Schemi ASIM (Advanced Security Information Model)
Uno schema Advanced Security Information Model (ASIM) è un set di campi che rappresentano un'attività. L'uso dei campi da uno schema normalizzato in una query garantisce il suo funzionamento con ogni origine normalizzata.
Per comprendere in che modo gli schemi rientrano nell’architettura ASIM, vedere il diagramma dell’architettura ASIM.
I riferimenti allo schema delineano i campi che comprendono ogni schema. ASIM definisce attualmente gli schemi seguenti:
Schema | Versione | Status |
---|---|---|
Evento di controllo | 0,1 | Anteprima |
Evento di autenticazione | 0.1.3 | Anteprima |
Attività DNS | 0.1.7 | Anteprima |
Attività DHCP | 0,1 | Anteprima |
Attività File | 0.2.1 | Anteprima |
Sessione di rete | 0.2.6 | Anteprima |
Evento di processo | 0.1.4 | Anteprima |
Evento di registro | 0.1.2 | Anteprima |
Gestione degli utenti | 0,1 | Anteprima |
Sessione Web | 0.2.6 | Anteprima |
Importante
Gli schemi e i parser ASIM sono attualmente in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Concetti relativi allo schema
I concetti seguenti consentono di comprendere i documenti di riferimento dello schema ed estendere lo schema in modo normalizzato nel caso in cui i dati includano informazioni che lo schema non copre.
Concetto | Descrizione |
---|---|
Nomi dei campi | Al centro di ogni schema ci sono i relativi nomi di campo. I nomi dei campi appartengono ai gruppi seguenti: - Campi comuni a tutti gli schemi. - Campi specifici di uno schema. - Campi che rappresentano entità, ad esempio gli utenti, che partecipano allo schema. I campi che rappresentano le entità sono simili tra gli schemi. Quando le origini hanno campi non presentati nello schema documentato, vengono normalizzati per mantenere la coerenza. Se i campi aggiuntivi rappresentano un'entità, verranno normalizzati in base alle linee guida sul campo dell'entità. In caso contrario, gli schemi si sforzano di mantenere la coerenza tra tutti gli schemi. Ad esempio, mentre i log attività del server DNS non forniscono informazioni utente, i log attività DNS di un endpoint possono includere informazioni utente, che possono essere normalizzate in base alle linee guida dell'entità utente. |
Tipi di campo | Ogni campo dello schema ha un tipo. L'area di lavoro Log Analytics include un set limitato di tipi di dati. Per questo motivo, Microsoft Sentinel usa un tipo logico per molti campi dello schema che Log Analytics non applica ma è necessario per la compatibilità dello schema. I tipi di campo logici assicurano che i valori e i nomi dei campi siano coerenti tra le origini. Per altre informazioni, vedere Tipi logici. |
Classe di campo | I campi possono avere diverse classi, che definiscono quando i campi devono essere implementati da un parser: I campi - obbligatori devono essere visualizzati in ogni parser. Se l'origine non fornisce informazioni per questo valore o i dati non possono essere aggiunti in altro modo, non supporterà la maggior parte degli elementi di contenuto che fanno riferimento allo schema normalizzato. I campi - consigliati devono essere normalizzati, se disponibili. Tuttavia, potrebbero non essere disponibili in ogni origine. Qualsiasi elemento di contenuto che fa riferimento allo schema normalizzato deve prendere in considerazione la disponibilità. I campi - facoltativi, se disponibili, possono essere normalizzati o lasciati nel modulo originale. In genere, un parser minimo non li normalizzerebbe per motivi di prestazioni. I campi - condizionali sono obbligatori se il campo seguito viene popolato. I campi condizionali vengono in genere usati per descrivere il valore in un altro campo. Ad esempio, il campo comune DvcIdType descrive il valore int il campo comune DvcId ed è quindi obbligatorio se quest'ultimo viene popolato. - Alias è un tipo speciale di un campo condizionale ed è obbligatorio se il campo con alias viene popolato. |
Campi comuni | Alcuni campi sono comuni a tutti gli schemi ASIM. Ogni schema può aggiungere linee guida per l'uso di alcuni dei campi comuni nel contesto dello schema specifico. Ad esempio, i valori consentiti per il campo EventType possono variare in base allo schema, come potrebbe essere il valore del campo EventSchemaVersion. |
Entità | Gli eventi si evolvono intorno a entità, ad esempio utenti, host, processi o file. Ogni entità potrebbe richiedere diversi campi per descriverlo. Ad esempio, un host potrebbe avere un nome e un indirizzo IP. Un singolo record può includere più entità dello stesso tipo, ad esempio un host di origine e di destinazione. ASIM definisce come descrivere le entità in modo coerente e le entità consentono di estendere gli schemi. Ad esempio, mentre lo schema della sessione di rete non include informazioni sul processo, alcune origini eventi forniscono informazioni sul processo che possono essere aggiunte. Per altre informazioni, vedere Entità. |
Alias | Gli alias consentono più nomi per un valore specificato. In alcuni casi, utenti diversi si aspettano che un campo abbia nomi diversi. Ad esempio, nella terminologia DNS potrebbe essere previsto un campo denominato DnsQuery, mentre in genere contiene un nome di dominio. L'alias Dominio consente all'utente di usare entrambi i nomi. In alcuni casi, un alias può avere il valore di uno dei diversi campi, a seconda dei valori disponibili nell'evento. Ad esempio, l'alias Dvc, è l’alias dei campi DvcFQDN, DvcId, DvcHostname o DvcIpAddr o Prodotto evento. Quando un alias può avere diversi valori, il tipo deve essere una stringa per contenere tutti i possibili valori con alias. Di conseguenza, quando si assegna un valore a tale alias, assicurarsi di convertire il tipo in stringa usando la funzione KQL tostring. Le tabelle normalizzate native non includono alias, in quanto implicano l'archiviazione dei dati duplicati. Invece i parser stub aggiungono gli alias. Per implementare gli alias nei parser, creare una copia del valore originale usando l'operatore extend . |
Tipi logici
Ogni campo dello schema ha un tipo. Alcuni tipi predefiniti di Log Analytics, ad esempio string
, int
, datetime
o dynamic
. Gli altri campi hanno un tipo Logico, che rappresenta la modalità di normalizzazione dei valori dei campi.
Tipo di dati | Tipo fisico | Formato e valore |
---|---|---|
Booleano | Bool | Usare il tipo di dati bool KQL predefinito anziché una rappresentazione numerica o stringa di valori booleani. |
Enumerato | String | Elenco di valori come definito in modo esplicito per il campo. La definizione dello schema elenca i valori accettati. |
Data/Ora | A seconda della funzionalità del metodo di inserimento, usare una delle rappresentazioni fisiche seguenti con priorità decrescente: - Tipo datetime predefinito di Log Analytics - Un campo integer che usa la rappresentazione numerica datetime di Log Analytics. - Un campo stringa che usa la rappresentazione numerica datetime di Log Analytics - Campo stringa che archivia un formato di data/ora di Log Analytics supportato. |
La rappresentazione di data e ora di Log Analytics è simile ma diversa dalla rappresentazione dell'ora Unix. Per altre informazioni, vedere le linee guida relative alla conversione. Nota: se applicabile, l'ora deve essere modificata per il fuso orario. |
Indirizzo MAC | String | Notazione colon-esadecimale. |
Indirizzo IP | String | Gli schemi di Microsoft Sentinel non hanno indirizzi IPv4 e IPv6 separati. Qualsiasi campo indirizzo IP può includere un indirizzo IPv4 o un indirizzo IPv6, come indicato di seguito: - IPv4 in una notazione decimale punto. - IPv6 in notazione a 8 hextets, consentendo la forma breve. Ad esempio: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210 - Forma breve IPv6: 1080::8:800:200C:417A |
FQDN | String | Un nome di dominio completo che usa una notazione punto, ad esempio learn.microsoft.com . Per altre informazioni, vedere L'entità Dispositivo. |
Hostname (Nome host) | String | Un nome host che non è un FQDN, include fino a 63 caratteri, tra cui lettere, numeri e trattini. Per altre informazioni, vedere L'entità Dispositivo. |
DomainType | Enumerated | Tipo di dominio archiviato nei campi dominio e FQDN. Per un elenco di valori e altre informazioni, vedere L'entità Dispositivo. |
DvcIdType | Enumerated | Tipo di ID dispositivo archiviato nei campi DvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType. |
DeviceType | Enumerated | Tipo di dispositivo archiviato nei campi DeviceType. I valori possibili includono: - Computer - Mobile Device - IOT Device - Other . Per altre informazioni, vedere L'entità Dispositivo. |
Nome utente | String | Un nome utente valido in uno dei tipi supportati. Per altre informazioni, vedere L'entità Utente. |
UsernameType | Enumerated | Tipo di nome utente archiviato nei campi nome utente. Per altre informazioni e per l’elenco dei valori supportati, vedere L'entità Utente. |
UserIdType | Enumerated | Tipo dell'ID archiviato nei campi ID utente. I valori supportati sono SID , UIS , AADID , OktaId , AWSId e PUID . Per altre informazioni, vedere L'entità Utente. |
UserType | Enumerated | Il tipo di utente. Per altre informazioni e per l’elenco dei valori consentiti, vedere L'entità Utente. |
AppType | Enumerated | Il tipo di un'applicazione. I valori supportati includono: Process , Service , Resource , URL , SaaS application , CSP e Other . |
Paese/area geografica | String | Una stringa che usa ISO 3166-1, in base alla priorità seguente: - Codici alfa-2, ad esempio US per gli Stati Uniti. - Codici alfa-3, ad esempio USA per gli Stati Uniti. - Nome breve. L'elenco dei codici è disponibile sul sito Web ISO (International Standards Organization). |
Area | String | Nome della suddivisione paese/area geografica che usa ISO 3166-2. L'elenco dei codici è disponibile sul sito Web ISO (International Standards Organization). |
Città | String | |
Longitudine | Double | Rappresentazione di coordinate ISO 6709 (decimale con segno). |
Latitudine | Double | Rappresentazione di coordinate ISO 6709 (decimale con segno). |
MD5 | String | 32 caratteri esadecimale. |
SHA1 | String | 40 caratteri esadecimale. |
SHA256 | String | 64 caratteri esadecimale. |
SHA512 | String | 128 caratteri esadecimale. |
Entità
Gli eventi si evolvono intorno a entità, ad esempio utenti, host, processi o file. La rappresentazione di entità consente a diverse entità dello stesso tipo di far parte di un singolo record e supporta più attributi per le stesse entità.
Per abilitare la funzionalità delle entità, la rappresentazione di entità ha le seguenti linee guida:
Linee guida | Descrizione |
---|---|
Descrittori e aliasing | Poiché un singolo evento include spesso più di un'entità dello stesso tipo, ad esempio host di origine e di destinazione, descrittori vengono usati come prefisso per identificare tutti i campi associati a un'entità specifica. Per mantenere la normalizzazione, ASIM usa un piccolo set di descrittori standard, selezionando quelli più appropriati per il ruolo specifico delle entità. Se una singola entità di un tipo è rilevante per un evento, non è necessario usare un descrittore. Inoltre, un set di campi senza un descrittore alias l'entità più usata per ogni tipo. |
Identificatori e tipi | Uno schema normalizzato consente diversi identificatori per ogni entità, che si prevede coesistere negli eventi. Se l'evento di origine ha altri identificatori di entità di cui non è possibile eseguire il mapping allo schema normalizzato, mantenerli nel modulo di origine o usare il campo dinamico AdditionalFields. Per mantenere le informazioni sul tipo per gli identificatori, archiviare il tipo, se applicabile, in un campo con lo stesso nome e un suffisso di Tipo. Ad esempio, UserIdType. |
Attributi | Le entità hanno spesso altri attributi che non fungono da identificatore e possono anche essere qualificati con un descrittore. Ad esempio, se l'utente di origine dispone di informazioni sul dominio, il campo normalizzato è SrcUserDomain. |
Ogni schema definisce in modo esplicito le entità centrali e i campi di entità. Le linee guida seguenti consentono di comprendere i campi dello schema centrale e come estendere gli schemi in modo normalizzato usando altre entità o campi di entità non definiti in modo esplicito nello schema.
L’entità Utente
Gli utenti sono fondamentali per le attività segnalate dagli eventi. I campi elencati in questa sezione vengono usati per descrivere gli utenti coinvolti nell'azione. I prefissi vengono usati per designare il ruolo dell'utente nell'attività. I prefissi Src
e Dst
vengono usati per designare il ruolo utente negli eventi correlati alla rete, in cui un sistema di origine e un sistema di destinazione comunicano. I prefissi 'Attore' e 'Target' vengono usati per eventi orientati al sistema, ad esempio eventi di processo.
L’ID utente e ambito
Campo | Classe | Tipo | descrizione |
---|---|---|---|
ID utente | Facoltativo | String | Rappresentazione univoca dell'utente leggibile, alfanumerica e leggibile dal computer. |
UserScope | Facoltativo | string | L’ambito in cui vengono definiti UserId e Nome utente. Ad esempio, un nome di dominio tenant di Microsoft Entra. Il campo UserIdType rappresenta anche il tipo dell'oggetto associato a questo campo. |
UserScopeId | Facoltativo | string | L’ID dell'ambito in cui vengono definiti UserId e Nome utente. Ad esempio, un ID directory tenant di Microsoft Entra. Il campo UserIdType rappresenta anche il tipo dell'oggetto associato a questo campo. |
UserIdType | Facoltativo | UserIdType | Il tipo dell'ID archiviato nel campo UserId. |
UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Facoltativo | String | Campi usati per archiviare ID utente specifici. Selezionare l'ID più associato all'evento come ID primario archiviato in UserId. Popolare il campo ID specifico pertinente, oltre a UserId, anche se l'evento ha un solo ID. |
UserAADTenant, UserAWSAccount | Facoltativo | String | Campi usati per archiviare ambiti specifici. Usare il campo UserScope per l'ambito associato all'ID archiviato nel campo UserId. Popolare il campo ambito specifico pertinente, oltre a UserScope, anche se l'evento ha un solo ID. |
I valori consentiti per un tipo di ID utente sono:
Tipo | Descrizione | Esempio |
---|---|---|
SID | ID utente di Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
UID | ID utente Linux. | 4578 |
AADID | Un ID utente di Microsoft Entra. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
OktaId | Un ID utente Okta. | 00urjk4znu3BcncfY0h7 |
AWSId | Un ID utente AWS. | 72643944673 |
PUID | Un ID utente di Microsoft 365. | 10032001582F435C |
SalesforceId | Un ID utente di Salesforce. | 00530000009M943 |
Nome dell'utente
Campo | Classe | Tipo | Descrizione |
---|---|---|---|
Nome utente | Facoltativo | String | Nome utente di origine, incluse le informazioni sul dominio, se disponibili. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo Nome utente nel campo UsernameType. |
UsernameType | Facoltativo | UsernameType | Specifica il tipo di nome utente archiviato nel campo Nome utente. |
UserUPN, WindowsUsername, DNUsername, SimpleUsername | Facoltativo | String | Campi usati per archiviare nomi utente aggiuntivi, se l'evento originale include più nomi utente. Selezionare il nome utente più associato all'evento come nome utente primario archiviato in Nome utente. |
I valori consentiti per un tipo di nome utente sono:
Tipo | Descrizione | Esempio |
---|---|---|
UPN | Un UPN o un operatore nome utente indirizzo e-mail. | johndow@contoso.com |
Windows | Un nome utente di Windows incluso un dominio. | Contoso\johndow |
DN | Un identificatore del nome distinto LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
Semplice | Un nome utente semplice senza un designatore di dominio. | johndow |
AWSId | Un ID utente AWS. | 72643944673 |
Campi utente aggiuntivi
Campo | Classe | Tipo | Descrizione |
---|---|---|---|
UserType | Facoltativo | UserType | Il tipo di utente di origine. I valori supportati includono: - Regular - Machine - Admin - System - Application - Service Principal - Service - Anonymous - Other .Il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo OriginalUserType. |
OriginalUserType | Facoltativo | String | Il tipo di utente di destinazione originale, se fornito dal dispositivo di report. |
L’entità del dispositivo
I dispositivi, o gli host, sono i termini comuni usati per i sistemi che partecipano all'evento. Il prefisso Dvc
viene usato per designare il dispositivo primario in cui si verifica l'evento. Alcuni eventi, ad esempio le sessioni di rete, dispongono di dispositivi di origine e di destinazione, designati dal prefisso Src
e Dst
. In questo caso, il prefisso Dvc
viene usato per il dispositivo che segnala l'evento, che potrebbe essere l'origine, la destinazione o un dispositivo di monitoraggio.
Gli alias del dispositivo
Campo | Classe | Tipo | Descrizione |
---|---|---|---|
Dvc, Src, Dst | Obbligatorio | String | I campi Dvc , 'Src' o 'Dst' vengono usati come identificatore univoco del dispositivo. È impostato sul migliore disponibile identificato per il dispositivo. Questi campi possono eseguire l'alias dei campi FQDN, DvcId, Nome hosto IpAddr. Per le origini cloud, per cui non è presente alcun dispositivo apparente, usare lo stesso valore del campo Prodotto evento. |
Il nome del dispositivo
I nomi dei dispositivi segnalati possono includere solo un nome host o un nome di dominio completo (FQDN), che include un nome host e un nome di dominio. Il nome di dominio completo può essere espresso usando diversi formati. I campi seguenti consentono di supportare le diverse varianti in cui è possibile specificare il nome del dispositivo.
Campo | Classe | Tipo | Descrizione |
---|---|---|---|
Hostname (Nome host) | Consigliato | Hostname (Nome host) | Il nome host breve del dispositivo. |
Dominio | Consigliato | String | Il dominio del dispositivo in cui si è verificato l'evento, senza il nome host. |
DomainType | Consigliato | Enumerated | Il tipo di Dominio. I valori supportati includono FQDN e Windows . Questo campo è obbligatorio se viene utilizzato il campo Dominio. |
FQDN | Facoltativo | String | Nome di dominio completo del dispositivo che include sia Nome host che Dominio. Questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo DomainType riflette il formato utilizzato. |
Ad esempio:
Campo | Valore per appserver.contoso.com di input |
valore per appserver di input |
---|---|---|
Hostname (Nome host) | appserver |
appserver |
Dominio | contoso.con |
<empty> |
DomainType | FQDN |
<empty> |
FQDN | appserver.contoso.com |
<empty> |
Quando il valore fornito dall'origine è un FQDN o quando il valore può essere e FQDN o un nome host breve, il parser deve calcolare i 4 valori. Usare le funzioni helper ASIM _ASIM_ResolveFQDN
, _ASIM_ResolveSrcFQDN
, _ASIM_ResolveDstFQDN
e _ASIM_ResolveDvcFQDN
per impostare facilmente tutti e quattro i campi in base a un singolo valore di input. Per altre informazioni, vedere funzioni helper ASIM.
L’ambito e l’ID dispositivo
Campo | Classe | Tipo | Descrizione |
---|---|---|---|
DvcId | Facoltativo | String | L’ID univoco del dispositivo. Ad esempio: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
ScopeId | Facoltativo | String | L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. Mappare l’ambito in un ID sottoscrizione su Azure e in un ID account su AWS. |
Scope | Facoltativo | String | L'ambito della piattaforma cloud a cui appartiene il dispositivo. Mappare l’ambito in una sottoscrizione su Azure e in un account su AWS. |
DvcIdType | Facoltativo | Enumerated | Il tipo di DvcId. In genere questo campo identificherà anche il tipo di Ambito e ScopeId. Questo campo è obbligatorio se viene utilizzato il campo DvcId. |
DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Facoltativo | String | Campi usati per archiviare ID dispositivo aggiuntivi, se l'evento originale include più ID dispositivo. Selezionare l'ID dispositivo più associato all'evento come ID primario archiviato in DvcId. |
Si noti che i campi denominati devono anteporre un prefisso di ruolo, ad esempio Src
o Dst
, ma non devono anteporre un secondo prefisso Dvc
se usato in tale ruolo.
I valori consentiti per un tipo di ID dispositivo sono:
Tipo | Descrizione |
---|---|
MDEid | L’ID di sistema assegnato da Microsoft Defender per endpoint. |
AzureResourceId | L’ID risorsa di Azure. |
MD4IoTid | L’ID risorsa di Microsoft Defender per IoT. |
VMConnectionId | L’ID risorsa della soluzione Informazioni dettagliate macchina virtuale di Monitoraggio di Azure. |
AwsVpcId | Un ID VPC AWS. |
VectraId | Un ID risorsa assegnato dall'intelligenza artificiale Vectra. |
Altro | Un tipo ID non elencato in precedenza. |
Ad esempio, la soluzione per le informazioni dettagliate macchina virtuale di Monitoraggio di Azure fornisce informazioni sulle sessioni di rete in VMConnection
. La tabella fornisce un ID risorsa di Azure nel campo _ResourceId
e un ID dispositivo specifico di informazioni dettagliate macchina virtuale nel campo Machine
. Usare il mapping seguente per rappresentare tali ID:
Campo | Destinazione mapping |
---|---|
DvcId | Il campo Machine nella tabella VMConnection . |
DvcIdType | Il valore VMConnectionId |
DvcAzureResourceId | Il campo _ResourceId nella tabella VMConnection . |
Campi aggiuntivi del dispositivo
Campo | Classe | Tipo | Descrizione |
---|---|---|---|
IpAddr | Consigliato | Indirizzo IP | L'indirizzo IP del dispositivo. Esempio: 45.21.42.12 |
DvcDescription | Facoltativo | String | Un testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller . |
MacAddr | Facoltativo | MAC | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: 00:1B:44:11:3A:B7 |
Zona | Facoltativo | String | La rete in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. La zona è definita dal dispositivo di report. Esempio: Dmz |
DvcOs | Facoltativo | String | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: Windows |
DvcOsVersion | Facoltativo | String | La versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: 10 |
DvcAction | Facoltativo | String | Per la creazione di report sui sistemi di sicurezza, l'azione intrapresa dal sistema, se applicabile. Esempio: Blocked |
DvcOriginalAction | Facoltativo | String | Il DvcAction originale fornito dal dispositivo di report. |
Interfaccia | Facoltativo | String | Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete acquisita da un dispositivo intermedio o di tocco. |
Si noti che i campi denominati nell'elenco con il prefisso Dvc devono anteporre un prefisso di ruolo, ad esempio Src
o Dst
, ma non devono anteporre un secondo prefisso Dvc
se usato in tale ruolo.
Mapping di entità di esempio
Questa sezione usa evento di Windows 4624 come esempio per descrivere come i dati dell'evento vengono normalizzati per Microsoft Sentinel.
Questo evento dispone delle entità seguenti:
Terminologia Microsoft | Prefisso del campo evento originale | Prefisso del campo ASIM | Descrizione |
---|---|---|---|
Argomento | Subject |
Actor |
L’utente che ha segnalato informazioni su un accesso riuscito. |
Nuovo accesso | Target |
TargetUser |
L’utente per il quale è stato eseguito l'accesso. |
Processo | - | ActingProcess |
Il processo che ha tentato l'accesso. |
Informazioni di rete | - | Src |
Il computer da cui è stato eseguito un tentativo di accesso. |
In base a queste entità, evento di Windows 4624 viene normalizzato come segue (alcuni campi sono facoltativi):
Campo normalizzato | Campo originale | Valore nell'esempio | Note |
---|---|---|---|
ActorUserId | SubjectUserSid | S-1-5-18 | |
ActorUserIdType | - | SID | |
ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Costruito concatenando i due campi |
ActorUserNameType | - | Finestre | |
ActorSessionId | SubjectLogonId | 0x3e7 | |
TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
ID utente | TargetUserSid | Alias | |
TargetUserIdType | - | SID | |
TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Costruito concatenando i due campi |
Nome utente | TargetDomainName\ TargetUserName | Alias | |
TargetUserNameType | - | Finestre | |
TargetSessionId | TargetLogonId | 0x8dcdc | |
ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
ActingProcessId | ProcessId | 0x44c | |
SrcHostname | WorkstationName | Finestre | |
SrcIpAddr | IpAddress | 127.0.0.1 | |
SrcPortNumber | IpPort | 0 | |
TargetHostname | Computer | WIN-GG82ULGC9GO | |
Hostname (Nome host) | Computer | Alias |
Passaggi successivi
Questo articolo offre una panoramica della normalizzazione in Microsoft Sentinel e ASIM.
Per altre informazioni, vedi:
- Guardare il webinar di approfondimento sui parser di normalizzazione e i contenuti normalizzati di Microsoft Sentinel o esaminare le diapositive
- Panoramica di ASIM (Advanced Security Information Model)
- Parser ASIM (Advanced Security Information Model)
- Contenuti ASIM (Advanced Security Information Model)