Esquema de normalização de rede do Microsoft Sentinel (versão herdada - versão prévia pública)
O esquema de normalização de rede é usado para descrever eventos de rede relatados e também é usado pelo Microsoft Sentinel para habilitar as análises unificadas.
Para obter mais informações, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Importante
Este artigo está relacionado à versão 0.1 do esquema de normalização de rede, que foi lançado como uma versão prévia antes da disponibilização do ASIM. A versão 0.2x do esquema de normalização de rede se alinha ao ASIM e oferece outros aprimoramentos.
Para obter mais informações, confira Diferenças entre as versões do esquema de normalização de rede
Terminologia
Esta é a terminologia usada nos esquemas do Microsoft Sentinel:
Termo | Definição |
---|---|
Dispositivo de relatório | O sistema que envia os registros para o Microsoft Sentinel. Pode não ser o sistema sujeito do registro. |
Registro | Uma unidade de dados enviada pelo dispositivo de relatório. Geralmente, essa unidade de dados é referida como log , event ou alert , mas também pode ter outros tipos. |
Tipos de dados e formatos
A tabela a seguir fornece as diretrizes para normalizar os valores de dados, as quais são necessárias para campos normalizados e recomendadas para outros campos.
Tipo de dados | Tipo físico | Formato e valor |
---|---|---|
Data/hora | Uma das seguintes opções, dependendo da capacidade do método de ingestão usada, em ordem decrescente de prioridade:
|
Representação de datetime do Log Analytics. A representação de data e hora do Log Analytics é semelhante por natureza, mas diferente da representação de hora do Unix. Veja estas diretrizes de conversão. A data e a hora devem ser ajustadas para os fusos horários. |
Endereço MAC | String | Notação hexadecimal separada por dois-pontos |
Endereço IP | Endereço IP | O esquema não tem endereços IPv4 e IPv6 separados. Qualquer campo de endereço IP pode incluir um endereço IPv4 ou IPv6:
|
Usuário | String | Os seguintes três campos de usuário estão disponíveis:
|
ID de usuário | String | As duas IDs de usuário seguintes são compatíveis no momento:
|
Dispositivo | String | As três colunas de dispositivo/host seguintes são compatíveis:
|
País | String | Uma cadeia de caracteres que usa ISO 3166-1, de acordo com as seguintes prioridades:
|
Região | String | O nome da subdivisão do país/região usando ISO 3166-2 |
Cidade | String | |
Longitude | Double | Representação de coordenada de acordo com a ISO 6709 (decimal com sinal). |
Latitude | Double | Representação de coordenada de acordo com a ISO 6709 (decimal com sinal). |
Algoritmo de hash | String | As quatro colunas de hash seguintes são compatíveis:
|
Tipo de arquivo | String | O tipo do tipo de arquivo:
|
Esquema da tabela de sessões de rede
Veja abaixo o esquema da tabela de sessões de rede, versão 1.0.0.
Nome do campo | Tipo de valor | Exemplo | Descrição | Entidades OSSEM associadas |
---|---|---|---|---|
EventType | String | Tráfego | Tipo de evento coletado. | Evento |
EventSubType | String | Autenticação | Descrição adicional do tipo, se aplicável | Evento |
EventCount | Integer | 10 | O número de eventos agregados, se aplicável. | Evento |
EventEndTime | Data/Hora | Confira os "tipos de dados". | A hora em que o evento terminou. | Evento |
EventMessage | string | acesso negado | Uma mensagem ou descrição geral, incluída ou gerada com base no registro. | Evento |
DvcIpAddr | Endereço IP | 23.21.23.34 | O endereço IP do dispositivo que gera o registro. | Dispositivo, IP |
DvcMacAddr | String | 06:10:9f:eb:8f:14 | O endereço MAC do adaptador de rede do dispositivo de relatório em que o evento foi enviado. | Dispositivo, Mac |
DvcHostname | Nome do dispositivo (cadeia de caracteres) | syslogserver1.contoso.com | O nome do dispositivo que gera a mensagem. | Dispositivo |
EventProduct | String | OfficeSharepoint | O produto que gera o evento. | Evento |
EventProductVersion | string | 9.0 | A versão do produto que gera o evento. | Evento |
EventResourceId | ID do dispositivo (cadeia de caracteres) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | A ID do recurso do dispositivo que gera a mensagem. | Evento |
EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | Um link para o relatório completo criado pelo dispositivo de relatório. | Evento |
EventVendor | String | Microsoft | O fornecedor do produto que gera o evento. | Evento |
EventResult | Vários valores: Sucesso, Parcial, Falha, [Vazio] (cadeia de caracteres). | Êxito | O resultado relatado para a atividade. É um valor vazio quando não aplicável. | Evento |
EventResultDetails | String | Senha incorreta. | Motivo ou detalhes do resultado relatado em EventResult. | Evento |
EventSchemaVersion | Real | 0,1 | Versão do esquema do Microsoft Sentinel. Atualmente, 0.1. | Evento |
EventSeverity | String | Baixo | Indica a gravidade quando a atividade relatada tem um impacto de segurança. | Evento |
EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | A ID do registro do dispositivo de relatório. | Evento |
EventStartTime | Data/Hora | Confira os "tipos de dados". | A hora em que o evento foi declarado. | Evento |
TimeGenerated | Data/Hora | Confira os "tipos de dados". | A hora em que o evento ocorreu, conforme relatado pela fonte de relatório. | Campo personalizado |
EventTimeIngested | Data/Hora | Confira os "tipos de dados". | A hora em que o evento foi ingerido no Microsoft Sentinel. Será adicionado pelo Microsoft Sentinel. | Evento |
EventUid | Guid (cadeia de caracteres) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Identificador exclusivo usado pelo Microsoft Sentinel para marcar uma linha. | Evento |
NetworkApplicationProtocol | String | HTTPS | O protocolo de camada de aplicativo usado pela conexão ou sessão. | Rede |
DstBytes | INT | 32455 | O número de bytes enviados do destino para a origem da conexão ou sessão. | Destino |
SrcBytes | INT | 46536 | O número de bytes enviados da origem para o destino da conexão ou sessão. | Fonte |
NetworkBytes | INT | 78991 | Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal será igual à soma dos dois. | Rede |
NetworkDirection | Vários valores: entrada, saída (cadeia de caracteres). | Entrada | A direção da conexão ou sessão, dentro ou fora da organização. | Rede |
DstGeoCity | String | Burlington | A cidade associada ao endereço IP de destino. | Destino, Localização geográfica |
DstGeoCountry | País (cadeia de caracteres) | EUA | O país/região associado ao endereço IP de origem | Destino, Localização geográfica |
DstDvcHostname | Nome do dispositivo (cadeia de caracteres) | victim_pc | O nome do dispositivo de destino. | Destino Dispositivo |
DstDvcFqdn | String | victim_pc.contoso.local | O nome de domínio totalmente qualificado do host em que o registro foi criado. | Destino, Dispositivo |
DstDomainHostname | string | CONTOSO | O domínio do destino, o domínio do host de destino (site, nome de domínio etc.), por exemplo, para pesquisas de DNS ou pesquisas de NS. | Destino |
DstInterfaceName | string | Adaptador de Rede Hyper-V da Microsoft | O adaptador de rede usado pelo dispositivo de destino para a conexão ou sessão. | Destino |
DstInterfaceGuid | string | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | GUID do adaptador de rede usado para a solicitação de autenticação | Destino |
DstIpAddr | Endereço IP | 2001:db8::ff00:42:8329 | O endereço IP do destino da conexão ou sessão, mais conhecido como IP de destino no pacote de rede. | Destino, IP |
DstDvcIpAddr | Endereço IP | 75.22.12.2 | O endereço IP de destino de um dispositivo que não está diretamente associado ao pacote de rede. | Destino, Dispositivo, IP |
DstGeoLatitude | Latitude (duplo) | 44,475833 | A latitude da coordenada geográfica associada ao endereço IP de destino. | Destino, Localização geográfica |
DstMacAddr | String | 06:10:9f:eb:8f:14 | O endereço MAC do adaptador de rede em que a conexão ou sessão foi encerrada, mais conhecido como MAC de destino no pacote de rede. | Destino, MAC |
DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | O endereço MAC de destino de um dispositivo que não está diretamente associado ao pacote de rede. | Destino, Dispositivo, MAC |
DstDvcDomain | String | CONTOSO | O domínio do dispositivo de destino. | Destino, Dispositivo |
DstPortNumber | Integer | 443 | A porta do IP de destino. | Destino, Porta |
DstGeoRegion | Região (cadeia de caracteres) | Vermont | A região associada ao endereço IP de destino | Destino, Localização geográfica |
DstResourceId | ID do dispositivo (cadeia de caracteres) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | A ID do recurso do dispositivo de destino. | Destino |
DstNatIpAddr | Endereço IP | 2::1 | Se for relatado por um dispositivo NAT intermediário, como um firewall, será o endereço IP usado pelo dispositivo NAT para comunicação com a origem. | NAT de Destino, IP |
DstNatPortNumber | INT | 443 | Se for relatado por um dispositivo NAT intermediário, como um firewall, será a porta usada pelo dispositivo NAT para comunicação com a origem. | NAT de Destino, Porta |
DstUserSid | SID de usuário | S-12-1445 | A ID de usuário da identidade associada ao destino da sessão. Normalmente, a identidade usada para autenticar um servidor. Para obter mais informações, confira Tipos e formatos de dados. | Destino, Usuário |
DstUserAadId | Cadeia de caracteres (GUID) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | A ID de objeto da conta do Microsoft Entra do usuário na extremidade de destino da sessão | Destino, Usuário |
DstUserName | Nome de usuário (cadeia de caracteres) | johnd | O nome de usuário da identidade associada ao destino da sessão. | Destino, Usuário |
DstUserUpn | string | johnd@anon.com | O UPN da identidade associada ao destino da sessão. | Destino, Usuário |
DstUserDomain | string | GRUPO DE TRABALHO | O domínio ou nome do computador da conta no destino da sessão. | Destino, Usuário |
DstZone | String | Dmz | A zona de rede do destino, conforme definido pelo dispositivo de relatório. | Destino |
DstGeoLongitude | Longitude (duplo) | -73,211944 | A longitude da coordenada geográfica associada ao endereço IP de destino. | Destino, Localização geográfica |
DvcAction | Vários valores: Permitir, Negar, Descartar (cadeia de caracteres) | Allow | Se for relatado por um dispositivo intermediário, como um firewall, será a ação realizada pelo dispositivo. | Dispositivo |
DvcInboundInterface | String | eth0 | Se for relatado por um dispositivo intermediário, como um firewall, será o adaptador de rede usado por ele para a conexão com o dispositivo de origem. | Dispositivo |
DvcOutboundInterface | String | Adaptador Ethernet 4 | Se for relatado por um dispositivo intermediário, como um firewall, será o adaptador de rede usado por ele para a conexão com o dispositivo de destino. | Dispositivo |
NetworkDuration | Integer | 1500 | A quantidade de tempo, em milissegundos, para a conclusão da conexão ou sessão de rede. | Rede |
NetworkIcmpCode | Integer | 34 | Para uma mensagem ICMP, o valor numérico de tipo de mensagem ICMP (RFC 2780 ou RFC 4443). | Rede |
NetworkIcmpType | String | Destino Inacessível | Para uma mensagem ICMP, uma representação de texto do tipo de mensagem ICMP (RFC 2780 ou RFC 4443). | Rede |
DstPackets | INT | 446 | O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. | Destino |
SrcPackets | INT | 6478 | O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. | Fonte |
NetworkPackets | INT | 0 | Número de pacotes enviados em ambas as direções. Se PacketsReceived e PacketsSent existirem, BytesTotal será igual à soma dos dois. | Rede |
HttpRequestTime | Integer | 700 | A quantidade de tempo necessário para enviar a solicitação ao servidor, se aplicável. | Http |
HttpResponseTime | Integer | 800 | A quantidade de tempo necessário para receber uma resposta no servidor, se aplicável. | Http |
NetworkRuleName | String | AnyAnyDrop | O nome ou a ID da regra pela qual o DeviceAction foi decidido. | Rede |
NetworkRuleNumber | INT | 23 | Número da regra de correspondência. | Rede |
NetworkSessionId | string | 172_12_53_32_4322__123_64_207_1_80 | O identificador de sessão, conforme relatado pelo dispositivo de relatório. Por exemplo, o identificador de sessão L7 para aplicativos específicos após a autenticação. | Rede |
SrcGeoCity | String | Burlington | A cidade associada ao endereço IP de origem. | Origem, Localização geográfica |
SrcGeoCountry | País (cadeia de caracteres) | EUA | O país/região associado ao endereço IP de origem | Origem, Localização geográfica |
SrcDvcHostname | Nome do dispositivo (cadeia de caracteres) | villain | O nome do dispositivo de origem. | Origem, Dispositivo |
SrcDvcFqdn | string | Villain.malicious.com | O nome de domínio totalmente qualificado do host em que o registro foi criado. | Origem, Dispositivo |
SrcDvcDomain | string | EVILORG | Domínio do dispositivo em que a sessão foi iniciada. | Origem, Dispositivo |
SrcDvcOs | String | iOS | O sistema operacional do dispositivo de origem. | Origem, Dispositivo |
SrcDvcModelName | String | Samsung Galaxy Note | O nome do modelo do dispositivo de origem. | Origem, Dispositivo |
SrcDvcModelNumber | String | 10.0 | O número do modelo do dispositivo de origem. | Origem, Dispositivo |
SrcDvcType | String | Dispositivos móveis | O tipo do dispositivo de origem. | Origem, Dispositivo |
SrcInterfaceName | String | eth01 | O adaptador de rede usado pelo dispositivo de origem para a conexão ou sessão. | Fonte |
SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | GUID do adaptador de rede usado. | Fonte |
SrcIpAddr | Endereço IP | 77.138.103.108 | O endereço IP em que a conexão ou sessão foi originada. | Origem, IP |
SrcDvcIpAddr | Endereço IP | 77.138.103.108 | O endereço IP de origem de um dispositivo não diretamente associado ao pacote de rede (coletado por um provedor ou explicitamente calculado). | Origem, Dispositivo, IP |
SrcGeoLatitude | Latitude (duplo) | 44,475833 | A latitude da coordenada geográfica associada ao endereço IP de origem. | Origem, Localização geográfica |
SrcGeoLongitude | Longitude (duplo) | -73,211944 | A longitude da coordenada geográfica associada ao endereço IP de origem. | Origem, Localização geográfica |
SrcMacAddr | String | 06:10:9f:eb:8f:14 | O endereço MAC do adaptador de rede em que a sessão OD de conexão foi originada. | Origem, Mac |
SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | O endereço MAC de origem de um dispositivo que não está diretamente associado ao pacote de rede. | Origem, Dispositivo, Mac |
SrcPortNumber | Integer | 2335 | A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. | Origem, Porta |
SrcGeoRegion | Região (cadeia de caracteres) | Vermont | A região dentro de um país/região associada ao endereço IP de origem | Origem, Localização geográfica |
SrcResourceId | String | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | A ID do recurso do dispositivo que gera a mensagem. | Fonte |
SrcNatIpAddr | Endereço IP | 4.3.2.1 | Se for relatado por um dispositivo NAT intermediário, como um firewall, será o endereço IP usado pelo dispositivo NAT para comunicação com o destino. | NAT de Origem, IP |
SrcNatPortNumber | Integer | 345 | Se for relatado por um dispositivo NAT intermediário, como um firewall, será a porta usada pelo dispositivo NAT para comunicação com o destino. | NAT de Origem, Porta |
SrcUserSid | ID de usuário (cadeia de caracteres) | S-15-1445 | A ID de usuário da identidade associada à origem da sessão. Normalmente, o usuário realiza uma ação no cliente. Para obter mais informações, confira Tipos e formatos de dados. | Origem, Usuário |
SrcUserAadId | Cadeia de caracteres (GUID) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | A ID de objeto da conta do Microsoft Entra do usuário na extremidade de origem da sessão | Origem, Usuário |
SrcUserName | Nome de usuário (cadeia de caracteres) | bob | O nome de usuário da identidade associada à origem da sessão. Normalmente, o usuário realiza uma ação no cliente. Para obter mais informações, confira Tipos e formatos de dados. | Fonte Usuário |
SrcUserUpn | string | bob@alice.com | O UPN da conta que inicia a sessão. | Origem, Usuário |
SrcUserDomain | string | DESKTOP | O domínio para a conta que inicia a sessão. | Origem, Usuário |
SrcZone | String | Toque | A zona de rede da origem, conforme definido pelo dispositivo de relatório. | Fonte |
NetworkProtocol | String | TCP | O protocolo IP usado pela conexão ou sessão. Normalmente, TCP, UDP ou ICMP | Rede |
CloudAppName | String | O nome do aplicativo de destino de um aplicativo HTTP, conforme identificado por um proxy. | Nuvem | |
CloudAppId | String | 124 | A ID do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Geralmente, esse valor é específico para o proxy usado. | Nuvem |
CloudAppOperation | String | DeleteFile | A operação que o usuário realizou no contexto do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Geralmente, esse valor é específico para o proxy usado. | Nuvem |
CloudAppRiskLevel | String | 3 | O nível de risco associado a um aplicativo HTTP, conforme identificado por um proxy. Geralmente, esse valor é específico para o proxy usado. | Nuvem |
FileName | Cadeia de caracteres | ImNotMalicious.exe | O nome de arquivo transmitido pelas conexões de rede para protocolos como FTP e HTTP que fornecem as informações de nome de arquivo. | Arquivo |
FilePath | String | C:\Malicious\ImNotMalicious.exe | O caminho completo, incluindo o nome do arquivo. | Arquivo |
FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | O valor do hash MD5 do arquivo transmitido pelas conexões de rede dos protocolos. | Arquivo |
FileHashSha1 | String | 491AE3…C299821476F4 | O valor do hash SHA1 do arquivo transmitido pelas conexões de rede dos protocolos. | Arquivo |
FileHashSha256 | String | 9B8F8EDB…C129976F03 | O valor do hash SHA256 do arquivo transmitido pelas conexões de rede dos protocolos. | Arquivo |
FileHashSha512 | String | 5E127D…F69F73F01F361 | O valor do hash SHA512 do arquivo transmitido pelas conexões de rede dos protocolos. | Arquivo |
FileExtension | String | exe | O tipo de arquivo transmitido pelas conexões de rede de protocolos como FTP e HTTP. | Arquivo |
FileMimeType | String | application/msword | O tipo MIME do arquivo transmitido pelas conexões de rede de protocolos como FTP e HTTP | Arquivo |
FileSize | Integer | 23500 | O tamanho em bytes do arquivo transmitido pelas conexões de rede dos protocolos. | Arquivo |
HttpVersion | String | 2,0 | A versão da solicitação HTTP para conexões de rede HTTP/HTTPS. | Http |
HttpRequestMethod | String | GET | O método HTTP para sessões de rede HTTP/HTTPS. | Http |
HttpStatusCode | String | 404 | O código de status HTTP para sessões de rede HTTP/HTTPS. | Http |
HttpContentType | String | multipart/form-data; boundary=something | O cabeçalho de tipo de conteúdo de resposta HTTP para sessões de rede HTTP/HTTPS. | Http |
HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | O cabeçalho referenciador HTTP para sessões de rede HTTP/HTTPS. | Http |
HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36 | O cabeçalho do agente do usuário HTTP para sessões de rede HTTP/HTTPS. | Http |
HttpRequestXff | String | 120.12.41.1 | O cabeçalho HTTP X-Forwarded-For para sessões de rede HTTP/HTTPS. | Http |
UrlCategory | String | Mecanismos de pesquisa | O agrupamento definido de uma URL, possivelmente com base no domínio da URL, relacionado ao conteúdo. Por exemplo: adulto, notícias, anúncios, domínios parados e assim por diante.) | url |
UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | A URL de solicitação HTTP para sessões de rede HTTP/HTTPS. | Url |
UrlHostname | String | contoso.com | A parte do domínio de uma URL de solicitação HTTP para sessões de rede HTTP/HTTPS. | Url |
ThreatCategory | String | Trojan | A categoria de uma ameaça identificada por um sistema de segurança, como o Gateway de Segurança da Web de um IPS, e está associada a essa sessão de rede. | Ameaça |
ThreatId | String | Tr.124 | A ID de uma ameaça identificada por um sistema de segurança, como o Gateway de Segurança da Web de um IPS, e está associada a essa sessão de rede. | Ameaça |
ThreatName | String | Arquivo de teste EICAR | O nome da ameaça ou do malware identificado. | Ameaça |
AdditionalFields | Dinâmico (recipiente JSON) | { Property1: “val1”, Property2: “val2” } |
Quando não há correspondência entre as colunas no esquema, é possível armazenar outros campos em um recipiente JSON. Para análise do tempo de consulta, é recomendável promover colunas adicionais, em vez de usar um pacote JSON, pois o empacotamento de dados no código JSON prejudicará o desempenho da consulta. |
Campo personalizado |
Diferenças entre a versão 0.1 e a versão 0.2
A versão original do esquema de normalização de sessão de rede do Microsoft Sentinel, versão 0.1, foi lançada como uma versão prévia antes que o ASIM estivesse disponível.
As diferenças entre a versão 0.1, documentada neste artigo, e a versão 0.2x incluem:
- Na versão 0.2, os nomes de analisadores unificados e específicos da origem foram alterados para estar em conformidade com uma Convenção de nomenclatura padrão do ASIM.
- A versão 0.2 adiciona diretrizes específicas e analisadores unificados para acomodar tipos de dispositivo específicos.
As seções a seguir descrevem como a versão 0.2x é diferente para campos específicos.
Campos adicionados na versão 0.2
Os campos a seguir foram adicionados na versão 0.2x e não existem na versão 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- Url
Campos que receberam alias recentemente na versão 0.2
Os campos a seguir agora têm alias na versão 0.2x com a introdução do ASIM:
Campo na versão 0.1 | Alias na versão 0.2 |
---|---|
SessionId | NetworkSessionId |
Duração | NetworkDuration |
IpAddr | SrcIpAddr |
Usuário | DstUsername |
Nome do host | DstHostname |
UserAgent | HttpUserAgent |
Campos modificados na versão 0.2
Os campos a seguir são enumerados na versão 0.2x e exigem um valor específico de uma lista fornecida.
- EventType
- EventResultDetails
- EventSeverity
Campos renomeados na versão 0.2
Os campos a seguir foram renomeados na versão 0.2x:
Na versão 0.2, use os campos integrados do Log Analytics:
Observe que
ingestion_time()
é uma função KQL e não um nome de campo.Campo na versão 0.1 Renomeado na versão 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Renomeado para se alinhar às melhorias no ASIM e no OSSEM:
Campo na versão 0.1 Renomeado na versão 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Renomeado para refletir que o destino da sessão de rede não precisa ser um serviço de nuvem:
Campo na versão 0.1 Renomeado na versão 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Renomeado para alterar o caso e se alinhar ao tratamento pelo ASIM da entidade do usuário:
Campo na versão 0.1 Renomeado na versão 0.2 DstUserName DstUsername SrcUserName SrcUserName Renomeado para se melhor alinhar à entidade do dispositivo ASIM e permitir IDs do recurso que não o seguinte do Azure:
Campo na versão 0.1 Renomeado na versão 0.2 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId Renomeado para remover a cadeia de caracteres
Dvc
dos nomes de campo, pois o tratamento na versão 0.1 era inconsistente:Campo na versão 0.1 Renomeado na versão 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Renomeado para se alinhar às diretrizes de representação do arquivo ASIM:
Campo na versão 0.1 Renomeado na versão 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Campos removidos na versão 0.2
Os campos a seguir existem somente na versão 0.1 e foram removidos na versão 0.2x:
Motivo | Campos removidos |
---|---|
Removido porque existem duplicatas, sem a cadeia de caracteres Dvc no nome do campo |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
Removido para se alinhar ao tratamento pelo ASIM de URLs | - UrlHostname |
Removido porque esses campos não são normalmente fornecidos como parte dos eventos de sessão de rede. Se um evento incluir esses campos, use o Esquema de eventos de processo para entender como descrever as propriedades do dispositivo. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
Removido para se alinhar às diretrizes de representação do arquivo ASIM | - FilePath - FileExtension |
Removido, pois esse campo indica que um esquema diferente deve ser usado, como o Esquema de autenticação. | - CloudAppOperation |
Removido conforme é duplicado DstHostname |
- DstDomainHostname |
Próximas etapas
Para obter mais informações, consulte:
- Normalização no Microsoft Azure Sentinel
- Referência de esquema de normalização de autenticação do Microsoft Sentinel (versão prévia pública)
- Referência do esquema de normalização do evento de arquivo do Microsoft Sentinel (versão prévia pública)
- Referência do esquema de normalização de DNS do Microsoft Sentinel
- Referência do esquema de normalização do evento de processo do Microsoft Sentinel
- Referência do esquema de normalização de evento do registro do Microsoft Sentinel (versão prévia pública)