Esquema de normalização de rede do Microsoft Sentinel (versão herdada - visualização pública)
O esquema de normalização de rede é usado para descrever eventos de rede relatados e é usado pelo Microsoft Sentinel para permitir a unificação de análises.
Para obter mais informações, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Importante
Este artigo está relacionado à versão 0.1 do esquema de normalização de rede, que foi lançado como uma visualização antes do ASIM estar disponível. A versão 0.2.x do esquema de normalização de rede alinha-se com o ASIM e fornece outros aprimoramentos.
Para obter mais informações, consulte Diferenças entre versões de esquema de normalização de rede
Terminologia
A seguinte terminologia é usada em esquemas do Microsoft Sentinel:
| Termo | Definição |
|---|---|
| Dispositivo de relatório | O sistema envia os registros para o Microsoft Sentinel. Pode não ser o sistema sujeito do registo. |
| Registo | Uma unidade de dados enviados a partir do dispositivo de relatório. Esta unidade de dados é muitas vezes referida como log, eventou alert, mas também pode ter outros tipos. |
Tipos de dados e formatos
A tabela a seguir fornece orientação para normalizar valores de dados, o que é necessário para campos normalizados e recomendado para outros campos.
| Tipo de dados | Tipo físico | Formato e valor |
|---|---|---|
| Data/Hora | Um dos seguintes, dependendo da capacidade do método de ingestão usado, na prioridade decrescente:
|
Representação datetime do Log Analytics. A representação de data e hora do Log Analytics é semelhante em natureza, mas diferente da representação de hora Unix. Consulte estas diretrizes de conversão. A data e a hora devem ser ajustadas para fusos horários. |
| Endereço MAC | String | Notação dois-pontos-hexadecimal |
| Endereço IP | Endereço IP | O esquema não tem endereços IPv4 e IPv6 separados. Qualquer campo de endereço IP pode incluir um endereço IPv4 ou um endereço IPv6:
|
| Utilizador | String | Estão disponíveis os seguintes 3 campos de utilizador:
|
| ID de utilizador | String | Os seguintes 2 IDs de usuário são suportados atualmente:
|
| Dispositivo | String | As seguintes 3 colunas de dispositivo/host são suportadas:
|
| País | String | Uma string usando ISO 3166-1, de acordo com as seguintes prioridades:
|
| Região | String | O nome da subdivisão país/região usando a ISO 3166-2 |
| Localidade | String | |
| Longitude | Duplo | Representação de coordenadas ISO 6709 (decimal assinado) |
| Latitude | Duplo | Representação de coordenadas ISO 6709 (decimal assinado) |
| Algoritmo Hash | String | São suportadas as quatro colunas hash seguintes:
|
| Tipo de Arquivo: | String | O tipo do tipo de arquivo:
|
Esquema da tabela de sessões de rede
Abaixo está o esquema da tabela de sessões de rede, versionada 1.0.0
| Nome do campo | Tipo de Valor | Exemplo | Description | Entidades OSSEM associadas |
|---|---|---|---|---|
| Tipo de Evento | String | Trânsito | Tipo de evento a ser recolhido | Evento |
| SubTipo de Evento | String | Autenticação | Descrição adicional do tipo, se aplicável | Evento |
| EventCount | Número inteiro | 10 | O número de eventos agregados, se aplicável. | Evento |
| EventEndTime | Data/Hora | Ver "tipos de dados" | A hora em que o evento terminou | Evento |
| EventMessage | string | Acesso negado | Uma mensagem ou descrição geral, incluída ou gerada a partir do registo | Evento |
| DvcIpAddr | Endereço IP | 23.21.23.34 | O endereço IP do dispositivo que gera o registo | Dispositivo, IP |
| DvcMacAddr | String | 06:10:9F:EB:8F:14 | O endereço MAC da interface de rede do dispositivo de relatório a partir do qual o evento foi enviado. | Dispositivo, Mac |
| DvcNome do host | Nome do dispositivo (String) | syslogserver1.contoso.com | O nome do dispositivo que gera a mensagem. | Dispositivo |
| EventoProduto | String | OfficeSharepoint | O produto gerador do evento. | Evento |
| EventProductVersion | string | 9.0 | A versão do produto que gera o evento. | Evento |
| EventResourceId | ID do dispositivo (String) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | O ID do recurso do dispositivo que gera a mensagem. | Evento |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | Um link para o relatório completo criado pelo dispositivo de relatório | Evento |
| EventVendor | String | Microsoft | O fornecedor do produto que gera o evento. | Evento |
| EventResult | Multivalor: Sucesso, Parcial, Falha, [Vazio] (String) | Com êxito | O resultado reportado para a atividade. Valor vazio quando não aplicável. | Evento |
| EventResultDetails | String | Palavra-passe errada | Motivo ou detalhes para o resultado relatado em EventResult | Evento |
| EventSchemaVersion | Real | 0.1 | Versão do esquema do Microsoft Sentinel. Atualmente 0,1. | Evento |
| EventSeverity | String | Baixo | Se a atividade relatada tiver um impacto na segurança, indica a gravidade do impacto. | Evento |
| EventOriginalUid | String | AF6AE8FE-FF43-4A4C-B537-8635976A2B51 | O ID do registro do dispositivo de relatório. | Evento |
| EventStartTime | Data/Hora | Ver "tipos de dados" | A hora em que o evento foi declarado | Evento |
| TimeGenerated | Data/Hora | Ver "tipos de dados" | A hora em que o evento ocorreu, conforme relatado pela fonte de relatório. | Campo personalizado |
| EventTimeIngested | Data/Hora | Ver "tipos de dados" | A hora em que o evento foi ingerido ao Microsoft Sentinel. Será adicionado pelo Microsoft Sentinel. | Evento |
| EventUid | Guid (Corda) | 516A64E3-8360-4F1E-A67C-D96B3D52DF54 | Identificador exclusivo usado pelo Microsoft Sentinel para marcar uma linha. | Evento |
| NetworkApplicationProtocol | String | HTTPS | O protocolo da camada de aplicativo usado pela conexão ou sessão. | Rede |
| DstBytes | número inteiro | 32455 | O número de bytes enviados do destino para a origem da conexão ou sessão. | Destino |
| SrcBytes | número inteiro | 46536 | O número de bytes enviados da origem para o destino da conexão ou sessão. | Origem |
| NetworkBytes | número inteiro | 78991 | Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal deve ser igual à sua soma. | Rede |
| Direção de rede | Vários valores: Entrada, Saída (string) | Interna | A direção da conexão ou sessão, para dentro ou para fora da organização. | Rede |
| DstGeoCity | String | Burlington | A cidade associada ao endereço IP de destino | Destino, Geografia |
| DstGeoCountry | País (String) | EUA | O país/região associado ao endereço IP de origem | Destino, Geografia |
| DstDvcNome do host | Nome do dispositivo (String) | victim_pc | O nome do dispositivo de destino | Destino Dispositivo |
| DstDvcFqdn | String | victim_pc.contoso.local | O nome de domínio totalmente qualificado do host onde o log foi criado | Destino, Dispositivo |
| DstDomainHostname | string | CONTOSO | O domínio do destino, O domínio do host de destino (site, nome de domínio, etc.), por exemplo, para pesquisas de DNS ou pesquisas NS | Destino |
| DstInterfaceName | string | Adaptador de rede Microsoft Hyper-V | A interface de rede usada para a conexão ou sessão pelo dispositivo de destino. | Destino |
| DstInterfaceGuid | string | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | GUID da interface de rede que foi usada para a solicitação de autenticação | Destino |
| DstIpAddr | Endereço IP | 2001:db8::ff00:42:8329 | O endereço IP da conexão ou destino da sessão, mais comumente referido como o IP de destino no pacote de rede | Destino, IP |
| DstDvcIpAddr | Endereço IP | 75.22.12.2 | O endereço IP de destino de um dispositivo que não está diretamente associado ao pacote de rede | Destino, Dispositivo, IP |
| DstGeoLatitude | Latitude (Duplo) | 44.475833 | A latitude da coordenada geográfica associada ao endereço IP de destino | Destino, Geografia |
| DstMacAddr | String | 06:10:9F:EB:8F:14 | O endereço MAC da interface de rede na qual a conexão ou sessão terminou, mais comumente referido ao MAC de destino no pacote de rede | Destino, MAC |
| DstDvcMacAddr | String | 06:10:9F:EB:8F:14 | O endereço MAC de destino de um dispositivo que não está diretamente associado ao pacote de rede. | Destino, Dispositivo, MAC |
| DstDvcDomínio | String | CONTOSO | O domínio do dispositivo de destino. | Destino, Dispositivo |
| DstPortNumber | Número inteiro | 443 | A porta IP de destino. | Destino, Porta |
| DstGeoRegion | Região (String) | Vermont | A região associada ao endereço IP de destino | Destino, Geografia |
| DstResourceId | ID do dispositivo (String) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | O ID do recurso do dispositivo de destino. | Destino |
| DstNatIpAddr | Endereço IP | 2::1 | Se relatado por um dispositivo NAT intermediário, como um firewall, o endereço IP usado pelo dispositivo NAT para comunicação com a fonte. | NAT de destino, IP |
| DstNatPortNumber | número inteiro | 443 | Se relatado por um dispositivo NAT intermediário, como um firewall, a porta usada pelo dispositivo NAT para comunicação com a fonte. | NAT de destino, Porta |
| DstUserSid | SID do usuário | S-12-1445 | O ID de usuário da identidade associada ao destino da sessão. Normalmente, a identidade usada para autenticar um servidor. Para obter mais informações, consulte Tipos e formatos de dados. | Destino, User |
| DstUserAadId | Corda (guid) | AE92B0B4-CFBA-4B42-85A0-FBD862F4DF54 | A ID do objeto da conta Microsoft Entra do usuário no final da sessão de destino | Destino, User |
| DstUserName | Nome de usuário (String) | johnd | O nome de usuário da identidade associada ao destino da sessão. | Destino, User |
| DstUserUpn | string | johnd@anon.com | O UPN da identidade associada ao destino da sessão. | Destino, User |
| DstUserDomain | string | GRUPO DE TRABALHO | O domínio ou nome do computador da conta no destino da sessão | Destino, User |
| DstZona | String | Dmz | A zona de rede do destino, conforme definido pelo dispositivo de relatório. | Destino |
| DstGeoLongitude | Longitude (Duplo) | -73.211944 | A longitude da coordenada geográfica associada ao endereço IP de destino | Destino, Geografia |
| DvcAction | Vários valores: Permitir, Negar, Soltar (string) | Permitir | Se relatado por um dispositivo intermediário, como um firewall, a ação executada pelo dispositivo. | Dispositivo |
| DvcInboundInterface | String | eth0 | Se relatado por um dispositivo intermediário, como um firewall, a interface de rede usada por ele para a conexão com o dispositivo de origem. | Dispositivo |
| DvcOutboundInterface | String | Adaptador Ethernet Ethernet 4 | Se relatado por um dispositivo intermediário, como um firewall, a interface de rede usada por ele para a conexão com o dispositivo de destino. | Dispositivo |
| NetworkDuration | Número inteiro | 1500 | A quantidade de tempo, em milissegundos, para a conclusão da sessão de rede ou conexão | Rede |
| RedeIcmpCode | Número inteiro | 34 | Para uma mensagem ICMP, o valor numérico do tipo de mensagem ICMP (RFC 2780 ou RFC 4443). | Rede |
| NetworkIcmpType | String | Destino Inacessível | Para uma mensagem ICMP, representação de texto do tipo de mensagem ICMP (RFC 2780 ou RFC 4443). | Rede |
| DstPackets | número inteiro | 446 | O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. | Destino |
| SrcPackets | número inteiro | 6478 | O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. | Origem |
| Pacotes de rede | número inteiro | 0 | Número de pacotes enviados em ambas as direções. Se ambos PacketsReceived e PacketsSent existirem, BytesTotal deve ser igual à sua soma. | Rede |
| HttpRequestTime | Número inteiro | 700 | O tempo necessário para enviar a solicitação ao servidor, se aplicável. | Http |
| HttpResponseTime | Número inteiro | 800 | O tempo necessário para receber uma resposta no servidor, se aplicável. | Http |
| NetworkRuleName | String | AnyAnyDrop | O nome ou ID da regra pela qual DeviceAction foi decidido | Rede |
| NetworkRuleNumber | número inteiro | 23 | Número de regra correspondente | Rede |
| NetworkSessionId | string | 172_12_53_32_4322__123_64_207_1_80 | O identificador de sessão conforme relatado pelo dispositivo de relatório. Por exemplo, identificador de sessão L7 para aplicativos específicos após a autenticação | Rede |
| SrcGeoCity | String | Burlington | A cidade associada ao endereço IP de origem | Fonte, Geografia |
| SrcGeoCountry | País (String) | EUA | O país/região associado ao endereço IP de origem | Fonte, Geografia |
| SrcDvcNome do host | Nome do dispositivo (String) | vilão | O nome do dispositivo de origem | Fonte, Dispositivo |
| SrcDvcFqdn | string | Villain.malicious.com | O nome de domínio totalmente qualificado do host onde o log foi criado | Fonte, Dispositivo |
| Domínio SrcDvc | string | EVILORG | Domínio do dispositivo a partir do qual a sessão foi iniciada | Fonte, Dispositivo |
| SrcDvcOs | String | iOS | O SO do dispositivo de origem | Fonte, Dispositivo |
| SrcDvcModelName | String | Samsung Galaxy Note | O nome do modelo do dispositivo de origem | Fonte, Dispositivo |
| SrcDvcModelNumber | String | 10,0 | O número do modelo do dispositivo de origem | Fonte, Dispositivo |
| SrcDvcType | String | Móvel | O tipo do dispositivo de origem | Fonte, Dispositivo |
| SrcInterfaceName | String | ETH01 | A interface de rede usada para a conexão ou sessão pelo dispositivo de origem. | Origem |
| SrcInterfaceGuid | String | 46AD544B-EAF0-47EF-827C-266030F545A6 | GUID da interface de rede usada | Origem |
| SrcIpAddr | Endereço IP | 77.138.103.108 | O endereço IP do qual a conexão ou sessão se originou. | Fonte, IP |
| SrcDvcIpAddr | Endereço IP | 77.138.103.108 | O endereço IP de origem de um dispositivo não diretamente associado ao pacote de rede (coletado por um provedor ou calculado explicitamente). | Fonte, Dispositivo, IP |
| SrcGeoLatitude | Latitude (Duplo) | 44.475833 | A latitude da coordenada geográfica associada ao endereço IP de origem | Fonte, Geografia |
| SrcGeoLongitude | Longitude (Duplo) | -73.211944 | A longitude da coordenada geográfica associada ao endereço IP de origem | Fonte, Geografia |
| SrcMacAddr | String | 06:10:9F:EB:8F:14 | O endereço MAC da interface de rede a partir da qual a conexão od sessão se originou. | Fonte, Mac |
| SrcDvcMacAddr | String | 06:10:9F:EB:8F:14 | O endereço MAC de origem de um dispositivo que não está diretamente associado ao pacote de rede. | Fonte, Dispositivo, Mac |
| SrcPortNumber | Número inteiro | 2335 | A porta IP da qual a conexão se originou. Pode não ser relevante para uma sessão que inclui várias conexões. | Fonte, Porta |
| SrcGeoRegion | Região (String) | Vermont | A região dentro de um país/região associada ao endereço IP de origem | Fonte, Geografia |
| SrcResourceId | String | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | O ID do recurso do dispositivo que gera a mensagem. | Origem |
| SrcNatIpAddr | Endereço IP | 4.3.2.1 | Se relatado por um dispositivo NAT intermediário, como um firewall, o endereço IP usado pelo dispositivo NAT para comunicação com o destino. | Fonte NAT, IP |
| SrcNatPortNumber | Número inteiro | 345 | Se relatado por um dispositivo NAT intermediário, como um firewall, a porta usada pelo dispositivo NAT para comunicação com o destino. | Fonte NAT, Porta |
| SrcUserSid | ID de usuário (String) | S-15-1445 | O ID de usuário da identidade associada à origem das sessões. Normalmente, o usuário executa uma ação no cliente. Para obter mais informações, consulte Tipos e formatos de dados. | Fonte, User |
| SrcUserAadId | Corda (guid) | 16C8752C-7DD2-4CAD-9E03-FB5D1CEE5477 | A ID do objeto da conta Microsoft Entra do usuário no final da sessão de origem | Fonte, User |
| SrcUserName | Nome de usuário (String) | Fábio | O nome de usuário da identidade associada à origem das sessões. Normalmente, o usuário executa uma ação no cliente. Para obter mais informações, consulte Tipos e formatos de dados. | Origem User |
| SrcUserUpn | string | bob@alice.com | UPN da conta que inicia a sessão | Fonte, User |
| SrcUserDomain | string | COMPUTADOR | O domínio da conta que inicia a sessão | Fonte, User |
| SrcZona | String | Tocar | A zona de rede da fonte, conforme definido pelo dispositivo de relatório. | Origem |
| Protocolo de rede | String | TCP | O protocolo IP usado pela conexão ou sessão. Normalmente, TCP, UDP ou ICMP | Rede |
| CloudAppName | String | O nome do aplicativo de destino para um aplicativo HTTP conforme identificado por um proxy. | Cloud | |
| CloudAppId | String | 124 | A ID do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Esse valor normalmente é específico para o proxy usado. | Cloud |
| CloudAppOperation | String | DeleteFile | A operação que o usuário executou no contexto do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Esse valor normalmente é específico para o proxy usado. | Cloud |
| CloudAppRiskLevel | String | 3 | O nível de risco associado a um aplicativo HTTP, conforme identificado por um proxy. Esse valor normalmente é específico para o proxy usado. | Cloud |
| Nome do arquivo | String | ImNotMalicious.exe | O nome do arquivo transmitido pelas conexões de rede para protocolos, como FTP e HTTP, que fornecem as informações de nome do arquivo. | Ficheiro |
| FilePath | String | C:\Malicious\ImNotMalicious.exe | O caminho completo, incluindo o nome do arquivo, do arquivo | Ficheiro |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | O valor hash MD5 do ficheiro transmitido através das ligações de rede para os protocolos. | Ficheiro |
| FileHashSha1 | String | 491AE3... C299821476F4 | O valor hash SHA1 do ficheiro transmitido através das ligações de rede para os protocolos. | Ficheiro |
| FileHashSha256 | String | 9B8F8EDB... C129976F03 | O valor hash SHA256 do ficheiro transmitido através das ligações de rede para os protocolos. | Ficheiro |
| FileHashSha512 | String | 5E127D... F69F73F01F361 | O valor hash SHA512 do ficheiro transmitido através das ligações de rede para os protocolos. | Ficheiro |
| Extensão de arquivo | String | exe | O tipo do arquivo transmitido através das conexões de rede para protocolos como FTP e HTTP. | Ficheiro |
| FileMimeType | String | aplicação/msword | O tipo MIME do arquivo transmitido pelas conexões de rede para protocolos como FTP e HTTP | Ficheiro |
| Tamanho do arquivo | Número inteiro | 23500 | O tamanho do arquivo, em bytes, do arquivo transmitido através das conexões de rede para protocolos. | Ficheiro |
| Versão Http | String | 2.0 | A versão da solicitação HTTP para conexões de rede HTTP/HTTPS. | Http |
| HttpRequestMethod | String | GET | O método HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpStatusCode | String | 404 | O código de status HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpContentType | String | dados de várias partes/formulários; limite=algo | O cabeçalho do tipo de conteúdo de Resposta HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | O cabeçalho do referenciador HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/83.0.4103.97 Safari/537.36 | O cabeçalho do agente do usuário HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpRequestXff | String | 120.12.41.1 | O cabeçalho HTTP X-Forwarded-For para sessões de rede HTTP/HTTPS. | Http |
| UrlCategory | String | Motores de busca | O agrupamento definido de um URL, possivelmente com base no domínio no URL, relacionado ao que é o conteúdo. Por exemplo: adulto, notícias, publicidade, domínios estacionados e assim por diante.) | url |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | A URL de solicitação HTTP para sessões de rede HTTP/HTTPS. | Url |
| UrlHostname | String | contoso.com | A parte do domínio de uma URL de solicitação HTTP para sessões de rede HTTP/HTTPS. | Url |
| ThreatCategory | String | Cavalo de Troia | A categoria de uma ameaça identificada por um sistema de segurança, como o Web Security Gateway de um IPS, e está associada a esta sessão de rede. | Ameaça |
| ThreatId | String | Tr.124 | A ID de uma ameaça identificada por um sistema de segurança, como o Web Security Gateway de um IPS, e está associada a esta sessão de rede. | Ameaça |
| Nome da Ameaça | String | Ficheiro de teste EICAR | O nome da ameaça ou malware identificado | Ameaça |
| Campos Adicionais | Dinâmico (saco JSON) | { Imóvel1: "val1", Propriedade2: "val2" } |
Quando nenhuma coluna respetiva no esquema corresponder, outros campos podem ser armazenados em um saco JSON. Para análise em tempo de consulta, recomendamos promover colunas adicionais em vez de usar um pacote JSON, pois o empacotamento de dados no código JSON degradará o desempenho da consulta. |
Campo personalizado |
Diferenças entre a versão 0.1 e a versão 0.2
A versão original do esquema de normalização de sessão do Microsoft Sentinel Network, versão 0.1, foi lançada como uma prévia antes do ASIM estar disponível.
As diferenças entre a versão 0.1, documentada neste artigo, e a versão 0.2.x incluem:
- Na versão 0.2, nomes de analisadores unificadores e específicos da fonte foram alterados para estarem em conformidade com uma convenção de nomenclatura ASIM padrão.
- A versão 0.2 adiciona diretrizes específicas e analisadores unificadores para acomodar tipos de dispositivos específicos.
As seções a seguir descrevem como a versão 0.2.x difere para campos específicos.
Campos adicionados na versão 0.2
Os seguintes campos foram adicionados na versão 0.2.x e não existem na versão 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomínio
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- Url
Campos recentemente aliased na versão 0.2
Os seguintes campos são agora aliased na versão 0.2.x com a introdução do ASIM:
| Campo na versão 0.1 | Alias na versão 0.2 |
|---|---|
| SessionId | NetworkSessionId |
| Duração | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | DstUsername |
| Hostname (Nome do anfitrião) | DstHostname |
| UserAgent | HttpUserAgent |
Campos modificados na versão 0.2
Os campos a seguir são enumerados na versão 0.2.x e exigem um valor específico de uma lista fornecida.
- EventType
- EventResultDetails
- EventSeverity
Campos renomeados na versão 0.2
Os seguintes campos foram renomeados na versão 0.2.x:
Na versão 0.2, use os campos internos do Log Analytics:
Observe que
ingestion_time()é uma função KQL e não um nome de campo.Campo na versão 0.1 Renomeado na versão 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Renomeado para alinhar com as melhorias no ASIM e OSSEM:
Campo na versão 0.1 Renomeado na versão 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Renomeado para refletir que o destino da sessão de rede não precisa ser um serviço de nuvem:
Campo na versão 0.1 Renomeado na versão 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Renomeado para alterar o caso e alinhar com o tratamento ASIM da entidade do usuário:
Campo na versão 0.1 Renomeado na versão 0.2 DstUserName DstUsername SrcUserName SrcUsername Renomeado para se alinhar melhor com a entidade do dispositivo ASIM e permitir IDs de recursos diferentes das do Azure:
Campo na versão 0.1 Renomeado na versão 0.2 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId Renomeado para remover a cadeia de caracteres dos nomes de campo, pois a
Dvcmanipulação na versão 0.1 era inconsistente:Campo na versão 0.1 Renomeado na versão 0.2 DstDvcDomínio DstDomínio DstDvcFqdn DstFqdn DstDvcNome do host DstHostname Domínio SrcDvc Domínio Src SrcDvcFqdn SrcFqdn SrcDvcNome do host SrcHostname Renomeado para alinhar com as diretrizes de representação de arquivo ASIM:
Campo na versão 0.1 Renomeado na versão 0.2 FileHashMd5 ArquivoMD5 FileHashSha1 FileSHA1 FileHashSha256 ArquivoSHA256 FileHashSha512 ArquivoSHA512 FileMimeType FileContentType
Campos removidos na versão 0.2
Os seguintes campos existem apenas na versão 0.1 e foram removidos na versão 0.2.x:
| Razão | Campos removidos |
|---|---|
Removido porque existem duplicatas, sem a Dvc cadeia de caracteres no nome do campo |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Removido para alinhar com o tratamento ASIM de URLs | - UrlHostname |
| Removido porque esses campos normalmente não são fornecidos como parte de eventos de Sessão de Rede. Se um evento incluir esses campos, use o esquema Process Event para entender como descrever as propriedades do dispositivo. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| Removido para alinhar com as diretrizes de representação de arquivos ASIM | - FilePath - FileExtension |
| Removido, pois este campo indica que um esquema diferente deve ser usado, como o esquema de autenticação. | - CloudAppOperation |
Removido à medida que duplica DstHostname |
- DstDomainHostname |
Próximos passos
Para obter mais informações, consulte:
- Normalização no Microsoft Sentinel
- Referência do esquema de normalização de autenticação do Microsoft Sentinel (visualização pública)
- Referência do esquema de normalização de eventos do arquivo Microsoft Sentinel (visualização pública)
- Referência do esquema de normalização do DNS do Microsoft Sentinel
- Referência do esquema de normalização de eventos do processo Microsoft Sentinel
- Referência do esquema de normalização de eventos do Registro Microsoft Sentinel (visualização pública)