Compartilhar via


Esquema de normalização de rede do Microsoft Sentinel (versão herdada - versão prévia pública)

O esquema de normalização de rede é usado para descrever eventos de rede relatados e também é usado pelo Microsoft Sentinel para habilitar as análises unificadas.

Para obter mais informações, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).

Importante

Este artigo está relacionado à versão 0.1 do esquema de normalização de rede, que foi lançado como uma versão prévia antes da disponibilização do ASIM. A versão 0.2x do esquema de normalização de rede se alinha ao ASIM e oferece outros aprimoramentos.

Para obter mais informações, confira Diferenças entre as versões do esquema de normalização de rede

Terminologia

Esta é a terminologia usada nos esquemas do Microsoft Sentinel:

Termo Definição
Dispositivo de relatório O sistema que envia os registros para o Microsoft Sentinel. Pode não ser o sistema sujeito do registro.
Registro Uma unidade de dados enviada pelo dispositivo de relatório. Geralmente, essa unidade de dados é referida como log, event ou alert, mas também pode ter outros tipos.

Tipos de dados e formatos

A tabela a seguir fornece as diretrizes para normalizar os valores de dados, as quais são necessárias para campos normalizados e recomendadas para outros campos.

Tipo de dados Tipo físico Formato e valor
Data/hora Uma das seguintes opções, dependendo da capacidade do método de ingestão usada, em ordem decrescente de prioridade:
  • Tipo de datetime interno do Log Analytics
  • Um campo de inteiro que usa a representação numérica de datetime do Log Analytics.
  • Um campo de cadeia de caracteres que usa a representação numérica de datetime do Log Analytics.
Representação de datetime do Log Analytics.

A representação de data e hora do Log Analytics é semelhante por natureza, mas diferente da representação de hora do Unix. Veja estas diretrizes de conversão.

A data e a hora devem ser ajustadas para os fusos horários.
Endereço MAC String Notação hexadecimal separada por dois-pontos
Endereço IP Endereço IP O esquema não tem endereços IPv4 e IPv6 separados. Qualquer campo de endereço IP pode incluir um endereço IPv4 ou IPv6:
  • IPv4 em uma notação decimal separada por ponto.
  • IPv6 na notação de 8 hextetos, permitindo os pequenos formulários descritos aqui.
Usuário String Os seguintes três campos de usuário estão disponíveis:
  • Nome de usuário
  • UPN do usuário
  • Domínio do usuário
ID de usuário String As duas IDs de usuário seguintes são compatíveis no momento:
  • SID de usuário
  • ID do Microsoft Entra
Dispositivo String As três colunas de dispositivo/host seguintes são compatíveis:
  • ID
  • Nome
  • FQDN (nome de domínio totalmente qualificado)
País String Uma cadeia de caracteres que usa ISO 3166-1, de acordo com as seguintes prioridades:
  • Códigos Alfa-2, como US para os Estados Unidos
  • Códigos Alfa-3, como USA para os Estados Unidos
  • Nome curto
Região String O nome da subdivisão do país/região usando ISO 3166-2
Cidade String
Longitude Double Representação de coordenada de acordo com a ISO 6709 (decimal com sinal).
Latitude Double Representação de coordenada de acordo com a ISO 6709 (decimal com sinal).
Algoritmo de hash String As quatro colunas de hash seguintes são compatíveis:
  • MD5
  • SHA1
  • SHA256
  • SHA512
Tipo de arquivo String O tipo do tipo de arquivo:
  • Extensão
  • Classe
  • NamedType

Esquema da tabela de sessões de rede

Veja abaixo o esquema da tabela de sessões de rede, versão 1.0.0.

Nome do campo Tipo de valor Exemplo Descrição Entidades OSSEM associadas
EventType String Tráfego Tipo de evento coletado. Evento
EventSubType String Autenticação Descrição adicional do tipo, se aplicável Evento
EventCount Integer 10 O número de eventos agregados, se aplicável. Evento
EventEndTime Data/Hora Confira os "tipos de dados". A hora em que o evento terminou. Evento
EventMessage string acesso negado Uma mensagem ou descrição geral, incluída ou gerada com base no registro. Evento
DvcIpAddr Endereço IP 23.21.23.34 O endereço IP do dispositivo que gera o registro. Dispositivo,
IP
DvcMacAddr String 06:10:9f:eb:8f:14 O endereço MAC do adaptador de rede do dispositivo de relatório em que o evento foi enviado. Dispositivo,
Mac
DvcHostname Nome do dispositivo (cadeia de caracteres) syslogserver1.contoso.com O nome do dispositivo que gera a mensagem. Dispositivo
EventProduct String OfficeSharepoint O produto que gera o evento. Evento
EventProductVersion string 9.0 A versão do produto que gera o evento. Evento
EventResourceId ID do dispositivo (cadeia de caracteres) /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 A ID do recurso do dispositivo que gera a mensagem. Evento
EventReportUrl String https://192.168.1.1/repoerts/ae3-56.htm Um link para o relatório completo criado pelo dispositivo de relatório. Evento
EventVendor String Microsoft O fornecedor do produto que gera o evento. Evento
EventResult Vários valores: Sucesso, Parcial, Falha, [Vazio] (cadeia de caracteres). Êxito O resultado relatado para a atividade. É um valor vazio quando não aplicável. Evento
EventResultDetails String Senha incorreta. Motivo ou detalhes do resultado relatado em EventResult. Evento
EventSchemaVersion Real 0,1 Versão do esquema do Microsoft Sentinel. Atualmente, 0.1. Evento
EventSeverity String Baixo Indica a gravidade quando a atividade relatada tem um impacto de segurança. Evento
EventOriginalUid String af6ae8fe-ff43-4a4c-b537-8635976a2b51 A ID do registro do dispositivo de relatório. Evento
EventStartTime Data/Hora Confira os "tipos de dados". A hora em que o evento foi declarado. Evento
TimeGenerated Data/Hora Confira os "tipos de dados". A hora em que o evento ocorreu, conforme relatado pela fonte de relatório. Campo personalizado
EventTimeIngested Data/Hora Confira os "tipos de dados". A hora em que o evento foi ingerido no Microsoft Sentinel. Será adicionado pelo Microsoft Sentinel. Evento
EventUid Guid (cadeia de caracteres) 516a64e3-8360-4f1e-a67c-d96b3d52df54 Identificador exclusivo usado pelo Microsoft Sentinel para marcar uma linha. Evento
NetworkApplicationProtocol String HTTPS O protocolo de camada de aplicativo usado pela conexão ou sessão. Rede
DstBytes INT 32455 O número de bytes enviados do destino para a origem da conexão ou sessão. Destino
SrcBytes INT 46536 O número de bytes enviados da origem para o destino da conexão ou sessão. Fonte
NetworkBytes INT 78991 Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal será igual à soma dos dois. Rede
NetworkDirection Vários valores: entrada, saída (cadeia de caracteres). Entrada A direção da conexão ou sessão, dentro ou fora da organização. Rede
DstGeoCity String Burlington A cidade associada ao endereço IP de destino. Destino,
Localização geográfica
DstGeoCountry País (cadeia de caracteres) EUA O país/região associado ao endereço IP de origem Destino,
Localização geográfica
DstDvcHostname Nome do dispositivo (cadeia de caracteres) victim_pc O nome do dispositivo de destino. Destino
Dispositivo
DstDvcFqdn String victim_pc.contoso.local O nome de domínio totalmente qualificado do host em que o registro foi criado. Destino,
Dispositivo
DstDomainHostname string CONTOSO O domínio do destino, o domínio do host de destino (site, nome de domínio etc.), por exemplo, para pesquisas de DNS ou pesquisas de NS. Destino
DstInterfaceName string Adaptador de Rede Hyper-V da Microsoft O adaptador de rede usado pelo dispositivo de destino para a conexão ou sessão. Destino
DstInterfaceGuid string 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B GUID do adaptador de rede usado para a solicitação de autenticação Destino
DstIpAddr Endereço IP 2001:db8::ff00:42:8329 O endereço IP do destino da conexão ou sessão, mais conhecido como IP de destino no pacote de rede. Destino,
IP
DstDvcIpAddr Endereço IP 75.22.12.2 O endereço IP de destino de um dispositivo que não está diretamente associado ao pacote de rede. Destino,
Dispositivo,
IP
DstGeoLatitude Latitude (duplo) 44,475833 A latitude da coordenada geográfica associada ao endereço IP de destino. Destino,
Localização geográfica
DstMacAddr String 06:10:9f:eb:8f:14 O endereço MAC do adaptador de rede em que a conexão ou sessão foi encerrada, mais conhecido como MAC de destino no pacote de rede. Destino,
MAC
DstDvcMacAddr String 06:10:9f:eb:8f:14 O endereço MAC de destino de um dispositivo que não está diretamente associado ao pacote de rede. Destino,
Dispositivo,
MAC
DstDvcDomain String CONTOSO O domínio do dispositivo de destino. Destino,
Dispositivo
DstPortNumber Integer 443 A porta do IP de destino. Destino,
Porta
DstGeoRegion Região (cadeia de caracteres) Vermont A região associada ao endereço IP de destino Destino,
Localização geográfica
DstResourceId ID do dispositivo (cadeia de caracteres) /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim A ID do recurso do dispositivo de destino. Destino
DstNatIpAddr Endereço IP 2::1 Se for relatado por um dispositivo NAT intermediário, como um firewall, será o endereço IP usado pelo dispositivo NAT para comunicação com a origem. NAT de Destino,
IP
DstNatPortNumber INT 443 Se for relatado por um dispositivo NAT intermediário, como um firewall, será a porta usada pelo dispositivo NAT para comunicação com a origem. NAT de Destino,
Porta
DstUserSid SID de usuário S-12-1445 A ID de usuário da identidade associada ao destino da sessão. Normalmente, a identidade usada para autenticar um servidor. Para obter mais informações, confira Tipos e formatos de dados. Destino,
Usuário
DstUserAadId Cadeia de caracteres (GUID) ae92b0b4-cfba-4b42-85a0-fbd862f4df54 A ID de objeto da conta do Microsoft Entra do usuário na extremidade de destino da sessão Destino,
Usuário
DstUserName Nome de usuário (cadeia de caracteres) johnd O nome de usuário da identidade associada ao destino da sessão. Destino,
Usuário
DstUserUpn string johnd@anon.com O UPN da identidade associada ao destino da sessão. Destino,
Usuário
DstUserDomain string GRUPO DE TRABALHO O domínio ou nome do computador da conta no destino da sessão. Destino,
Usuário
DstZone String Dmz A zona de rede do destino, conforme definido pelo dispositivo de relatório. Destino
DstGeoLongitude Longitude (duplo) -73,211944 A longitude da coordenada geográfica associada ao endereço IP de destino. Destino,
Localização geográfica
DvcAction Vários valores: Permitir, Negar, Descartar (cadeia de caracteres) Allow Se for relatado por um dispositivo intermediário, como um firewall, será a ação realizada pelo dispositivo. Dispositivo
DvcInboundInterface String eth0 Se for relatado por um dispositivo intermediário, como um firewall, será o adaptador de rede usado por ele para a conexão com o dispositivo de origem. Dispositivo
DvcOutboundInterface String Adaptador Ethernet 4 Se for relatado por um dispositivo intermediário, como um firewall, será o adaptador de rede usado por ele para a conexão com o dispositivo de destino. Dispositivo
NetworkDuration Integer 1500 A quantidade de tempo, em milissegundos, para a conclusão da conexão ou sessão de rede. Rede
NetworkIcmpCode Integer 34 Para uma mensagem ICMP, o valor numérico de tipo de mensagem ICMP (RFC 2780 ou RFC 4443). Rede
NetworkIcmpType String Destino Inacessível Para uma mensagem ICMP, uma representação de texto do tipo de mensagem ICMP (RFC 2780 ou RFC 4443). Rede
DstPackets INT 446 O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Destino
SrcPackets INT 6478 O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Fonte
NetworkPackets INT 0 Número de pacotes enviados em ambas as direções. Se PacketsReceived e PacketsSent existirem, BytesTotal será igual à soma dos dois. Rede
HttpRequestTime Integer 700 A quantidade de tempo necessário para enviar a solicitação ao servidor, se aplicável. Http
HttpResponseTime Integer 800 A quantidade de tempo necessário para receber uma resposta no servidor, se aplicável. Http
NetworkRuleName String AnyAnyDrop O nome ou a ID da regra pela qual o DeviceAction foi decidido. Rede
NetworkRuleNumber INT 23 Número da regra de correspondência. Rede
NetworkSessionId string 172_12_53_32_4322__123_64_207_1_80 O identificador de sessão, conforme relatado pelo dispositivo de relatório. Por exemplo, o identificador de sessão L7 para aplicativos específicos após a autenticação. Rede
SrcGeoCity String Burlington A cidade associada ao endereço IP de origem. Origem,
Localização geográfica
SrcGeoCountry País (cadeia de caracteres) EUA O país/região associado ao endereço IP de origem Origem,
Localização geográfica
SrcDvcHostname Nome do dispositivo (cadeia de caracteres) villain O nome do dispositivo de origem. Origem,
Dispositivo
SrcDvcFqdn string Villain.malicious.com O nome de domínio totalmente qualificado do host em que o registro foi criado. Origem,
Dispositivo
SrcDvcDomain string EVILORG Domínio do dispositivo em que a sessão foi iniciada. Origem,
Dispositivo
SrcDvcOs String iOS O sistema operacional do dispositivo de origem. Origem,
Dispositivo
SrcDvcModelName String Samsung Galaxy Note O nome do modelo do dispositivo de origem. Origem,
Dispositivo
SrcDvcModelNumber String 10.0 O número do modelo do dispositivo de origem. Origem,
Dispositivo
SrcDvcType String Dispositivos móveis O tipo do dispositivo de origem. Origem,
Dispositivo
SrcInterfaceName String eth01 O adaptador de rede usado pelo dispositivo de origem para a conexão ou sessão. Fonte
SrcInterfaceGuid String 46ad544b-eaf0-47ef-827c-266030f545a6 GUID do adaptador de rede usado. Fonte
SrcIpAddr Endereço IP 77.138.103.108 O endereço IP em que a conexão ou sessão foi originada. Origem,
IP
SrcDvcIpAddr Endereço IP 77.138.103.108 O endereço IP de origem de um dispositivo não diretamente associado ao pacote de rede (coletado por um provedor ou explicitamente calculado). Origem,
Dispositivo,
IP
SrcGeoLatitude Latitude (duplo) 44,475833 A latitude da coordenada geográfica associada ao endereço IP de origem. Origem,
Localização geográfica
SrcGeoLongitude Longitude (duplo) -73,211944 A longitude da coordenada geográfica associada ao endereço IP de origem. Origem,
Localização geográfica
SrcMacAddr String 06:10:9f:eb:8f:14 O endereço MAC do adaptador de rede em que a sessão OD de conexão foi originada. Origem,
Mac
SrcDvcMacAddr String 06:10:9f:eb:8f:14 O endereço MAC de origem de um dispositivo que não está diretamente associado ao pacote de rede. Origem,
Dispositivo,
Mac
SrcPortNumber Integer 2335 A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. Origem,
Porta
SrcGeoRegion Região (cadeia de caracteres) Vermont A região dentro de um país/região associada ao endereço IP de origem Origem,
Localização geográfica
SrcResourceId String /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 A ID do recurso do dispositivo que gera a mensagem. Fonte
SrcNatIpAddr Endereço IP 4.3.2.1 Se for relatado por um dispositivo NAT intermediário, como um firewall, será o endereço IP usado pelo dispositivo NAT para comunicação com o destino. NAT de Origem,
IP
SrcNatPortNumber Integer 345 Se for relatado por um dispositivo NAT intermediário, como um firewall, será a porta usada pelo dispositivo NAT para comunicação com o destino. NAT de Origem,
Porta
SrcUserSid ID de usuário (cadeia de caracteres) S-15-1445 A ID de usuário da identidade associada à origem da sessão. Normalmente, o usuário realiza uma ação no cliente. Para obter mais informações, confira Tipos e formatos de dados. Origem,
Usuário
SrcUserAadId Cadeia de caracteres (GUID) 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 A ID de objeto da conta do Microsoft Entra do usuário na extremidade de origem da sessão Origem,
Usuário
SrcUserName Nome de usuário (cadeia de caracteres) bob O nome de usuário da identidade associada à origem da sessão. Normalmente, o usuário realiza uma ação no cliente. Para obter mais informações, confira Tipos e formatos de dados. Fonte
Usuário
SrcUserUpn string bob@alice.com O UPN da conta que inicia a sessão. Origem,
Usuário
SrcUserDomain string DESKTOP O domínio para a conta que inicia a sessão. Origem,
Usuário
SrcZone String Toque A zona de rede da origem, conforme definido pelo dispositivo de relatório. Fonte
NetworkProtocol String TCP O protocolo IP usado pela conexão ou sessão. Normalmente, TCP, UDP ou ICMP Rede
CloudAppName String Facebook O nome do aplicativo de destino de um aplicativo HTTP, conforme identificado por um proxy. Nuvem
CloudAppId String 124 A ID do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Geralmente, esse valor é específico para o proxy usado. Nuvem
CloudAppOperation String DeleteFile A operação que o usuário realizou no contexto do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Geralmente, esse valor é específico para o proxy usado. Nuvem
CloudAppRiskLevel String 3 O nível de risco associado a um aplicativo HTTP, conforme identificado por um proxy. Geralmente, esse valor é específico para o proxy usado. Nuvem
FileName Cadeia de caracteres ImNotMalicious.exe O nome de arquivo transmitido pelas conexões de rede para protocolos como FTP e HTTP que fornecem as informações de nome de arquivo. Arquivo
FilePath String C:\Malicious\ImNotMalicious.exe O caminho completo, incluindo o nome do arquivo. Arquivo
FileHashMd5 String 51BC68715FC7C109DCEA406B42D9D78F O valor do hash MD5 do arquivo transmitido pelas conexões de rede dos protocolos. Arquivo
FileHashSha1 String 491AE3…C299821476F4 O valor do hash SHA1 do arquivo transmitido pelas conexões de rede dos protocolos. Arquivo
FileHashSha256 String 9B8F8EDB…C129976F03 O valor do hash SHA256 do arquivo transmitido pelas conexões de rede dos protocolos. Arquivo
FileHashSha512 String 5E127D…F69F73F01F361 O valor do hash SHA512 do arquivo transmitido pelas conexões de rede dos protocolos. Arquivo
FileExtension String exe O tipo de arquivo transmitido pelas conexões de rede de protocolos como FTP e HTTP. Arquivo
FileMimeType String application/msword O tipo MIME do arquivo transmitido pelas conexões de rede de protocolos como FTP e HTTP Arquivo
FileSize Integer 23500 O tamanho em bytes do arquivo transmitido pelas conexões de rede dos protocolos. Arquivo
HttpVersion String 2,0 A versão da solicitação HTTP para conexões de rede HTTP/HTTPS. Http
HttpRequestMethod String GET O método HTTP para sessões de rede HTTP/HTTPS. Http
HttpStatusCode String 404 O código de status HTTP para sessões de rede HTTP/HTTPS. Http
HttpContentType String multipart/form-data; boundary=something O cabeçalho de tipo de conteúdo de resposta HTTP para sessões de rede HTTP/HTTPS. Http
HttpReferrerOriginal String https://developer.mozilla.org/en-US/docs/Web/JavaScript O cabeçalho referenciador HTTP para sessões de rede HTTP/HTTPS. Http
HttpUserAgentOriginal String Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36 O cabeçalho do agente do usuário HTTP para sessões de rede HTTP/HTTPS. Http
HttpRequestXff String 120.12.41.1 O cabeçalho HTTP X-Forwarded-For para sessões de rede HTTP/HTTPS. Http
UrlCategory String Mecanismos de pesquisa O agrupamento definido de uma URL, possivelmente com base no domínio da URL, relacionado ao conteúdo. Por exemplo: adulto, notícias, anúncios, domínios parados e assim por diante.) url
UrlOriginal String https:// contoso.com/fo/?k=v&q=u#f A URL de solicitação HTTP para sessões de rede HTTP/HTTPS. Url
UrlHostname String contoso.com A parte do domínio de uma URL de solicitação HTTP para sessões de rede HTTP/HTTPS. Url
ThreatCategory String Trojan A categoria de uma ameaça identificada por um sistema de segurança, como o Gateway de Segurança da Web de um IPS, e está associada a essa sessão de rede. Ameaça
ThreatId String Tr.124 A ID de uma ameaça identificada por um sistema de segurança, como o Gateway de Segurança da Web de um IPS, e está associada a essa sessão de rede. Ameaça
ThreatName String Arquivo de teste EICAR O nome da ameaça ou do malware identificado. Ameaça
AdditionalFields Dinâmico (recipiente JSON) {
Property1: “val1”,
Property2: “val2”
}
Quando não há correspondência entre as colunas no esquema, é possível armazenar outros campos em um recipiente JSON.
Para análise do tempo de consulta, é recomendável promover colunas adicionais, em vez de usar um pacote JSON, pois o empacotamento de dados no código JSON prejudicará o desempenho da consulta.
Campo personalizado

Diferenças entre a versão 0.1 e a versão 0.2

A versão original do esquema de normalização de sessão de rede do Microsoft Sentinel, versão 0.1, foi lançada como uma versão prévia antes que o ASIM estivesse disponível.

As diferenças entre a versão 0.1, documentada neste artigo, e a versão 0.2x incluem:

  • Na versão 0.2, os nomes de analisadores unificados e específicos da origem foram alterados para estar em conformidade com uma Convenção de nomenclatura padrão do ASIM.
  • A versão 0.2 adiciona diretrizes específicas e analisadores unificados para acomodar tipos de dispositivo específicos.

As seções a seguir descrevem como a versão 0.2x é diferente para campos específicos.

Campos adicionados na versão 0.2

Os campos a seguir foram adicionados na versão 0.2x e não existem na versão 0.1:

  • DstAppType
  • DstDeviceType
  • DstDomainType
  • DstDvcId
  • DstDvcIdType
  • DstOriginalUserType
  • DstUserIdType
  • DstUsernameType
  • DstUserType
  • DvcActionOriginal
  • DvcDomain
  • DvcDomainType
  • DvcFQDN
  • DvcId
  • DvcIdType
  • DvcIdType
  • EventOriginalSeverity
  • EventOriginalType
  • SrcAppId
  • SrcAppName
  • SrcAppType
  • SrcDeviceType
  • SrcDomainType
  • SrcDvcId
  • SrcDvcIdType
  • SrcOriginalUserType
  • SrcUserIdType
  • SrcUsernameType
  • SrcUserType
  • ThreatRiskLevelOriginal
  • Url

Campos que receberam alias recentemente na versão 0.2

Os campos a seguir agora têm alias na versão 0.2x com a introdução do ASIM:

Campo na versão 0.1 Alias na versão 0.2
SessionId NetworkSessionId
Duração NetworkDuration
IpAddr SrcIpAddr
Usuário DstUsername
Nome do host DstHostname
UserAgent HttpUserAgent

Campos modificados na versão 0.2

Os campos a seguir são enumerados na versão 0.2x e exigem um valor específico de uma lista fornecida.

  • EventType
  • EventResultDetails
  • EventSeverity

Campos renomeados na versão 0.2

Os campos a seguir foram renomeados na versão 0.2x:

  • Na versão 0.2, use os campos integrados do Log Analytics:

    Observe que ingestion_time() é uma função KQL e não um nome de campo.

    Campo na versão 0.1 Renomeado na versão 0.2
    EventResourceId _ResourceId
    EventUid _ItemId
    EventTimeIngested ingestion_time()
  • Renomeado para se alinhar às melhorias no ASIM e no OSSEM:

    Campo na versão 0.1 Renomeado na versão 0.2
    HttpReferrerOriginal HttpReferrer
    HttpUserAgentOriginal HttpUserAgent
  • Renomeado para refletir que o destino da sessão de rede não precisa ser um serviço de nuvem:

    Campo na versão 0.1 Renomeado na versão 0.2
    CloudAppId DstAppId
    CloudAppName DstAppName
    CloudAppRiskLevel ThreatRiskLevel
  • Renomeado para alterar o caso e se alinhar ao tratamento pelo ASIM da entidade do usuário:

    Campo na versão 0.1 Renomeado na versão 0.2
    DstUserName DstUsername
    SrcUserName SrcUserName
  • Renomeado para se melhor alinhar à entidade do dispositivo ASIM e permitir IDs do recurso que não o seguinte do Azure:

    Campo na versão 0.1 Renomeado na versão 0.2
    DstResourceId SrcDvcAzureResourceId
    SrcResourceId SrcDvcAzureResourceId
  • Renomeado para remover a cadeia de caracteres Dvc dos nomes de campo, pois o tratamento na versão 0.1 era inconsistente:

    Campo na versão 0.1 Renomeado na versão 0.2
    DstDvcDomain DstDomain
    DstDvcFqdn DstFqdn
    DstDvcHostname DstHostname
    SrcDvcDomain SrcDomain
    SrcDvcFqdn SrcFqdn
    SrcDvcHostname SrcHostname
  • Renomeado para se alinhar às diretrizes de representação do arquivo ASIM:

    Campo na versão 0.1 Renomeado na versão 0.2
    FileHashMd5 FileMD5
    FileHashSha1 FileSHA1
    FileHashSha256 FileSHA256
    FileHashSha512 FileSHA512
    FileMimeType FileContentType

Campos removidos na versão 0.2

Os campos a seguir existem somente na versão 0.1 e foram removidos na versão 0.2x:

Motivo Campos removidos
Removido porque existem duplicatas, sem a cadeia de caracteres Dvc no nome do campo - DstDvcIpAddr
- DstDvcMacAddr
- SrcDvcIpAddr
- SrcDvcMacAddr
Removido para se alinhar ao tratamento pelo ASIM de URLs - UrlHostname
Removido porque esses campos não são normalmente fornecidos como parte dos eventos de sessão de rede.

Se um evento incluir esses campos, use o Esquema de eventos de processo para entender como descrever as propriedades do dispositivo.
- SrcDvcOs
- SrcDvcModelName
- SrcDvcModelNumber
- DvcMacAddr
- DvcOs
Removido para se alinhar às diretrizes de representação do arquivo ASIM - FilePath
- FileExtension
Removido, pois esse campo indica que um esquema diferente deve ser usado, como o Esquema de autenticação. - CloudAppOperation
Removido conforme é duplicado DstHostname - DstDomainHostname

Próximas etapas

Para obter mais informações, consulte: