausgeführte Aktion (falls zutreffend).

Beispiel: Blocked
DvcOriginalAction Optional String Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben.
DvcInterface Optional String Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder TAP-Gerät erfasst werden.
DvcScopeId Optional String Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DvcScope Optional String Der Cloudplattformbereich, zu dem das Gerät gehört. DvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.

Weitere Felder

Feld Klasse type BESCHREIBUNG
AdditionalFields Optional Dynamisch Wenn Ihre Quelle zusätzliche Informationen enthält, die erhalten bleiben sollten, behalten Sie sie entweder mit den ursprünglichen Feldnamen bei, oder erstellen Sie das dynamische Feld AdditionalFields, und fügen Sie ihm die zusätzlichen Informationen als Schlüssel-Wert-Paare hinzu.
ASimMatchingIpAddr Empfohlen String Wenn ein Parser die Filterparameter ipaddr_has_any_prefix verwendet, wird dieses Feld mit einem der Werte SrcIpAddr, DstIpAddr oder Both festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln.
ASimMatchingHostname Empfohlen String Wenn ein Parser die Filterparameter hostname_has_any verwendet, wird dieses Feld mit einem der Werte SrcHostname, DstHostname oder Both festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln.

Schemaupdates

  • Das Feld EventOwner wurde am 1. Dezember 2022 zu den allgemeinen Feldern und damit zu allen Schemas hinzugefügt.
  • Das Feld EventUid wurde am 26. Dezember 2022 zu den allgemeinen Feldern und damit zu allen Schemas hinzugefügt.

Anbieter und Produkte

Um die Konsistenz zu gewährleisten, wird die Liste der zulässigen Anbieter und Produkte als Teil von ASIM festgelegt und entspricht möglicherweise nicht direkt dem von der Quelle gesendeten Wert, sofern verfügbar.

Die derzeit unterstützte Liste der Anbieter und Produkte, die in den Feldern EventVendor bzw. EventProduct verwendet werden, lautet wie folgt:

Hersteller Produkte
AWS - CloudTrail
- VPC
Cisco - ASA
- Umbrella
- IOS
- Meraki
Corelight Zeek
Cynerio Cynerio
Dataminr Dataminr Pulse
GCP Cloud DNS
Infoblox NIOS
Microsoft - Microsoft Entra ID
- Azure
- Azure Firewall
- Azure Blob Storage
- Azure File Storage
- Azure NSG flows
- Azure Queue Storage
- Azure Table Storage
- DNS Server
- Microsoft Defender XDR for Endpoint
- Microsoft Defender for IoT
- Security Events
- SharePoint
- OneDrive
- Sysmon
- Sysmon for Linux
- VMConnection
- Windows Firewall
- WireData
Linux - su
- sudo
Okta - Okta
- Auth0
OpenBSD OpenSSH
Palo Alto - PanOS
- CDL
PostgreSQL PostgreSQL
Squid Squid Proxy
Vectra AI Vectra Steam
WatchGuard Fireware
Zscaler - ZIA DNS
- ZIA Firewall
- ZIA Proxy

Wenn Sie einen Parser für Anbieter oder Produkte entwickeln, die hier nicht aufgeführt sind, bitten Sie das Microsoft Sentinel-Team, neue zulässige Anbieter- und Produktkennzeichner zuzuweisen.

Nächste Schritte

Weitere Informationen finden Sie unter