ASIM-schema's (Advanced Security Information Model)
Een ASIM-schema (Advanced Security Information Model) is een set velden die een activiteit vertegenwoordigen. Het gebruik van de velden uit een genormaliseerd schema in een query zorgt ervoor dat de query werkt met elke genormaliseerde bron.
Als u wilt weten hoe schema's binnen de ASIM-architectuur passen, raadpleegt u het ASIM-architectuurdiagram.
Schemaverwijzingen geven een overzicht van de velden die elk schema vormen. ASIM definieert momenteel de volgende schema's:
| Schema | Versie | Status |
|---|---|---|
| Controlegebeurtenis | 0,1 | Preview uitvoeren |
| Verificatie-gebeurtenis | 0.1.3 | Preview uitvoeren |
| DNS-activiteit | 0.1.7 | Preview uitvoeren |
| DHCP-activiteit | 0,1 | Preview uitvoeren |
| Bestandsactiviteit | 0.2.1 | Preview uitvoeren |
| Netwerksessie | 0.2.6 | Preview uitvoeren |
| Proces-gebeurtenis | 0.1.4 | Preview uitvoeren |
| Register-gebeurtenis | 0.1.2 | Preview uitvoeren |
| Gebruikersbeheer | 0,1 | Preview uitvoeren |
| Websessie | 0.2.6 | Preview uitvoeren |
Belangrijk
ASIM-schema's en parsers zijn momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Schemaconcepten
De volgende concepten helpen u inzicht te verkrijgen in de documenten over schemareferenties en het schema op een genormaliseerde manier uit te breiden voor het geval uw gegevens informatie bevatten die niet door het schema wordt behandeld.
| Concept | Beschrijving |
|---|---|
| Veldnamen | De kern van elk schema zijn de veldnamen. Veldnamen behoren tot de volgende groepen: - Velden die gebruikelijk zijn voor alle schema's. - Velden die specifiek zijn voor een schema. - Velden die entiteiten vertegenwoordigen, zoals gebruikers, die deelnemen aan het schema. Velden die entiteiten vertegenwoordigen, zijn vergelijkbaar met schema's. Wanneer bronnen velden bevatten die niet worden weergegeven in het gedocumenteerde schema, worden ze genormaliseerd om consistentie te behouden. Als de extra velden een entiteit vertegenwoordigen, worden ze genormaliseerd op basis van de richtlijnen voor entiteitsvelden. Anders streven de schema's ernaar om consistentie in alle schema's te behouden. Zo bevatten activiteitenlogboeken van DNS-servers geen gebruikersgegevens, maar dns-activiteitenlogboeken van een eindpunt kunnen gebruikersgegevens bevatten, die kunnen worden genormaliseerd volgens de richtlijnen van de gebruikersentiteit. |
| Veldtypen | Elk schemaveld heeft een type. De Log Analytics-werkruimte heeft een beperkte set gegevenstypen. Daarom gebruikt Microsoft Sentinel een logisch type voor veel schemavelden, die Log Analytics niet afdwingt, maar is vereist voor schemacompatibiliteit. Logische veldtypen zorgen ervoor dat zowel waarden als veldnamen consistent zijn in alle bronnen. Zie Logische typen voor meer informatie. |
| Veldklasse | Velden kunnen verschillende klassen hebben, die bepalen wanneer de velden moeten worden geïmplementeerd door een parser: - Verplichte velden moeten in elke parser worden weergegeven. Als uw bron geen informatie biedt voor deze waarde of als de gegevens niet anders kunnen worden toegevoegd, worden de meeste inhoudsitems die verwijzen naar het genormaliseerde schema niet ondersteund. - Aanbevolen velden moeten worden genormaliseerd, indien beschikbaar. Ze zijn echter mogelijk niet beschikbaar in elke bron. Elk inhoudsitem dat verwijst naar het genormaliseerde schema, moet rekening houden met de beschikbaarheid. - Optionele velden, indien beschikbaar, kunnen in de oorspronkelijke vorm worden genormaliseerd of achtergelaten. Normaal gesproken zou een minimale parser ze niet normaliseren om prestatieredenen. - Voorwaardelijke velden zijn verplicht als het gevolgde veld is ingevuld. Voorwaardelijke velden worden doorgaans gebruikt om de waarde in een ander veld te beschrijven. Het algemene veld DvcIdType beschrijft bijvoorbeeld de waarde int het algemene veld DvcId en is daarom verplicht als de laatste is ingevuld. - Alias is een speciaal type voorwaardelijk veld en is verplicht als het aliasveld is ingevuld. |
| Algemene velden | Sommige velden zijn gebruikelijk voor alle ASIM-schema's. Elk schema kan richtlijnen toevoegen voor het gebruik van enkele algemene velden in de context van het specifieke schema. Toegestane waarden voor het veld EventType kunnen bijvoorbeeld per schema verschillen, zoals de waarde van het veld EventSchemaVersion . |
| Entiteiten | Gebeurtenissen ontwikkelen zich rond entiteiten, zoals gebruikers, hosts, processen of bestanden. Voor elke entiteit moeten mogelijk verschillende velden worden beschreven. Een host kan bijvoorbeeld een naam en een IP-adres hebben. Eén record kan meerdere entiteiten van hetzelfde type bevatten, zoals een bron- en doelhost. ASIM definieert hoe entiteiten consistent worden beschreven en entiteiten maken het mogelijk om de schema's uit te breiden. Hoewel het netwerksessieschema bijvoorbeeld geen procesgegevens bevat, bieden sommige gebeurtenisbronnen procesgegevens die kunnen worden toegevoegd. Zie Entiteiten voor meer informatie. |
| Aliassen | Aliassen staan meerdere namen toe voor een opgegeven waarde. In sommige gevallen verwachten verschillende gebruikers dat een veld verschillende namen heeft. In DNS-terminologie kunt u bijvoorbeeld een veld met de naam DnsQuery verwachten, terwijl dit over het algemeen een domeinnaam bevat. Het aliasdomein helpt de gebruiker door het gebruik van beide namen toe te staan. In sommige gevallen kan een alias de waarde van een van de verschillende velden hebben, afhankelijk van welke waarden beschikbaar zijn in de gebeurtenis. Bijvoorbeeld de Dvc-alias , aliassen de velden DvcFQDN, DvcId, DvcHostname of DvcIpAddr of Event Product . Wanneer een alias meerdere waarden kan hebben, moet het type een tekenreeks zijn om alle mogelijke aliaswaarden te kunnen gebruiken. Als gevolg hiervan moet u bij het toewijzen van een waarde aan een dergelijke alias het type converteren naar tekenreeks met behulp van de KQL-functie tostring. Systeemeigen genormaliseerde tabellen bevatten geen aliassen, omdat dit dubbele gegevensopslag impliceert. In plaats daarvan voegen de stubparsers de aliassen toe. Als u aliassen in parsers wilt implementeren, maakt u een kopie van de oorspronkelijke waarde met behulp van de extend operator. |
Logische typen
Elk schemaveld heeft een type. Sommige hebben ingebouwde Log Analytics-typen, zoals string, int, datetimeof dynamic. Andere velden hebben een logisch type, dat aangeeft hoe de veldwaarden moeten worden genormaliseerd.
| Gegevenstype | Fysiek type | Opmaak en waarde |
|---|---|---|
| Booleaanse waarde | Bool | Gebruik het ingebouwde KQL-gegevenstype bool in plaats van een numerieke of tekenreeksweergave van Booleaanse waarden. |
| Opgesomde | String | Een lijst met waarden zoals expliciet gedefinieerd voor het veld. De schemadefinitie bevat de geaccepteerde waarden. |
| Datum/tijd | Gebruik, afhankelijk van de mogelijkheid van de opnamemethode, een van de volgende fysieke representaties in aflopende prioriteit: - Ingebouwd datum/tijd-type log Analytics - Een geheel getalveld met de numerieke weergave van Log Analytics-datum/tijd. - Een tekenreeksveld met de numerieke weergave van Log Analytics-datum/tijd - Een tekenreeksveld dat een ondersteunde Datum-/tijdnotatie van Log Analytics opslaat. |
De datum- en tijdweergave van Log Analytics is vergelijkbaar, maar verschilt van unix-tijdweergave. Zie de richtlijnen voor conversie voor meer informatie. Opmerking: indien van toepassing moet de tijd worden aangepast aan de tijdzone. |
| MAC-adres | String | Dubbele hexadecimale notatie. |
| IP-adres | String | Microsoft Sentinel-schema's hebben geen afzonderlijke IPv4- en IPv6-adressen. Elk IP-adresveld kan als volgt een IPv4-adres of een IPv6-adres bevatten: - IPv4 in een puntdecimaalteken. - IPv6 in 8-hextets notatie, waardoor de korte vorm mogelijk is. Voorbeeld: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Korte IPv6-vorm: 1080::8:800:200C:417A |
| FQDN | String | Een volledig gekwalificeerde domeinnaam met behulp van een punt notatie, bijvoorbeeld learn.microsoft.com. Zie De entiteit Apparaat voor meer informatie. |
| Hostnaam | String | Een hostnaam die geen FQDN is, bevat maximaal 63 tekens, waaronder letters, cijfers en afbreekstreepjes. Zie De entiteit Apparaat voor meer informatie. |
| DomainType | Enumerated | Het type domein dat is opgeslagen in domein- en FQDN-velden. Zie De entiteit Apparaat voor een lijst met waarden en meer informatie. |
| DvcIdType | Enumerated | Het type apparaat-id dat is opgeslagen in DvcId-velden. Raadpleeg DvcIdType voor een lijst met toegestane waarden en meer informatie. |
| DeviceType | Enumerated | Het type apparaat dat is opgeslagen in de velden DeviceType. Mogelijke waarden zijn onder andere: - Computer- Mobile Device- IOT Device- Other. Zie De entiteit Apparaat voor meer informatie. |
| Gebruikersnaam | String | Een geldige gebruikersnaam in een van de ondersteunde typen. Zie De entiteit Gebruiker voor meer informatie. |
| UsernameType | Enumerated | Het type gebruikersnaam dat is opgeslagen in gebruikersnaamvelden. Zie De entiteit Gebruiker voor meer informatie en een lijst met ondersteunde waarden. |
| UserIdType | Enumerated | Het type id dat is opgeslagen in gebruikers-id-velden. Ondersteunde waarden zijn SID, UIS, AADID, , OktaIden AWSId.PUID Zie De entiteit Gebruiker voor meer informatie. |
| UserType | Enumerated | Het type gebruiker. Zie de entiteit Gebruiker voor meer informatie en een lijst met toegestane waarden. |
| AppType | Enumerated | Het type toepassing. Ondersteunde waarden zijn onder andere: Process, , Resource, , , SaaS application, en OtherCSP. URLService |
| Land/regio | String | Een tekenreeks die ISO 3166-1 gebruikt, volgens de volgende prioriteit: - Alfa-2 codes, zoals US voor de Verenigde Staten. - Alfa-3 codes, zoals USA voor de Verenigde Staten. - Korte naam. De lijst met codes vindt u op de website van de International Standards Organization (ISO). |
| Regio | String | De naam van de onderverdeling van het land/de regio, met behulp van ISO 3166-2. De lijst met codes vindt u op de website van de International Standards Organization (ISO). |
| Plaats | String | |
| Lengtegraad | Dubbel | ISO 6709 coördinaatweergave (ondertekend decimaal). |
| Breedtegraad | Dubbel | ISO 6709 coördinaatweergave (ondertekend decimaal). |
| MD5 | String | 32 hex tekens. |
| SHA1 | String | 40 hex tekens. |
| SHA256 | String | 64 hex tekens. |
| SHA512 | String | 128-hex tekens. |
Entiteiten
Gebeurtenissen ontwikkelen zich rond entiteiten, zoals gebruikers, hosts, processen of bestanden. Met entiteitsweergave kunnen verschillende entiteiten van hetzelfde type deel uitmaken van één record en meerdere kenmerken voor dezelfde entiteiten ondersteunen.
Om entiteitsfunctionaliteit in te schakelen, heeft de entiteitsweergave de volgende richtlijnen:
| Richtlijn | Beschrijving |
|---|---|
| Descriptors en aliasing | Omdat één gebeurtenis vaak meerdere entiteiten van hetzelfde type bevat, zoals bron- en doelhosts, worden descriptors gebruikt als voorvoegsel om alle velden te identificeren die zijn gekoppeld aan een specifieke entiteit. Voor het handhaven van normalisatie gebruikt ASIM een kleine set standaarddescriptors, die het meest geschikt zijn voor de specifieke rol van de entiteiten. Als één entiteit van een type relevant is voor een gebeurtenis, hoeft u geen descriptor te gebruiken. Een set velden zonder een descriptoralias bevat ook de meest gebruikte entiteit voor elk type. |
| Id's en typen | Met een genormaliseerd schema kunnen verschillende id's voor elke entiteit worden gebruikt, die we verwachten samen te bestaan in gebeurtenissen. Als de brongebeurtenis andere entiteits-id's bevat die niet kunnen worden toegewezen aan het genormaliseerde schema, laat u deze in het bronformulier staan of gebruikt u het dynamische veld AdditionalFields . Als u de typegegevens voor de id's wilt behouden, slaat u het type, indien van toepassing, op in een veld met dezelfde naam en een achtervoegsel van het type. Bijvoorbeeld UserIdType. |
| Kenmerken | Entiteiten hebben vaak andere kenmerken die niet als id fungeren en die ook kunnen worden gekwalificeerd met een descriptor. Als de brongebruiker bijvoorbeeld domeingegevens heeft, is het genormaliseerde veld SrcUserDomain. |
Elk schema definieert expliciet de centrale entiteiten en entiteitsvelden. Met de volgende richtlijnen kunt u de centrale schemavelden begrijpen en schema's op een genormaliseerde manier uitbreiden met behulp van andere entiteiten of entiteitsvelden die niet expliciet in het schema zijn gedefinieerd.
De entiteit Gebruiker
Gebruikers zijn centraal in activiteiten die worden gerapporteerd door gebeurtenissen. De velden in deze sectie worden gebruikt om de gebruikers te beschrijven die betrokken zijn bij de actie. Voorvoegsels worden gebruikt om de rol van de gebruiker in de activiteit aan te wijzen. De voorvoegsels Src en Dst worden gebruikt om de gebruikersrol in netwerkgerelateerde gebeurtenissen aan te wijzen, waarbij een bronsysteem en een doelsysteem communiceren. De voorvoegsels Actor en Target worden gebruikt voor systeemgeoriënteerde gebeurtenissen, zoals procesgebeurtenissen.
De gebruikers-id en het bereik
| Veld | Klas | Type | Beschrijving |
|---|---|---|---|
| Gebruikers-id | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de gebruiker. |
| UserScope | Optioneel | tekenreeks | Het bereik waarin UserId en Username worden gedefinieerd. Bijvoorbeeld een Microsoft Entra-tenantdomeinnaam. Het veld UserIdType vertegenwoordigt ook het type van het gekoppelde veld. |
| UserScopeId | Optioneel | tekenreeks | De id van het bereik waarin UserId en Username worden gedefinieerd. Bijvoorbeeld een map-id van een Microsoft Entra-tenant. Het veld UserIdType vertegenwoordigt ook het type van het gekoppelde veld. |
| UserIdType | Optioneel | UserIdType | Het type id dat is opgeslagen in het veld UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Optioneel | String | Velden die worden gebruikt voor het opslaan van specifieke gebruikers-id's. Selecteer de id die het meest is gekoppeld aan de gebeurtenis als de primaire id die is opgeslagen in UserId. Vul het relevante specifieke id-veld in, naast UserId, zelfs als de gebeurtenis slechts één id heeft. |
| UserAADTenant, UserAWSAccount | Optioneel | String | Velden die worden gebruikt voor het opslaan van specifieke bereiken. Gebruik het veld UserScope voor het bereik dat is gekoppeld aan de id die is opgeslagen in het veld UserId . Vul het relevante specifieke bereikveld in, naast UserScope, zelfs als de gebeurtenis slechts één id heeft. |
De toegestane waarden voor een gebruikers-id-type zijn:
| Type | Description | Voorbeeld |
|---|---|---|
| SID | Een Windows-gebruikers-id. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Een Linux-gebruikers-id. | 4578 |
| AADID | Een Microsoft Entra-gebruikers-id. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Een Okta-gebruikers-id. | 00urjk4znu3BcncfY0h7 |
| AWSId | Een AWS-gebruikers-id. | 72643944673 |
| PUID | Een Microsoft 365-gebruikers-id. | 10032001582F435C |
| SalesforceId | Een Salesforce-gebruikers-id. | 00530000009M943 |
De gebruikersnaam
| Veld | Klas | Type | Description |
|---|---|---|---|
| Gebruikersnaam | Optioneel | String | De gebruikersnaam van de bron, inclusief domeingegevens, indien beschikbaar. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. Sla het gebruikersnaamtype op in het veld UsernameType . |
| UsernameType | Optioneel | UsernameType | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld Gebruikersnaam . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Optioneel | String | Velden die worden gebruikt om extra gebruikersnamen op te slaan, als de oorspronkelijke gebeurtenis meerdere gebruikersnamen bevat. Selecteer de gebruikersnaam die het meest is gekoppeld aan de gebeurtenis als de primaire gebruikersnaam die is opgeslagen in gebruikersnaam. |
De toegestane waarden voor een gebruikersnaamtype zijn:
| Type | Description | Voorbeeld |
|---|---|---|
| UPN | Een UPN- of e-mailadressen van de gebruikersnaam. | johndow@contoso.com |
| Windows | Een Windows-gebruikersnaam, inclusief een domein. | Contoso\johndow |
| DN | Een DNNN-naamsontwerper voor LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Eenvoudig | Een eenvoudige gebruikersnaam zonder domeinontwerper. | johndow |
| AWSId | Een AWS-gebruikers-id. | 72643944673 |
Aanvullende gebruikersvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| UserType | Optioneel | UserType | Het type brongebruiker. Ondersteunde waarden zijn onder andere: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld OriginalUserType . |
| OriginalUserType | Optioneel | String | Het oorspronkelijke type doelgebruiker, indien opgegeven door het rapportageapparaat. |
De apparaatentiteit
Apparaten of hosts zijn de algemene termen die worden gebruikt voor de systemen die deelnemen aan het evenement. Het Dvc voorvoegsel wordt gebruikt om het primaire apparaat aan te wijzen waarop de gebeurtenis plaatsvindt. Sommige gebeurtenissen, zoals netwerksessies, hebben bron- en doelapparaten, aangewezen door het voorvoegsel Src en Dst. In dat geval wordt het Dvc voorvoegsel gebruikt voor het apparaat dat de gebeurtenis rapporteert. Dit kan de bron, bestemming of een bewakingsapparaat zijn.
De apparaataliassen
| Veld | Klas | Type | Description |
|---|---|---|---|
| Dvc, Src, Dst | Verplicht | String | De Dvcvelden 'Src' of 'Dst' worden gebruikt als een unieke id van het apparaat. Deze is ingesteld op de best beschikbare identificatie voor het apparaat. Deze velden kunnen de velden FQDN, DvcId, Hostname of IpAddr aliasen. Gebruik voor cloudbronnen waarvoor geen duidelijk apparaat is, dezelfde waarde als het veld Gebeurtenisproduct . |
De apparaatnaam
Gerapporteerde apparaatnamen kunnen alleen een hostnaam of een FQDN (Fully Qualified Domain Name) bevatten, waaronder een hostnaam en een domeinnaam. De FQDN kan worden uitgedrukt in verschillende indelingen. Met de volgende velden kunt u de verschillende varianten ondersteunen waarin de apparaatnaam kan worden opgegeven.
| Veld | Klas | Type | Description |
|---|---|---|---|
| Hostnaam | Aanbevolen | Hostnaam | De korte hostnaam van het apparaat. |
| Domein | Aanbevolen | String | Het domein van het apparaat waarop de gebeurtenis heeft plaatsgevonden, zonder de hostnaam. |
| DomainType | Aanbevolen | Enumerated | Het type domein. Ondersteunde waarden zijn onder andere FQDN en Windows. Dit veld is vereist als het veld Domein wordt gebruikt. |
| FQDN | Optioneel | String | De FQDN van het apparaat, inclusief zowel Hostnaam als Domein . Dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld DomainType weerspiegelt de gebruikte indeling. |
Voorbeeld:
| Veld | Waarde voor invoer appserver.contoso.com |
waarde voor invoer appserver |
|---|---|---|
| Hostnaam | appserver |
appserver |
| Domein | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
Wanneer de waarde van de bron een FQDN is of wanneer de waarde kan zijn en FQDN of een korte hostnaam, moet de parser de vier waarden berekenen. Gebruik de ASIM-helperfuncties_ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDNen _ASIM_ResolveDstFQDN_ASIM_ResolveDvcFQDN om eenvoudig alle vier de velden in te stellen op basis van één invoerwaarde. Zie ASIM-helperfuncties voor meer informatie.
De apparaat-id en het bereik
| Veld | Klas | Type | Description |
|---|---|---|---|
| DvcId | Optioneel | String | De unieke id van het apparaat. Bijvoorbeeld: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. Bereik is toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| Scope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. Bereik is toegewezen aan een abonnement in Azure en aan een account in AWS. |
| DvcIdType | Optioneel | Enumerated | Het type DvcId. Dit veld identificeert doorgaans ook het type Scope en ScopeId. Dit veld is vereist als het veld DvcId wordt gebruikt. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Optioneel | String | Velden die worden gebruikt voor het opslaan van extra apparaat-id's, als de oorspronkelijke gebeurtenis meerdere apparaat-id's bevat. Selecteer de apparaat-id die het meest is gekoppeld aan de gebeurtenis als de primaire id die is opgeslagen in DvcId. |
Houd er rekening mee dat velden met de naam een rolvoorvoegsel Src zoals of Dst, maar geen tweede Dvc voorvoegsel moeten vooraf laten gaan als ze in die rol worden gebruikt.
De toegestane waarden voor een apparaat-id-type zijn:
| Type | Description |
|---|---|
| MDEid | De systeem-id die is toegewezen door Microsoft Defender voor Eindpunt. |
| AzureResourceId | De Azure-resource-id. |
| MD4IoTid | De resource-id van Microsoft Defender for IoT. |
| VMConnectionId | De resource-id van de Azure Monitor VM Insights-oplossing. |
| AwsVpcId | Een AWS VPC-id. |
| VectraId | Een resource-id toegewezen door Vectra AI. |
| Overig | Een id-type dat hierboven niet wordt vermeld. |
De Azure Monitor VM Insights-oplossing biedt bijvoorbeeld informatie over netwerksessies in de VMConnection. De tabel bevat een Azure-resource-id in het _ResourceId veld en een specifieke apparaat-id voor VM-inzichten in het Machine veld. Gebruik de volgende toewijzing om deze id's weer te geven:
| Veld | Toewijzen aan |
|---|---|
| DvcId | Het Machine veld in de VMConnection tabel. |
| DvcIdType | De waarde VMConnectionId |
| DvcAzureResourceId | Het _ResourceId veld in de VMConnection tabel. |
Aanvullende apparaatvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| IpAddr | Aanbevolen | IP-adres | Het IP-adres van het apparaat. Voorbeeld: 45.21.42.12 |
| DvcDescription | Optioneel | String | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller. |
| MacAddr | Optioneel | MAC | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: 00:1B:44:11:3A:B7 |
| Zone | Optioneel | String | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd, afhankelijk van het schema. De zone wordt gedefinieerd door het rapportageapparaat. Voorbeeld: Dmz |
| DvcOs | Optioneel | String | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: Windows |
| DvcOsVersion | Optioneel | String | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: 10 |
| DvcAction | Optioneel | String | Voor het rapporteren van beveiligingssystemen, indien van toepassing, de door het systeem uitgevoerde actie. Voorbeeld: Blocked |
| DvcOriginalAction | Optioneel | String | De oorspronkelijke DvcAction zoals geleverd door het rapportageapparaat. |
| Interface | Optioneel | String | De netwerkinterface waarop gegevens zijn vastgelegd. Dit veld is doorgaans relevant voor netwerkactiviteit die wordt vastgelegd door een tussenliggend apparaat of tik op een apparaat. |
Houd er rekening mee dat velden met de naam in de lijst met het Dvc-voorvoegsel een rolvoorvoegsel moeten vooraf laten gaan, zoals Src of Dst, maar geen tweede Dvc voorvoegsel mogen gebruiken als deze in die rol wordt gebruikt.
Voorbeeldentiteitstoewijzing
In deze sectie wordt Windows-gebeurtenis 4624 gebruikt als voorbeeld om te beschrijven hoe de gebeurtenisgegevens worden genormaliseerd voor Microsoft Sentinel.
Deze gebeurtenis heeft de volgende entiteiten:
| Microsoft-terminologie | Oorspronkelijk voorvoegsel voor gebeurtenisveld | ASIM-veldvoorvoegsel | Beschrijving |
|---|---|---|---|
| Onderwerp | Subject |
Actor |
De gebruiker die informatie heeft gerapporteerd over een geslaagde aanmelding. |
| Nieuwe aanmelding | Target |
TargetUser |
De gebruiker waarvoor de aanmelding is uitgevoerd. |
| Verwerken | - | ActingProcess |
Het proces waarmee de aanmelding is geprobeerd. |
| Netwerkgegevens | - | Src |
De computer waarop een aanmeldingspoging is uitgevoerd. |
Op basis van deze entiteiten wordt Windows-gebeurtenis 4624 als volgt genormaliseerd (sommige velden zijn optioneel):
| Genormaliseerd veld | Oorspronkelijk veld | Waarde in voorbeeld | Opmerkingen |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WERKGROEP\WIN-GG82ULGC9GO$ | Gebouwd door de twee velden samen te voegen |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| Gebruikers-id | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Beheerder\WIN-GG82ULGC9GO$ | Gebouwd door de twee velden samen te voegen |
| Gebruikersnaam | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Hostnaam | Computer | Alias |
Volgende stappen
Dit artikel bevat een overzicht van normalisatie in Microsoft Sentinel en ASIM.
Zie voor meer informatie: