Condividi tramite


Schemi ASIM (Advanced Security Information Model)

Uno schema Advanced Security Information Model (ASIM) è un set di campi che rappresentano un'attività. L'uso dei campi da uno schema normalizzato in una query garantisce il suo funzionamento con ogni origine normalizzata.

Per comprendere in che modo gli schemi rientrano nell’architettura ASIM, vedere il diagramma dell’architettura ASIM.

I riferimenti allo schema delineano i campi che comprendono ogni schema. ASIM definisce attualmente gli schemi seguenti:

Schema Versione Status
Evento di controllo 0,1 Anteprima
Evento di autenticazione 0.1.3 Anteprima
Attività DNS 0.1.7 Anteprima
Attività DHCP 0,1 Anteprima
Attività File 0.2.1 Anteprima
Sessione di rete 0.2.6 Anteprima
Evento di processo 0.1.4 Anteprima
Evento di registro 0.1.2 Anteprima
Gestione degli utenti 0,1 Anteprima
Sessione Web 0.2.6 Anteprima

Importante

Gli schemi e i parser ASIM sono attualmente in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Concetti relativi allo schema

I concetti seguenti consentono di comprendere i documenti di riferimento dello schema ed estendere lo schema in modo normalizzato nel caso in cui i dati includano informazioni che lo schema non copre.

Concetto Descrizione
Nomi dei campi Al centro di ogni schema ci sono i relativi nomi di campo. I nomi dei campi appartengono ai gruppi seguenti:

- Campi comuni a tutti gli schemi.
- Campi specifici di uno schema.
- Campi che rappresentano entità, ad esempio gli utenti, che partecipano allo schema. I campi che rappresentano le entità sono simili tra gli schemi.

Quando le origini hanno campi non presentati nello schema documentato, vengono normalizzati per mantenere la coerenza. Se i campi aggiuntivi rappresentano un'entità, verranno normalizzati in base alle linee guida sul campo dell'entità. In caso contrario, gli schemi si sforzano di mantenere la coerenza tra tutti gli schemi.

Ad esempio, mentre i log attività del server DNS non forniscono informazioni utente, i log attività DNS di un endpoint possono includere informazioni utente, che possono essere normalizzate in base alle linee guida dell'entità utente.
Tipi di campo Ogni campo dello schema ha un tipo. L'area di lavoro Log Analytics include un set limitato di tipi di dati. Per questo motivo, Microsoft Sentinel usa un tipo logico per molti campi dello schema che Log Analytics non applica ma è necessario per la compatibilità dello schema. I tipi di campo logici assicurano che i valori e i nomi dei campi siano coerenti tra le origini.

Per altre informazioni, vedere Tipi logici.
Classe di campo I campi possono avere diverse classi, che definiscono quando i campi devono essere implementati da un parser:

I campi - obbligatori devono essere visualizzati in ogni parser. Se l'origine non fornisce informazioni per questo valore o i dati non possono essere aggiunti in altro modo, non supporterà la maggior parte degli elementi di contenuto che fanno riferimento allo schema normalizzato.
I campi - consigliati devono essere normalizzati, se disponibili. Tuttavia, potrebbero non essere disponibili in ogni origine. Qualsiasi elemento di contenuto che fa riferimento allo schema normalizzato deve prendere in considerazione la disponibilità.
I campi - facoltativi, se disponibili, possono essere normalizzati o lasciati nel modulo originale. In genere, un parser minimo non li normalizzerebbe per motivi di prestazioni.
I campi - condizionali sono obbligatori se il campo seguito viene popolato. I campi condizionali vengono in genere usati per descrivere il valore in un altro campo. Ad esempio, il campo comune DvcIdType descrive il valore int il campo comune DvcId ed è quindi obbligatorio se quest'ultimo viene popolato.
- Alias è un tipo speciale di un campo condizionale ed è obbligatorio se il campo con alias viene popolato.
Campi comuni Alcuni campi sono comuni a tutti gli schemi ASIM. Ogni schema può aggiungere linee guida per l'uso di alcuni dei campi comuni nel contesto dello schema specifico. Ad esempio, i valori consentiti per il campo EventType possono variare in base allo schema, come potrebbe essere il valore del campo EventSchemaVersion.
Entità Gli eventi si evolvono intorno a entità, ad esempio utenti, host, processi o file. Ogni entità potrebbe richiedere diversi campi per descriverlo. Ad esempio, un host potrebbe avere un nome e un indirizzo IP.

Un singolo record può includere più entità dello stesso tipo, ad esempio un host di origine e di destinazione.

ASIM definisce come descrivere le entità in modo coerente e le entità consentono di estendere gli schemi.

Ad esempio, mentre lo schema della sessione di rete non include informazioni sul processo, alcune origini eventi forniscono informazioni sul processo che possono essere aggiunte. Per altre informazioni, vedere Entità.
Alias Gli alias consentono più nomi per un valore specificato. In alcuni casi, utenti diversi si aspettano che un campo abbia nomi diversi. Ad esempio, nella terminologia DNS potrebbe essere previsto un campo denominato DnsQuery, mentre in genere contiene un nome di dominio. L'alias Dominio consente all'utente di usare entrambi i nomi.

In alcuni casi, un alias può avere il valore di uno dei diversi campi, a seconda dei valori disponibili nell'evento. Ad esempio, l'alias Dvc, è l’alias dei campi DvcFQDN, DvcId, DvcHostname o DvcIpAddr o Prodotto evento. Quando un alias può avere diversi valori, il tipo deve essere una stringa per contenere tutti i possibili valori con alias. Di conseguenza, quando si assegna un valore a tale alias, assicurarsi di convertire il tipo in stringa usando la funzione KQL tostring.

Le tabelle normalizzate native non includono alias, in quanto implicano l'archiviazione dei dati duplicati. Invece i parser stub aggiungono gli alias. Per implementare gli alias nei parser, creare una copia del valore originale usando l'operatore extend.

Tipi logici

Ogni campo dello schema ha un tipo. Alcuni tipi predefiniti di Log Analytics, ad esempio string, int, datetime o dynamic. Gli altri campi hanno un tipo Logico, che rappresenta la modalità di normalizzazione dei valori dei campi.

Tipo di dati Tipo fisico Formato e valore
Booleano Bool Usare il tipo di dati bool KQL predefinito anziché una rappresentazione numerica o stringa di valori booleani.
Enumerato String Elenco di valori come definito in modo esplicito per il campo. La definizione dello schema elenca i valori accettati.
Data/Ora A seconda della funzionalità del metodo di inserimento, usare una delle rappresentazioni fisiche seguenti con priorità decrescente:

- Tipo datetime predefinito di Log Analytics
- Un campo integer che usa la rappresentazione numerica datetime di Log Analytics.
- Un campo stringa che usa la rappresentazione numerica datetime di Log Analytics
- Campo stringa che archivia un formato di data/ora di Log Analytics supportato.
La rappresentazione di data e ora di Log Analytics è simile ma diversa dalla rappresentazione dell'ora Unix. Per altre informazioni, vedere le linee guida relative alla conversione.

Nota: se applicabile, l'ora deve essere modificata per il fuso orario.
Indirizzo MAC String Notazione colon-esadecimale.
Indirizzo IP String Gli schemi di Microsoft Sentinel non hanno indirizzi IPv4 e IPv6 separati. Qualsiasi campo indirizzo IP può includere un indirizzo IPv4 o un indirizzo IPv6, come indicato di seguito:

- IPv4 in una notazione decimale punto.
- IPv6 in notazione a 8 hextets, consentendo la forma breve.

Ad esempio:
- IPv4: 192.168.10.10
- IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
- Forma breve IPv6: 1080::8:800:200C:417A
FQDN String Un nome di dominio completo che usa una notazione punto, ad esempio learn.microsoft.com. Per altre informazioni, vedere L'entità Dispositivo.
Hostname (Nome host) String Un nome host che non è un FQDN, include fino a 63 caratteri, tra cui lettere, numeri e trattini. Per altre informazioni, vedere L'entità Dispositivo.
DomainType Enumerated Tipo di dominio archiviato nei campi dominio e FQDN. Per un elenco di valori e altre informazioni, vedere L'entità Dispositivo.
DvcIdType Enumerated Tipo di ID dispositivo archiviato nei campi DvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType.
DeviceType Enumerated Tipo di dispositivo archiviato nei campi DeviceType. I valori possibili includono:
- Computer
- Mobile Device
- IOT Device
- Other. Per altre informazioni, vedere L'entità Dispositivo.
Nome utente String Un nome utente valido in uno dei tipi supportati. Per altre informazioni, vedere L'entità Utente.
UsernameType Enumerated Tipo di nome utente archiviato nei campi nome utente. Per altre informazioni e per l’elenco dei valori supportati, vedere L'entità Utente.
UserIdType Enumerated Tipo dell'ID archiviato nei campi ID utente.

I valori supportati sono SID, UIS, AADID, OktaId, AWSId e PUID. Per altre informazioni, vedere L'entità Utente.
UserType Enumerated Il tipo di utente. Per altre informazioni e per l’elenco dei valori consentiti, vedere L'entità Utente.
AppType Enumerated Il tipo di un'applicazione. I valori supportati includono: Process
, Service, Resource, URL, SaaS application, CSP e Other.
Paese/area geografica String Una stringa che usa ISO 3166-1, in base alla priorità seguente:

- Codici alfa-2, ad esempio US per gli Stati Uniti.
- Codici alfa-3, ad esempio USA per gli Stati Uniti.
- Nome breve.

L'elenco dei codici è disponibile sul sito Web ISO (International Standards Organization).
Area String Nome della suddivisione paese/area geografica che usa ISO 3166-2.

L'elenco dei codici è disponibile sul sito Web ISO (International Standards Organization).
Città String
Longitudine Double Rappresentazione di coordinate ISO 6709 (decimale con segno).
Latitudine Double Rappresentazione di coordinate ISO 6709 (decimale con segno).
MD5 String 32 caratteri esadecimale.
SHA1 String 40 caratteri esadecimale.
SHA256 String 64 caratteri esadecimale.
SHA512 String 128 caratteri esadecimale.

Entità

Gli eventi si evolvono intorno a entità, ad esempio utenti, host, processi o file. La rappresentazione di entità consente a diverse entità dello stesso tipo di far parte di un singolo record e supporta più attributi per le stesse entità.

Per abilitare la funzionalità delle entità, la rappresentazione di entità ha le seguenti linee guida:

Linee guida Descrizione
Descrittori e aliasing Poiché un singolo evento include spesso più di un'entità dello stesso tipo, ad esempio host di origine e di destinazione, descrittori vengono usati come prefisso per identificare tutti i campi associati a un'entità specifica.

Per mantenere la normalizzazione, ASIM usa un piccolo set di descrittori standard, selezionando quelli più appropriati per il ruolo specifico delle entità.

Se una singola entità di un tipo è rilevante per un evento, non è necessario usare un descrittore. Inoltre, un set di campi senza un descrittore alias l'entità più usata per ogni tipo.
Identificatori e tipi Uno schema normalizzato consente diversi identificatori per ogni entità, che si prevede coesistere negli eventi. Se l'evento di origine ha altri identificatori di entità di cui non è possibile eseguire il mapping allo schema normalizzato, mantenerli nel modulo di origine o usare il campo dinamico AdditionalFields.

Per mantenere le informazioni sul tipo per gli identificatori, archiviare il tipo, se applicabile, in un campo con lo stesso nome e un suffisso di Tipo. Ad esempio, UserIdType.
Attributi Le entità hanno spesso altri attributi che non fungono da identificatore e possono anche essere qualificati con un descrittore. Ad esempio, se l'utente di origine dispone di informazioni sul dominio, il campo normalizzato è SrcUserDomain.

Ogni schema definisce in modo esplicito le entità centrali e i campi di entità. Le linee guida seguenti consentono di comprendere i campi dello schema centrale e come estendere gli schemi in modo normalizzato usando altre entità o campi di entità non definiti in modo esplicito nello schema.

L’entità Utente

Gli utenti sono fondamentali per le attività segnalate dagli eventi. I campi elencati in questa sezione vengono usati per descrivere gli utenti coinvolti nell'azione. I prefissi vengono usati per designare il ruolo dell'utente nell'attività. I prefissi Src e Dst vengono usati per designare il ruolo utente negli eventi correlati alla rete, in cui un sistema di origine e un sistema di destinazione comunicano. I prefissi 'Attore' e 'Target' vengono usati per eventi orientati al sistema, ad esempio eventi di processo.

L’ID utente e ambito

Campo Classe Tipo descrizione
ID utente Facoltativo String Rappresentazione univoca dell'utente leggibile, alfanumerica e leggibile dal computer.
UserScope Facoltativo string L’ambito in cui vengono definiti UserId e Nome utente. Ad esempio, un nome di dominio tenant di Microsoft Entra. Il campo UserIdType rappresenta anche il tipo dell'oggetto associato a questo campo.
UserScopeId Facoltativo string L’ID dell'ambito in cui vengono definiti UserId e Nome utente. Ad esempio, un ID directory tenant di Microsoft Entra. Il campo UserIdType rappresenta anche il tipo dell'oggetto associato a questo campo.
UserIdType Facoltativo UserIdType Il tipo dell'ID archiviato nel campo UserId.
UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid Facoltativo String Campi usati per archiviare ID utente specifici. Selezionare l'ID più associato all'evento come ID primario archiviato in UserId. Popolare il campo ID specifico pertinente, oltre a UserId, anche se l'evento ha un solo ID.
UserAADTenant, UserAWSAccount Facoltativo String Campi usati per archiviare ambiti specifici. Usare il campo UserScope per l'ambito associato all'ID archiviato nel campo UserId. Popolare il campo ambito specifico pertinente, oltre a UserScope, anche se l'evento ha un solo ID.

I valori consentiti per un tipo di ID utente sono:

Tipo Descrizione Esempio
SID ID utente di Windows. S-1-5-21-1377283216-344919071-3415362939-500
UID ID utente Linux. 4578
AADID Un ID utente di Microsoft Entra. 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
OktaId Un ID utente Okta. 00urjk4znu3BcncfY0h7
AWSId Un ID utente AWS. 72643944673
PUID Un ID utente di Microsoft 365. 10032001582F435C
SalesforceId Un ID utente di Salesforce. 00530000009M943

Nome dell'utente

Campo Classe Tipo Descrizione
Nome utente Facoltativo String Nome utente di origine, incluse le informazioni sul dominio, se disponibili. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo Nome utente nel campo UsernameType.
UsernameType Facoltativo UsernameType Specifica il tipo di nome utente archiviato nel campo Nome utente.
UserUPN, WindowsUsername, DNUsername, SimpleUsername Facoltativo String Campi usati per archiviare nomi utente aggiuntivi, se l'evento originale include più nomi utente. Selezionare il nome utente più associato all'evento come nome utente primario archiviato in Nome utente.

I valori consentiti per un tipo di nome utente sono:

Tipo Descrizione Esempio
UPN Un UPN o un operatore nome utente indirizzo e-mail. johndow@contoso.com
Windows Un nome utente di Windows incluso un dominio. Contoso\johndow
DN Un identificatore del nome distinto LDAP. CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
Semplice Un nome utente semplice senza un designatore di dominio. johndow
AWSId Un ID utente AWS. 72643944673

Campi utente aggiuntivi

Campo Classe Tipo Descrizione
UserType Facoltativo UserType Il tipo di utente di origine. I valori supportati includono:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Service
- Anonymous
- Other.

Il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo OriginalUserType.
OriginalUserType Facoltativo String Il tipo di utente di destinazione originale, se fornito dal dispositivo di report.

L’entità del dispositivo

I dispositivi, o gli host, sono i termini comuni usati per i sistemi che partecipano all'evento. Il prefisso Dvc viene usato per designare il dispositivo primario in cui si verifica l'evento. Alcuni eventi, ad esempio le sessioni di rete, dispongono di dispositivi di origine e di destinazione, designati dal prefisso Src e Dst. In questo caso, il prefisso Dvc viene usato per il dispositivo che segnala l'evento, che potrebbe essere l'origine, la destinazione o un dispositivo di monitoraggio.

Gli alias del dispositivo

Campo Classe Tipo Descrizione
Dvc, Src, Dst Obbligatorio String I campi Dvc, 'Src' o 'Dst' vengono usati come identificatore univoco del dispositivo. È impostato sul migliore disponibile identificato per il dispositivo. Questi campi possono eseguire l'alias dei campi FQDN, DvcId, Nome hosto IpAddr. Per le origini cloud, per cui non è presente alcun dispositivo apparente, usare lo stesso valore del campo Prodotto evento.

Il nome del dispositivo

I nomi dei dispositivi segnalati possono includere solo un nome host o un nome di dominio completo (FQDN), che include un nome host e un nome di dominio. Il nome di dominio completo può essere espresso usando diversi formati. I campi seguenti consentono di supportare le diverse varianti in cui è possibile specificare il nome del dispositivo.

Campo Classe Tipo Descrizione
Hostname (Nome host) Consigliato Hostname (Nome host) Il nome host breve del dispositivo.
Dominio Consigliato String Il dominio del dispositivo in cui si è verificato l'evento, senza il nome host.
DomainType Consigliato Enumerated Il tipo di Dominio. I valori supportati includono FQDN e Windows. Questo campo è obbligatorio se viene utilizzato il campo Dominio.
FQDN Facoltativo String Nome di dominio completo del dispositivo che include sia Nome host che Dominio. Questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo DomainType riflette il formato utilizzato.

Ad esempio:

Campo Valore per appserver.contoso.com di input valore per appserver di input
Hostname (Nome host) appserver appserver
Dominio contoso.con <empty>
DomainType FQDN <empty>
FQDN appserver.contoso.com <empty>

Quando il valore fornito dall'origine è un FQDN o quando il valore può essere e FQDN o un nome host breve, il parser deve calcolare i 4 valori. Usare le funzioni helper ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN e _ASIM_ResolveDvcFQDN per impostare facilmente tutti e quattro i campi in base a un singolo valore di input. Per altre informazioni, vedere funzioni helper ASIM.

L’ambito e l’ID dispositivo

Campo Classe Tipo Descrizione
DvcId Facoltativo String L’ID univoco del dispositivo. Ad esempio: 41502da5-21b7-48ec-81c9-baeea8d7d669
ScopeId Facoltativo String L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. Mappare l’ambito in un ID sottoscrizione su Azure e in un ID account su AWS.
Scope Facoltativo String L'ambito della piattaforma cloud a cui appartiene il dispositivo. Mappare l’ambito in una sottoscrizione su Azure e in un account su AWS.
DvcIdType Facoltativo Enumerated Il tipo di DvcId. In genere questo campo identificherà anche il tipo di Ambito e ScopeId. Questo campo è obbligatorio se viene utilizzato il campo DvcId.
DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId Facoltativo String Campi usati per archiviare ID dispositivo aggiuntivi, se l'evento originale include più ID dispositivo. Selezionare l'ID dispositivo più associato all'evento come ID primario archiviato in DvcId.

Si noti che i campi denominati devono anteporre un prefisso di ruolo, ad esempio Src o Dst, ma non devono anteporre un secondo prefisso Dvc se usato in tale ruolo.

I valori consentiti per un tipo di ID dispositivo sono:

Tipo Descrizione
MDEid L’ID di sistema assegnato da Microsoft Defender per endpoint.
AzureResourceId L’ID risorsa di Azure.
MD4IoTid L’ID risorsa di Microsoft Defender per IoT.
VMConnectionId L’ID risorsa della soluzione Informazioni dettagliate macchina virtuale di Monitoraggio di Azure.
AwsVpcId Un ID VPC AWS.
VectraId Un ID risorsa assegnato dall'intelligenza artificiale Vectra.
Altro Un tipo ID non elencato in precedenza.

Ad esempio, la soluzione per le informazioni dettagliate macchina virtuale di Monitoraggio di Azure fornisce informazioni sulle sessioni di rete in VMConnection. La tabella fornisce un ID risorsa di Azure nel campo _ResourceId e un ID dispositivo specifico di informazioni dettagliate macchina virtuale nel campo Machine. Usare il mapping seguente per rappresentare tali ID:

Campo Destinazione mapping
DvcId Il campo Machine nella tabella VMConnection.
DvcIdType Il valore VMConnectionId
DvcAzureResourceId Il campo _ResourceId nella tabella VMConnection.

Campi aggiuntivi del dispositivo

Campo Classe Tipo Descrizione
IpAddr Consigliato Indirizzo IP L'indirizzo IP del dispositivo.

Esempio: 45.21.42.12
DvcDescription Facoltativo String Un testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller.
MacAddr Facoltativo MAC Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento.

Esempio: 00:1B:44:11:3A:B7
Zona Facoltativo String La rete in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. La zona è definita dal dispositivo di report.

Esempio: Dmz
DvcOs Facoltativo String Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento.

Esempio: Windows
DvcOsVersion Facoltativo String La versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento.

Esempio: 10
DvcAction Facoltativo String Per la creazione di report sui sistemi di sicurezza, l'azione intrapresa dal sistema, se applicabile.

Esempio: Blocked
DvcOriginalAction Facoltativo String Il DvcAction originale fornito dal dispositivo di report.
Interfaccia Facoltativo String Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete acquisita da un dispositivo intermedio o di tocco.

Si noti che i campi denominati nell'elenco con il prefisso Dvc devono anteporre un prefisso di ruolo, ad esempio Src o Dst, ma non devono anteporre un secondo prefisso Dvc se usato in tale ruolo.

Mapping di entità di esempio

Questa sezione usa evento di Windows 4624 come esempio per descrivere come i dati dell'evento vengono normalizzati per Microsoft Sentinel.

Questo evento dispone delle entità seguenti:

Terminologia Microsoft Prefisso del campo evento originale Prefisso del campo ASIM Descrizione
Argomento Subject Actor L’utente che ha segnalato informazioni su un accesso riuscito.
Nuovo accesso Target TargetUser L’utente per il quale è stato eseguito l'accesso.
Processo - ActingProcess Il processo che ha tentato l'accesso.
Informazioni di rete - Src Il computer da cui è stato eseguito un tentativo di accesso.

In base a queste entità, evento di Windows 4624 viene normalizzato come segue (alcuni campi sono facoltativi):

Campo normalizzato Campo originale Valore nell'esempio Note
ActorUserId SubjectUserSid S-1-5-18
ActorUserIdType - SID
ActorUserName SubjectDomainName\ SubjectUserName WORKGROUP\WIN-GG82ULGC9GO$ Costruito concatenando i due campi
ActorUserNameType - Finestre
ActorSessionId SubjectLogonId 0x3e7
TargetUserId TargetUserSid S-1-5-21-1377283216-344919071-3415362939-500
ID utente TargetUserSid Alias
TargetUserIdType - SID
TargetUserName TargetDomainName\ TargetUserName Administrator\WIN-GG82ULGC9GO$ Costruito concatenando i due campi
Nome utente TargetDomainName\ TargetUserName Alias
TargetUserNameType - Finestre
TargetSessionId TargetLogonId 0x8dcdc
ActingProcessName ProcessName C:\Windows\System32\svchost.exe
ActingProcessId ProcessId 0x44c
SrcHostname WorkstationName Finestre
SrcIpAddr IpAddress 127.0.0.1
SrcPortNumber IpPort 0
TargetHostname Computer WIN-GG82ULGC9GO
Hostname (Nome host) Computer Alias

Passaggi successivi

Questo articolo offre una panoramica della normalizzazione in Microsoft Sentinel e ASIM.

Per altre informazioni, vedi: