Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
Um esquema do ASIM (Modelo de Informações de Segurança Avançado) é um conjunto de campos que representam uma atividade. O uso dos campos de um esquema normalizado em uma consulta garante que a consulta funcione com todas as fontes normalizadas.
Para entender como os esquemas se ajustam à arquitetura do ASIM, veja o diagrama de arquitetura do ASIM.
As referências de esquema descrevem os campos que compõem cada esquema. Atualmente, o ASIM define os seguintes esquemas:
| Esquema | Versão | Status |
|---|---|---|
| Auditar evento | 0,1 | Versão Prévia |
| Evento de autenticação | 0.1.3 | Versão Prévia |
| Atividade DNS | 0.1.7 | Versão Prévia |
| Atividade DHCP | 0,1 | Versão Prévia |
| Atividade de arquivo | 0.2.1 | Versão Prévia |
| Sessão de rede | 0.2.6 | Versão Prévia |
| Evento de processo | 0.1.4 | Versão Prévia |
| Evento de registro | 0.1.2 | Versão Prévia |
| Gerenciamento de Usuários | 0,1 | Versão Prévia |
| Sessão da Web | 0.2.6 | Versão Prévia |
Importante
No momento, os esquemas e analisadores do ASIM estão em versão prévia. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Conceitos de esquema
Os conceitos a seguir ajudam a entender os documentos de referência de esquema e a estender o esquema de maneira normalizada, caso os dados incluam informações que o esquema não abrange.
| Conceito | Descrição |
|---|---|
| Nomes de campo | No núcleo de cada esquema estão os nomes de campo. Os nomes de campo pertencem aos grupos a seguir: – Campos comuns a todos os esquemas. – Campos específicos de um esquema. – Campos que representam entidades, como usuários, que fazem parte do esquema. Campos que representam entidades são semelhantes entre esquemas. Quando as fontes têm campos que não são apresentados no esquema documentado, elas são normalizadas para manter a consistência. Quando os campos extras representam uma entidade, eles são normalizados com base nas diretrizes de campo de entidade. Caso contrário, os esquemas se esforçam para manter a consistência entre os esquemas. Por exemplo, embora os logs de atividade do servidor DNS não forneçam informações do usuário, os logs de atividade do DNS de um ponto de extremidade podem incluir informações do usuário, que podem ser normalizadas de acordo com as diretrizes da entidade do usuário. |
| Tipos de campo | Cada campo de esquema tem um tipo. O workspace do Log Analytics tem um conjunto limitado de tipos de dados. Por esse motivo, o Microsoft Sentinel usa um tipo lógico em muitos campos de esquema, que o Log Analytics não impõe, mas são necessários para a compatibilidade do esquema. Os tipos de campo lógicos garantem que os valores e os nomes de campo sejam consistentes nas fontes. Para obter mais informações, confira Tipos lógicos. |
| Classe do campo | Os campos podem ter várias classes, que definem quando devem ser implementados por um analisador: - Campos - devem aparecer em todos os analisadores. Se a sua fonte não fornecer informações para esse valor ou se os dados não puderem ser adicionados de outra forma, não haverá suporte para a maioria dos itens de conteúdo que fazem referência ao esquema normalizado. - Campos - devem ser normalizados, se disponíveis. No entanto, eles podem não estar disponíveis em todas as fontes. Qualquer item de conteúdo que faz referência a esse esquema normalizado deve levar em conta a disponibilidade. - Campos - , se disponíveis, podem ser normalizados ou deixados no formato original. Normalmente, analisadores mínimos não normalizam esses campos por motivos de desempenho. - Campos condicionais serão obrigatórios se o campo anterior for preenchido. Os campos condicionais normalmente são usados para descrever o valor em outro campo. Por exemplo, o campo comum DvcIdType descreve o valor int do campo comum DvcId e, portanto, será obrigatório se o último for preenchido. - Alias é um tipo especial de campo condicional, e será obrigatório se o campo com alias tiver sido preenchido. |
| Campos comuns | Alguns campos são comuns a todos os esquemas do ASIM. Cada esquema pode adicionar diretrizes para usar alguns dos campos comuns no contexto do esquema específico. Por exemplo, os valores permitidos do campo EventType podem variar por esquema, assim como o valor do campo EventSchemaVersion. |
| Entidades | Eventos evoluem em relação a entidades, como usuários, hosts, processos e arquivos. Cada entidade pode exigir vários campos para descrevê-la. Por exemplo, um host pode ter nome e endereço IP. Um único registro pode incluir várias entidades do mesmo tipo, como host de origem e host de destino. O ASIM define como descrever as entidades de forma consistente e as entidades possibilitam estender os esquemas. Por exemplo, embora o esquema de Sessão de Rede não inclua informações de processo, algumas origens de eventos fornecem informações de processo que podem ser adicionadas. Para obter mais informações, confira Entidades. |
| Aliases | Os aliases permitem vários nomes para um valor especificado. Em alguns casos, usuários diferentes esperam que os campos tenham nomes diferentes. Por exemplo, na terminologia do DNS, pode-se esperar um campo chamado DnsQuery, enquanto, de maneira mais geral, ele teria um nome de domínio. O Domínio do alias ajuda o usuário permitindo o uso dos dois nomes. Em alguns casos, um alias pode ter o valor de um dos vários campos, dependendo de quais valores estão disponíveis no evento. Por exemplo, o alias Dvc, abrange os campos DvcFQDN, DvcId, DvcHostname ou DvcIpAddr ou Produto de Evento. Quando um alias pode ter vários valores, seu tipo precisa ser de cadeia de caracteres, a fim de acomodar todos os valores de alias possíveis. Como resultado, ao atribuir um valor a esse alias, converta o tipo em cadeia de caracteres usando a função KQL tostring. As tabelas normalizadas nativas não incluem aliases, pois isso implicaria um armazenamento de dados duplicado. Em vez disso, os analisadores de stub adicionam os aliases. Para implementar aliases em analisadores, crie uma cópia do valor original usando o operador extend. |
Tipos lógicos
Cada campo de esquema tem um tipo. Alguns têm tipos do Log Analytics integrados, como string, int, datetime ou dynamic. Outros campos têm um tipo Lógico, que representa como os valores de campo devem ser normalizados.
| Tipo de dados | Tipo físico | Formato e valor |
|---|---|---|
| Booliano | Bool | Usa o booltipo de dados booliano KQL nativo em vez de uma representação numérica ou de cadeia de caracteres de valores boolianos. |
| Enumerated | String | Uma lista de valores como explicitamente definidos no campo. A definição de esquema lista os valores aceitos. |
| Data/hora | Dependendo da capacidade do método de ingestão, usa qualquer uma das seguintes representações físicas em prioridade decrescente: - Tipo datetime integrado do Log Analytics - Um campo de número inteiro que usa uma representação numérica datetime do Log Analytics. Um campo de cadeia de caracteres que usa a representação numérica de datetime do Log Analytics - Um campo de cadeia de caracteres que armazena um formato de data/hora do Log Analytics com suporte. |
A representação de data e hora do Log Analytics é semelhante, mas diferente da representação de hora do Unix. Para obter mais informações, confira as diretrizes de conversão. Observação: quando aplicável, a hora deve ser ajustada por fuso horário. |
| Endereço MAC | String | Notação hexadecimal com dois pontos. |
| Endereço IP | String | Os esquemas do Microsoft Sentinel não têm endereços IPv4 e IPv6 separados. Qualquer campo de endereço IP pode incluir um endereço IPv4 ou IPv6, conforme a seguir: - - em uma notação decimal separada por ponto. - - na notação de 8 hextetos, possibilitando a forma abreviada. Por exemplo: - - : 192.168.10.10 - - : FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- - : 1080::8:800:200C:417A |
| FQDN | String | Um nome de domínio totalmente qualificado que usa uma notação de ponto, por exemplo, learn.microsoft.com. Para saber mais, confira A entidade de dispositivo. |
| Nome do host | String | Um nome do host que não é um FQDN contém até 63 caracteres, incluindo letras, números e hifens. Para saber mais, confira A entidade de dispositivo. |
| DomainType | Enumerated | O tipo de domínio armazenado nos campos de domínio e FQDN. Para obter mais informações e uma lista de valores, consulte A entidade de Dispositivo. |
| DvcIdType | Enumerated | O tipo da ID do dispositivo armazenada nos campos de DvcId. Para obter uma lista de valores permitidos e mais informações, veja DvcIdType. |
| DeviceType | Enumerated | O tipo do dispositivo armazenado nos campos de DeviceType. Os valores possíveis incluem: - Computer- Mobile Device- IOT Device- Other. Para saber mais, confira A entidade de dispositivo. |
| Nome de usuário | String | Um nome de usuário válido em um dos tipos compatíveis. Para saber mais, confira A entidade de usuário. |
| UsernameType | Enumerated | O tipo de nome de usuário armazenado nos campos de nome de usuário. Para obter mais informações e uma lista de valores com suporte, consulte A entidade de Usuário. |
| UserIdType | Enumerated | O tipo da ID armazenada nos campos de ID de usuário. Os valores compatíveis são SID, UIS, AADID, OktaId, AWSId e PUID. Para saber mais, confira A entidade de usuário. |
| UserType | Enumerated | O tipo de um usuário. Para obter mais informações e uma lista de valores permitidos, consulte A entidade de Usuário. |
| AppType | Enumerated | O tipo de um aplicativo. Os valores compatíveis incluem: Process, Service, Resource, URL, SaaS application, CSP e Other. |
| País | String | Uma cadeia de caracteres que usa ISO 3166-1, de acordo com a seguinte prioridade: – Códigos Alfa-2, como US para os Estados Unidos. – Códigos Alfa-3, como USA para os Estados Unidos. – Nome curto. É possível encontrar a lista de códigos no site da ISO (Organização Nacional de Normalização). |
| Região | String | O nome da subdivisão do país/região, usando ISO 3166-2. É possível encontrar a lista de códigos no site da ISO (Organização Nacional de Normalização). |
| Cidade | String | |
| Longitude | Double | Representação de coordenada de acordo com a ISO 6709 (decimal com sinal). |
| Latitude | Double | Representação de coordenada de acordo com a ISO 6709 (decimal com sinal). |
| MD5 | String | 32 caracteres hexadecimais. |
| SHA1 | String | 40 caracteres hexadecimais. |
| SHA256 | String | 64 caracteres hexadecimais. |
| SHA512 | String | 128 caracteres hexadecimais. |
Entities
Eventos evoluem em relação a entidades, como usuários, hosts, processos e arquivos. A representação de entidade permite que várias entidades do mesmo tipo façam parte de um único registro e dão suporte a vários atributos para as mesmas entidades.
Para habilitar a funcionalidade de entidade, a representação de entidade tem as seguintes diretrizes:
| Diretriz | Descrição |
|---|---|
| Descritores e atribuição de alias | Como um único evento costuma incluir mais de uma entidade do mesmo tipo, como hosts de origem e de destino, os descritores são usados como um prefixo para identificar todos os campos associados a uma entidade específica. Para manter a normalização, o ASIM utiliza um pequeno conjunto de descritores padrão, escolhendo os mais adequados para a função específica das entidades. Quando uma única entidade de um tipo é relevante para um evento, não é preciso usar um descritor. Além disso, um conjunto de campos sem um descritor atribui aliases às entidade mais usada de cada tipo. |
| Identificadores e tipos | Um esquema normalizado permite vários identificadores para cada entidade, que esperamos coexistir em eventos. Se o evento de origem tiver outros identificadores de entidade que não possam ser mapeados para o esquema normalizado, mantenha-os no formulário de origem ou use o campo dinâmico AdditionalFields. Para manter as informações de tipo nos identificadores, armazene o tipo, quando aplicável, em um campo com o mesmo nome e um sufixo do Tipo. Por exemplo, UserIdType. |
| Atributos | As entidades geralmente têm outros atributos que não servem como um identificador e podem ser qualificadas com um descritor. Por exemplo, quando o usuário de origem tem informações de domínio, o campo normalizado é SrcUserDomain. |
Cada esquema define explicitamente as entidades e os campos de entidade central. As diretrizes a seguir possibilitam que você entenda os campos de esquema central, e como estender esquemas de maneira normalizada usando outras entidades ou campos de entidade que não estão definidos explicitamente no esquema.
Entidade do usuário
Os usuários são centrais para as atividades relatadas pelos eventos. Os campos listados nesta seção são usados para descrever os usuários envolvidos na ação. Os prefixos são usados para designar a função do usuário na atividade. Os prefixos Src e Dst são usados para designar a função de usuário em eventos relacionados à rede, nos quais um sistema de origem e um sistema de destino estabelecem comunicação. Os prefixos 'Actor' e 'Target' são usados para eventos orientados ao sistema, como eventos de processo.
A ID e o escopo do usuário
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| UserId | Opcional | String | Uma representação do usuário exclusiva, alfanumérica e legível por computador. |
| UserScope | Opcional | string | O escopo no qual UserId e Username são definidos. Por exemplo, um nome de domínio de locatário do Microsoft Entra. O campo UserIdType representa também o tipo do associado a esse campo. |
| UserScopeId | Opcional | string | A ID do escopo no qual UserId e Nome de usuário são definidos. Por exemplo, uma ID de diretório do locatário do Microsoft Entra. O campo UserIdType representa também o tipo do associado a esse campo. |
| UserIdType | Opcional | UserIdType | O tipo de ID armazenado no campo UserId. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Opcional | String | Campos usados para armazenar IDs de usuário específicas. Selecione a ID mais associada ao evento como a ID principal armazenada em UserId. Preencha o campo de ID específica relevante, além de UserId, mesmo que o evento tenha apenas uma ID. |
| UserAADTenant, UserAWSAccount | Opcional | String | Campos usados para armazenar escopos específicos. Use o campo UserScope para o escopo associado à ID armazenada no campo UserId. Preencha o campo de escopo específico relevante, além de UserScope, mesmo que o evento tenha apenas uma ID. |
Os valores permitidos para um tipo de ID de usuário são:
| Tipo | Descrição | Exemplo |
|---|---|---|
| SID | Uma ID de usuário do Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Uma ID de usuário do Linux. | 4578 |
| AADID | Uma ID de usuário do Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Uma ID de usuário Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | Uma ID de usuário do AWS. | 72643944673 |
| PUID | Uma ID de usuário do Microsoft 365. | 10032001582F435C |
| SalesforceId | Uma ID de usuário do Salesforce. | 00530000009M943 |
O nome de usuário
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Nome de usuário | Opcional | String | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo Username no campo UsernameType. |
| UsernameType | Opcional | UsernameType | Especifica o tipo de nome de usuário armazenado no campo Nome de usuário. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Opcional | String | Campos usados para armazenar os nomes de usuário adicionais, se o evento original incluir vários nomes de usuário. Selecione o nome de usuário mais associado ao evento como o nome de usuário principal armazenado em Nome de usuário. |
Os valores permitidos para um tipo de nome de usuário são:
| Tipo | Descrição | Exemplo |
|---|---|---|
| UPN | Um designador de nome de usuário de endereço de email ou UPN. | johndow@contoso.com |
| Windows | Um nome de usuário Windows incluindo um domínio. | Contoso\johndow |
| DN | Um designador de nome diferenciado LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Simples | Um nome de usuário simples sem um designador de domínio. | johndow |
| AWSId | Uma ID de usuário do AWS. | 72643944673 |
Campos de usuário adicionais
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| UserType | Opcional | UserType | O tipo de usuário de origem. Os valores compatíveis incluem: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo OriginalUserType. |
| OriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
A entidade de dispositivo
Dispositivos, ou hosts, são os termos comuns usados para os sistemas que participam do evento. O prefixo Dvc é usado para designar o dispositivo primário no qual o evento ocorre. Alguns eventos, como sessões de rede, têm dispositivos de origem e de destino, designados pelo prefixo Src e Dst. Nesse caso, o prefixo Dvc é usado para o dispositivo relatar o evento, que pode ser a origem, o destino ou um dispositivo de monitoramento.
Os aliases do dispositivo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dvc, Src, Dst | Obrigatório | String | Os campos Dvc, "Src" ou "Dst" são usados como um identificador exclusivo do dispositivo. Ele é definido para o melhor disponível identificado para o dispositivo. Esses campos podem alias aos campos FQDN, DvcId, Hostname ou IpAddr. Em origens de nuvem, em que não há nenhum dispositivo aparente, use o mesmo valor que o campo EventProduct. |
O nome do dispositivo
Os nomes de dispositivos relatados podem incluir apenas um nome de host ou um FQDN (nome de domínio totalmente qualificado), que inclui um nome de host e um nome de domínio. O FQDN pode ser expresso usando vários formatos. Os campos a seguir permitem dar suporte a diferentes variantes, nas quais o nome do dispositivo poderá ser fornecido.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Hostname | Recomendadas | Nome do host | O nome do host curto do dispositivo. |
| Domain | Recomendadas | String | O domínio do dispositivo no qual o evento ocorreu, sem o nome do host. |
| DomainType | Recomendadas | Enumerated | O tipo do Domínio. Os valores compatíveis incluem FQDN e Windows. Este campo será obrigatório se o campo Domínio for usado. |
| FQDN | Opcional | String | O FQDN do dispositivo, incluindo o Nome do host e o Domínio. Este campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo DomainType reflete o formato usado. |
Por exemplo:
| Campo | Valor para entrada appserver.contoso.com |
valor para entrada appserver |
|---|---|---|
| Nome do host | appserver |
appserver |
| Domínio | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
Quando o valor fornecido pela origem for um FQDN ou quando o valor pode ser FQDN ou um nome do host curto, o analisador deverá calcular os 4 valores. Use as funções auxiliares _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN e _ASIM_ResolveDvcFQDN do ASIM e defina facilmente os quatro campos com base em um só valor de entrada. Para saber mais, confira Funções auxiliares do ASIM.
A ID do dispositivo e o escopo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| DvcId | Opcional | String | A ID exclusiva do dispositivo. Por exemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do Escopo para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| Escopo | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do Escopo para uma assinatura no Azure e para uma conta na AWS. |
| DvcIdType | Opcional | Enumerated | O tipo de DvcId. Normalmente, esse campo também identificará o tipo de Escopo e da ScopeId. Este campo será obrigatório se o campo DvcId for usado. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcional | String | Campos usados para armazenar identificações do dispositivo adicionais, se o evento original incluir várias identificações do dispositivo. Selecione a identificação do dispositivo mais associada ao evento como a ID principal armazenada em DvcId. |
Observe que os campos nomeados deverão preceder um prefixo de função como Src ou Dst, mas não deverão preceder um segundo prefixo Dvc se usado nessa função.
Os valores permitidos para um tipo de identificação do dispositivo são:
| Tipo | Descrição |
|---|---|
| MDEid | A ID do sistema atribuída pelo Microsoft Defender para Ponto de Extremidade. |
| AzureResourceId | A ID do recurso do Azure. |
| MD4IoTid | A ID do recurso do Microsoft Defender para Internet das Coisas. |
| VMConnectionId | A ID do recurso da solução Insights de VM do Azure Monitor. |
| AwsVpcId | Uma ID de VPC do AWS. |
| VectraId | Uma ID de recurso atribuído à IA do Vectra. |
| Outras | Um tipo de ID não listada acima. |
Por exemplo, a Solução de Insights de VM do Azure Monitor fornece as informações sobre sessões de rede no VMConnection. A tabela fornece uma ID de recurso do Azure no campo _ResourceId e uma ID de dispositivo específica de Insights de VM no campo Machine. Use o seguinte mapeamento para representar essas IDs:
| Campo | Mapear para |
|---|---|
| DvcId | O campo Machine na tabela VMConnection. |
| DvcIdType | A valor VMConnectionId |
| DvcAzureResourceId | O campo _ResourceId na tabela VMConnection. |
Campos de dispositivo adicionais
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| IpAddr | Recomendadas | Endereço IP | O endereço IP do dispositivo. Exemplo: 45.21.42.12 |
| DvcDescription | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| MacAddr | Opcional | MAC | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: 00:1B:44:11:3A:B7 |
| Zona | Opcional | Cadeia de caracteres | A rede na qual o evento ocorreu ou que relatou o evento, dependendo do esquema. A zona é definida pelo dispositivo de relatório. Exemplo: Dmz |
| DvcOs | Opcional | String | O sistema operacional em execução no dispositivo em que o evento ocorreu ou que relatou o evento. Exemplo: Windows |
| DvcOsVersion | Opcional | String | A versão do sistema operacional do dispositivo em que o evento ocorreu ou que relatou o evento. Exemplo: 10 |
| DvcAction | Opcional | Cadeia de caracteres | Para relatar sistemas de segurança, a ação tomada pelo sistema, se aplicável. Exemplo: Blocked |
| DvcOriginalAction | Opcional | Cadeia de caracteres | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
| Interface | Opcional | String | A interface de rede em que os dados foram capturados. Normalmente, esse campo é relevante para a atividade relacionada à rede que é capturada por um dispositivo intermediário ou de toque. |
Observe que os campos nomeados na lista com o prefixo Dvc deverão preceder um prefixo de função como Src ou Dst, mas não deverão preceder um segundo prefixo Dvc se usado nessa função.
Mapeamento de entidade de exemplo
Esta seção usa o evento 4624 do Windows como exemplo para descrever como os dados do evento são normalizados no Microsoft Sentinel.
Esse evento tem as seguintes entidades:
| Terminologia da Microsoft | Prefixo do campo de evento original | Prefixo de campo do ASIM | Descrição |
|---|---|---|---|
| Assunto | Subject |
Actor |
O usuário que relatou informações sobre uma conexão bem-sucedida. |
| Novo logon | Target |
TargetUser |
O usuário para o qual a conexão foi executada. |
| Processo | - | ActingProcess |
O processo que tentou se conectar. |
| Informações da rede | - | Src |
O computador do qual uma tentativa de conexão foi executada. |
Com base nessas entidades, o evento 4624 do Windows é normalizado da seguinte forma (alguns campos são opcionais):
| Campo normalizado | Campo original | Valor no exemplo | Observações |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Criado concatenando os dois campos |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Criado concatenando os dois campos |
| Nome de usuário | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computador | WIN-GG82ULGC9GO | |
| Nome do host | Computador | Alias |
Próximas etapas
Este artigo fornece uma visão geral da normalização no Microsoft Sentinel e no ASIM.
Para obter mais informações, consulte:
- Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)