Udostępnij za pośrednictwem

Dokumentacja typowych pól schematu usługi Advanced Security Information Model (ASIM) (wersja zapoznawcza)

  • Artykuł

Niektóre pola są wspólne dla wszystkich schematów ASIM. Każdy schemat może dodawać wskazówki dotyczące używania niektórych typowych pól w kontekście określonego schematu. Na przykład dozwolone wartości pola EventType mogą się różnić w zależności od schematu, ponieważ może to być wartość pola EventSchemaVersion.

Pola usługi Log Analytics w warstwie Standardowa

W większości przypadków następujące pola są generowane przez usługę Log Analytics dla każdego rekordu. Można je zastąpić podczas tworzenia łącznika niestandardowego.

Pole Typ Dyskusja
TimeGenerated datetime Czas wygenerowania zdarzenia przez urządzenie raportowania.
Type String Oryginalna tabela, z której pobrano rekord. To pole jest przydatne, gdy to samo zdarzenie może być odbierane za pośrednictwem wielu kanałów do różnych tabel i mają te same wartości EventVendor i EventProduct .

Na przykład zdarzenie Sysmon można zebrać do Event tabeli lub do WindowsEvent tabeli.

Uwaga

Usługa Log Analytics dodaje również inne pola, które są mniej istotne dla przypadków użycia zabezpieczeń. Aby uzyskać więcej informacji, zobacz Kolumny standardowe w dziennikach usługi Azure Monitor.

Typowe pola karty ASIM

Następujące pola są definiowane przez kartę ASIM dla wszystkich schematów:

Pola zdarzeń

Pole Klasa Type Opis
EventMessage Opcjonalnie String Ogólny komunikat lub opis dołączony do lub wygenerowany na podstawie rekordu.
EventCount Obowiązkowy Integer Liczba zdarzeń opisanych przez rekord.

Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń.

W przypadku innych źródeł ustaw wartość 1.
EventStartTime Obowiązkowy Data/godzina Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated .
EventEndTime Obowiązkowy Data/godzina Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated .
EventType Obowiązkowy Enumerated Opisuje operację zgłoszoną przez rekord. Każdy schemat dokumentuje listę wartości prawidłowych dla tego pola. Oryginalna, specyficzna dla źródła wartość jest przechowywana w polu EventOriginalType .
EventSubType Opcjonalnie Enumerated Opisuje podział operacji zgłoszonej w polu EventType . Każdy schemat dokumentuje listę wartości prawidłowych dla tego pola. Oryginalna, źródłowa wartość jest przechowywana w polu EventOriginalSubType .
EventResult Obowiązkowy Enumerated Jedna z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy).

Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Alternatywnie źródło może podać tylko pole EventResultDetails , które powinno zostać przeanalizowane w celu uzyskania wartości EventResult.

Przykład: Success
EventResultDetails Zalecane Enumerated Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult . Każdy schemat dokumentuje listę wartości prawidłowych dla tego pola. Oryginalna, specyficzna dla źródła wartość jest przechowywana w polu EventOriginalResultDetails .

Przykład: NXDOMAIN
Identyfikator zdarzenia Zalecane String Unikatowy identyfikator rekordu przypisany przez usługę Microsoft Sentinel. To pole jest zwykle mapowane na _ItemId pole usługi Log Analytics.
EventOriginalUid Opcjonalnie String Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło.

Przykład: 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType Opcjonalnie String Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło. Na przykład to pole służy do przechowywania oryginalnego identyfikatora zdarzenia systemu Windows. Ta wartość służy do tworzenia typu EventType, który powinien zawierać tylko jedną z wartości udokumentowanych dla każdego schematu.

Przykład: 4624
EventOriginalSubType Opcjonalnie String Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło. Na przykład to pole służy do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość służy do tworzenia klasy EventSubType, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu.

Przykład: 2
EventOriginalResultDetails Opcjonalnie String Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu.
EventSeverity Zalecane Enumerated Ważność zdarzenia. Prawidłowe wartości to: Informational, , MediumLowlub High.
EventOriginalSeverity Opcjonalnie String Oryginalna ważność podana przez urządzenie raportowania. Ta wartość służy do uzyskiwania wartości EventSeverity.
EventProduct Obowiązkowy String Produkt generujący zdarzenie. Wartość powinna być jedną z wartości wymienionych w sekcji Dostawcy i Produkty.

Przykład: Sysmon
EventProductVersion Opcjonalnie String Wersja produktu generująca zdarzenie.

Przykład: 12.1
EventVendor Obowiązkowy String Dostawca produktu generującego zdarzenie. Wartość powinna być jedną z wartości wymienionych w sekcji Dostawcy i Produkty.

Przykład: Microsoft

EventSchema Obowiązkowy String Schemat zdarzenia jest znormalizowany do. Każdy schemat dokumentuje jego nazwę schematu.
EventSchemaVersion Obowiązkowy String Wersja schematu. Każdy schemat dokumentuje bieżącą wersję.
EventReportUrl Opcjonalnie String Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu.
Właściciel zdarzenia Opcjonalnie String Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany.

Pola urządzenia

Rola pól urządzenia różni się w przypadku różnych schematów i typów zdarzeń. Na przykład:

  • W przypadku zdarzeń sesji sieciowej pola urządzenia zwykle zawierają informacje o urządzeniu, które wygenerowało zdarzenie
  • W przypadku zdarzeń Proces pola urządzenia zawierają informacje na urządzeniu, na których jest wykonywany proces.

Każdy dokument schematu określa rolę urządzenia dla schematu.

Pole Klasa Type Opis
Dvc Alias String Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub który zgłosił zdarzenie, w zależności od schematu.

To pole może oznaczać pola DvcFQDN, DvcId, DvcHostname lub DvcIpAddr . W przypadku źródeł w chmurze, dla których nie ma widocznego urządzenia, użyj tej samej wartości co pole Produkt zdarzenia.
DvcIpAddr Zalecane Adres IP Adres IP urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu.

Przykład: 45.21.42.12
DvcHostname Zalecane Hostname (Nazwa hosta) Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu.

Przykład: ContosoDc
DvcDomain Zalecane String Domena urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu.

Przykład: Contoso
DvcDomainType Warunkowe Enumerated Typ DvcDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType.

Uwaga: to pole jest wymagane, jeśli jest używane pole DvcDomain .
DvcFQDN Opcjonalnie String Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu.

Przykład: Contoso\DESKTOP-1282V4D

Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole DvcDomainType odzwierciedla używany format.
DvcDescription Opcjonalnie String Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller.
DvcId Opcjonalnie String Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu.

Przykład: 41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType Warunkowe Enumerated Typ DvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType.
- MDEid

Jeśli dostępnych jest wiele identyfikatorów, użyj pierwszego z listy i zapisz pozostałe przy użyciu nazw pól DvcAzureResourceId i DvcMDEid odpowiednio.

Uwaga: to pole jest wymagane, jeśli jest używane pole DvcId .
DvcMacAddr Opcjonalnie MAC Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.

Przykład: 00:1B:44:11:3A:B7
DvcZone Opcjonalnie String Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Strefa jest definiowana przez urządzenie raportowania.

Przykład: Dmz
DvcOs Opcjonalnie String System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.

Przykład: Windows
DvcOsVersion Opcjonalnie String Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.

Przykład: 10
DvcAction Zalecane String W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system, jeśli ma to zastosowanie.

Przykład: Blocked
DvcOriginalAction Opcjonalnie String Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania.
DvcInterface Opcjonalnie String Interfejs sieciowy, na którym zostały przechwycone dane. To pole jest zwykle istotne dla działania związanego z siecią, które jest przechwytywane przez urządzenie pośrednie lub naciśnij.
DvcScopeId Opcjonalnie String Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
DvcScope Opcjonalnie String Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS.

Inne pola

Pole Klasa Type Opis
Dodatkowe pola Opcjonalnie Dynamiczny Jeśli źródło zapewnia dodatkowe informacje, które warto zachować, zachowaj je przy użyciu oryginalnych nazw pól lub utwórz dynamiczne pole AdditionalFields i dodaj do niego dodatkowe informacje jako pary klucz/wartość.
ASimMatchingIpAddr Zalecane String Gdy analizator używa ipaddr_has_any_prefix parametrów filtrowania, to pole jest ustawiane przy użyciu jednej z wartości SrcIpAddr, DstIpAddrlub Both odzwierciedla pasujących pól lub pól.
ASimMatchingHostname Zalecane String Gdy analizator używa hostname_has_any parametrów filtrowania, to pole jest ustawiane przy użyciu jednej z wartości SrcHostname, DstHostnamelub Both odzwierciedla pasujących pól lub pól.

Aktualizacje schematu

  • Pole EventOwner zostało dodane do typowych pól w dniu 1 grudnia 2022 r. i w związku z tym do wszystkich schematów.
  • Pole EventUid zostało dodane do typowych pól w dniu 26 grudnia 2022 r., a tym samym do wszystkich schematów.

Dostawcy i produkty

Aby zachować spójność, lista dozwolonych dostawców i produktów jest ustawiona jako część karty ASIM i może nie odpowiadać bezpośrednio wartości wysyłanej przez źródło, jeśli jest dostępna.

Obecnie obsługiwana lista dostawców i produktów używanych odpowiednio w polach EventVendor i EventProduct to:

Vendor Produkty
AWS - CloudTrail
- VPC
Cisco - ASA
- Umbrella
- IOS
- Meraki
Corelight Zeek
Cynerio Cynerio
Dataminr Dataminr Pulse
GCP Cloud DNS
Infoblox NIOS
Microsoft — Microsoft Entra ID
- Azure
- Azure Firewall
- Azure Blob Storage
- Azure File Storage
- Azure NSG flows
- Azure Queue Storage
- Azure Table Storage
- DNS Server
- Microsoft Defender XDR for Endpoint
- Microsoft Defender for IoT
- Security Events
- SharePoint
- OneDrive
- Sysmon
- Sysmon for Linux
- VMConnection
- Windows Firewall
- WireData
Linux - su
- sudo
Okta - Okta
- Auth0
OpenBSD OpenSSH
Palo Alto - PanOS
- CDL
PostgreSQL PostgreSQL
Squid Squid Proxy
Vectra AI Vectra Steam
WatchGuard Fireware
Zscaler - ZIA DNS
- ZIA Firewall
- ZIA Proxy

Jeśli opracowujesz analizator dla dostawcy lub produktu, które nie są wymienione tutaj, skontaktuj się z zespołem usługi Microsoft Sentinel , aby przydzielić nowego dozwolonego dostawcę i projektantów produktów.

Następne kroki

Aby uzyskać więcej informacji, zobacz: