Схемы расширенной информационной модели безопасности (ASIM)
Расширенная информационная модель безопасности (ASIM) представляет собой набор полей, представляющих действия. Использование полей в нормализованной схеме в запросе гарантирует, что запрос будет работать со всеми нормализованными источниками.
Чтобы понять, как схемы вписываются в архитектуру ASIM, изучите схематическое изображение архитектуры ASIM.
Ссылки на схемы описывают поля, составляющие каждую схему. ASIM в настоящее время определяет следующие схемы:
| Схема | Версия | Status |
|---|---|---|
| Событие аудита | 0,1 | Предварительный просмотр |
| Событие проверки подлинности | 0.1.3 | Предварительный просмотр |
| Действие DNS | 0.1.7 | Предварительный просмотр |
| Действие DHCP | 0,1 | Предварительный просмотр |
| Действие с файлами | 0.2.1 | Предварительный просмотр |
| Сетевой сеанс | 0.2.6 | Предварительный просмотр |
| Событие процесса | 0.1.4 | Предварительный просмотр |
| Событие реестра | 0.1.2 | Предварительный просмотр |
| Управление пользователями | 0,1 | Предварительный просмотр |
| Веб-сеанс | 0.2.6 | Предварительный просмотр |
Внимание
Схемы и средства синтаксического анализа ASIM в настоящее время доступны в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Основные понятия схемы
Следующие основные понятия помогут разобраться в ссылках на схемы и расширить схему в нормализованном виде, если ваши данные содержат сведения, которые ею не охватываются.
| Концепция | Description |
|---|---|
| Имена полей | Основой каждой схемы являются имена полей. Имена полей относятся к следующим группам: – поля, общие для всех схем; – поля, относящиеся к конкретной схеме; – поля, представляющие сущности, например пользователей, которые принимают участие в схеме. Поля, представляющие сущности, идентичны во всех схемах. Если источники содержат поля, не представленные в задокументированной схеме, они нормализованы для обеспечения согласованности. Если дополнительные поля представляют сущность, они будут нормализованы на основе правил для полей сущностей. В противном случае схемы стремятся обеспечить согласованность между собой. Например, хотя журналы действий DNS-сервера не содержат сведений о пользователе, журналы действий DNS из конечной точки могут содержать такие сведения, которые могут быть нормализованы в соответствии с правилами для сущности пользователя. |
| Типы полей | Каждое поле схемы имеет тип. В рабочей области Log Analytics ограниченный набор типов данных. Поэтому в Microsoft Sentinel используется логический тип для многих полей схемы, которые не применяются в службе Log Analytics, но требуются для совместимости схем. Логические типы полей гарантируют согласованность значений и имен полей в источниках. Дополнительные сведения см. в разделе Логические типы. |
| Класс поля | Поля могут иметь несколько классов, определяющих, когда поля должны быть реализованы средством синтаксического анализа: - Обязательные поля должны присутствовать в каждом средстве синтаксического анализа. Если источник не содержит сведений для этого значения или данные не могут быть добавлены иным образом, он не будет поддерживать большинство элементов содержимого, ссылающихся на нормализованную схему. - Рекомендуемые поля должны быть нормализованы, если они доступны. Однако они могут быть доступны не в каждом источнике, и любой элемент содержимого, ссылающийся на нормализованную схему, должен учитывать такую доступность. - Необязательные поля, если они доступны, могут быть нормализованы или оставлены в исходной форме. Как правило, средство синтаксического анализа с минимальной функциональностью не нормализует их по соображениям производительности. - Условные поля являются обязательными, если оно заполняется. Условные поля обычно используются для описания значения в другом поле. Например, общее поле DvcIdType описывает значение в общем поле DvcId и поэтому является обязательным, если последний заполнен. - Псевдоним является особым типом условного поля и является обязательным, если поле псевдонима заполняется. |
| Общие поля | Некоторые поля являются общими для всех схем ASIM. Каждая схема может добавлять рекомендации по использованию некоторых общих полей в контексте конкретной схемы. Например, разрешенные значения для поля EventType могут различаться в зависимости от схемы, как и значение поля EventSchemaVersion. |
| Сущности | События возникают в связи с такими сущностями, как пользователи, узлы, процессы или файлы. Для описания каждой сущности может использоваться несколько полей. Например, узел может иметь имя и IP-адрес. Одна запись может содержать несколько сущностей одного типа, например исходный и конечный узлы. ASIM определяет, как согласованно описывать сущности, а сущности позволяют расширять схемы. Например, хотя схема сетевого сеанса не содержит сведения о процессах, некоторые источники событий предоставляют такие сведения, которые можно добавить. Дополнительные сведения см. в разделе о сущностях. |
| Псевдонимы | Псевдонимы разрешают несколько имен для указанного значения. В некоторых случаях разные пользователи предполагают для полей разные имена. Например, в терминологии DNS может потребоваться поле с именем DnsQuery, в то время как обычно оно содержит доменное имя. Домен псевдонима помогает пользователю, разрешая использовать оба имени. В некоторых случаях псевдоним может иметь значение одного из нескольких полей в зависимости от того, какие значения доступны в событии. Например, псевдоним Dvc, псевдонимы — DvcFQDN, DvcId, DvcHostname или DvcIpAddr или Event Product. Если псевдоним может иметь несколько значений, его тип должен быть строкой для размещения всех возможных псевдонимов значений. В результате при назначении значения такому псевдониму обязательно преобразуйте тип в строку с помощью функции KQL tostring. Собственные нормализованные таблицы не включают псевдонимы, так как это означает дублирование хранилища данных. Вместо этого средства синтаксического анализа заглушки добавляют псевдонимы. Чтобы реализовать псевдонимы в средства синтаксического анализа, создайте копию исходного значения с помощью extend оператора. |
Логические типы
Каждое поле схемы имеет тип. У некоторых имеются встроенные типы службы Log Analytics, такие как string, int, datetime и dynamic. Другие поля имеют логический тип, который обозначает, как должны быть нормализованы значения полей.
| Тип данных | Физический тип | Формат и значение |
|---|---|---|
| Boolean | Bool | Используйте встроенный логический тип данных KQL bool, а не числовое или строковое представление логических значений. |
| Перечисленных | Строка | Список значений, явно определенных для поля. В определении схемы перечислены допустимые значения. |
| Date/Time | В зависимости от возможности метода приема используйте любое из следующих физических представлений в убываемом приоритете: — встроенный тип даты и времени Log Analytics – целочисленное поле с использованием числового представления даты и времени в Log Analytics; — строковое поле с использованием числового представления Log Analytics datetime – строковое поле, в котором хранится поддерживаемый Log Analytics формат даты и времени. |
Представление даты и времени в Log Analytics аналогично, однако оно отличается от представления времени в Unix. Дополнительные сведения см. в правилах в отношении преобразования. Примечание. Если применимо, время должно быть скорректировано по часовому поясу. |
| MAC address (MAC-адрес) | Строка | Шестнадцатеричная нотация с двоеточиями |
| IP-адрес | Строка | У схем Microsoft Sentinel нет отдельных адресов IPv4 и IPv6. Любое поле IP-адреса может содержать либо IPv4-адрес, либо IPv6-адрес, как показано ниже. - IPv4 в точечно-десятичной нотации. - IPv6 в нотации из 8 гекстетов, что позволяет использовать короткую форму. Например: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6 (короткая форма): 1080::8:800:200C:417A |
| FQDN | Строка | Полное доменное имя в точечной нотации, например learn.microsoft.com. Дополнительные сведения см. в разделе Сущность устройства. |
| Hostname | Строка | Имя узла, которое не является полным доменным именем, включает до 63 символов, включая буквы, цифры и дефисы. Дополнительные сведения см. в разделе Сущность устройства. |
| DomainType | Enumerated | Тип домена, хранящегося в полях домен и полное доменное имя. Список значений и дополнительные сведения см. в разделе Сущность устройства. |
| DvcIdType | Enumerated | Тип идентификатора устройства, хранящегося в полях DvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType. |
| DeviceType | Enumerated | Тип устройства, хранящегося в полях типа устройства. Возможные значения включают: - Computer- Mobile Device- IOT Device- Other. Дополнительные сведения см. в разделе Сущность устройства. |
| Username | Строка | Допустимое имя пользователя в одном из поддерживаемых типов. Подробнее см. в статье Сущность пользователя. |
| UsernameType | Enumerated | Тип имени пользователя, хранящегося в полях Username. Дополнительные сведения и список поддерживаемых значений см. в разделе Сущность пользователя. |
| UserIdType | Enumerated | Тип идентификатора, хранящегося в полях идентификаторов пользователей. Поддерживаемые значения: SID, , UISAADID, OktaIdи AWSIdPUID. Подробнее см. в статье Сущность пользователя. |
| UserType | Enumerated | Тип пользователя. Дополнительные сведения и список поддерживаемых значений см. в разделе Сущность устройства. |
| AppType | Enumerated | Тип приложения. Поддерживаются следующие значения: Process, Service, Resource, URL, SaaS application, CSP и Other. |
| Страна/регион | Строка | Строка с использованием ISO 3166-1 в соответствии со следующим приоритетом: - коды Alpha-2, например US для США; - коды Alpha-3, например USA для США; — краткое название. Список кодов см. на веб-сайте Международной организации по стандартизации (ISO). |
| Регион | Строка | Имя подразделения страны или региона с использованием ISO 3166-2. Список кодов см. на веб-сайте Международной организации по стандартизации (ISO). |
| Город | Строка | |
| Долгота | Двойной | Представление координаты ISO 6709 (десятичное число со знаком). |
| Широта | Двойной | Представление координаты ISO 6709 (десятичное число со знаком). |
| MD5 | Строка | 32 шестнадцатеричных символа. |
| SHA1 | Строка | 40 шестнадцатеричных символов. |
| SHA256 | Строка | 64 шестнадцатеричных символов. |
| SHA512 | Строка | 128 шестнадцатеричных символов. |
Сущности
События возникают в связи с такими сущностями, как пользователи, узлы, процессы или файлы. Представление сущностей позволяет нескольким сущностям одного типа являться частью одной записи и поддерживает несколько атрибутов для одной сущности.
Для реализации функциональных возможностей сущности представление сущности должно соответствовать указанным ниже рекомендациям.
| Рекомендация | Description |
|---|---|
| Дескрипторы и псевдонимы | Поскольку одно событие часто включает несколько сущностей одного типа, таких как исходный и конечный узлы, в качестве префикса для обозначения всех полей, связанных с конкретной сущностью, используются дескрипторы. Чтобы обеспечить нормализацию, ASIM использует небольшой набор стандартных дескрипторов, выбирая наиболее подходящие из них для конкретной роли сущностей. Если к событию относится только одна сущность определенного типа, использовать дескриптор нет необходимости. Кроме того, набор полей без дескриптора является псевдонимом наиболее часто используемой сущности для каждого типа. |
| Идентификаторы и типы | В нормализованной схеме может быть несколько идентификаторов для каждой сущности, которые будут сосуществовать в событиях. Если исходное событие содержит другие идентификаторы сущностей, которые не могут быть сопоставлены с нормализованной схемой, следует хранить их в исходной форме или использовать динамическое поле AdditionalFields. Чтобы сохранить сведения о типе для идентификаторов, храните тип, если это применимо, в поле с тем же именем и суффиксом Type. Например, UserIdType. |
| Атрибуты | У сущностей часто есть другие атрибуты, которые не являются идентификатором и также могут уточняться дескриптором. Например, если для исходного пользователя имеются сведения о домене, нормализованное поле имеет значение SrcUserDomain. |
Каждая схема явным образом определяет центральные сущности и поля сущностей. Рекомендации ниже позволяют понять центральные поля схемы, а также узнать, как расширять схемы в нормализованном виде с помощью других сущностей или полей сущностей, не определенных в схеме явным образом.
Сущность пользователя
Пользователи играют ключевую роль в действиях, фиксируемых с помощью событий. Перечисленные в этом разделе поля применяются для описания пользователей, участвующих в действии. Префиксы позволяют определить роль пользователя в действии. Префиксы Src и Dst обозначают роль пользователя в сетевых событиях, в которых исходная и целевая система обмениваются данными. Префиксы Actor и Target используются для системно ориентированных событий, таких как события процесса.
Идентификатор пользователя и область
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| UserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее пользователя. |
| UserScope | Необязательно | строка | Область, в которой определены Идентификатор пользователя и имя пользователя . Например, доменное имя клиента Microsoft Entra. Поле UserIdType также представляет тип связанного с этим полем. |
| UserScopeId | Необязательно | строка | Идентификатор области, в которой определены Идентификатор пользователя и имя пользователя . Например, идентификатор каталога клиента Microsoft Entra. Поле UserIdType также представляет тип связанного с этим полем. |
| UserIdType | Необязательно | UserIdType | Тип идентификатора, который хранится в поле UserId. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Необязательно | Строка | Поля, используемые для хранения определенных идентификаторов пользователей. Выберите идентификатор, наиболее связанный с событием, в качестве основного идентификатора, сохраняемого в поле UserId. Заполните соответствующее поле идентификатора в дополнение к UserId, даже если событие имеет только один идентификатор. |
| UserAADTenant, UserAWSAccount | Необязательно | Строка | Поля, используемые для хранения определенных областей. Используйте поле UserScope для области, связанной с идентификатором, хранимым в поле UserId. Заполните соответствующее поле области в дополнение к UserScope, даже если событие имеет только один идентификатор. |
Допустимые значения для типа идентификатора пользователя:
| Тип | Описание | Пример |
|---|---|---|
| SID | Идентификатор пользователя Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Идентификатор пользователя Linux. | 4578 |
| AADID | Идентификатор пользователя Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Идентификатор пользователя Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | Идентификатор пользователя AWS. | 72643944673 |
| PUID | Идентификатор пользователя Microsoft 365. | 10032001582F435C |
| SalesforceId | Идентификатор пользователя Salesforce. | 00530000009M943 |
Имя пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Username | Необязательно | Строка | Имя исходного пользователя, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле UsernameType. |
| UsernameType | Необязательно | UsernameType | Указывает тип имени пользователя, хранимого в поле Username. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Необязательно | Строка | Поля, используемые для хранения дополнительных имен пользователей, если исходное событие содержит несколько имен. Выберите имя пользователя, наиболее связанное с событием, в качестве основного имени пользователя, сохраняемого в поле Username. |
Допустимые значения для типа имени пользователя:
| Тип | Описание | Пример |
|---|---|---|
| Имя участника-участника | Конструктор имени субъекта-пользователя или адреса электронной почты. | johndow@contoso.com |
| Windows | Имя пользователя Windows, включая домен. | Contoso\johndow |
| DN | Конструктор различающихся имен LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Простой | Простое имя пользователя без конструктора домена. | johndow |
| AWSId | Идентификатор пользователя AWS. | 72643944673 |
Дополнительные поля пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| UserType | Необязательно | UserType | Тип исходного пользователя. Допустимые значения: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле OriginalUserType. |
| OriginalUserType | Необязательно | Строка | Исходный тип пользователя назначения, если он указан передающим устройством. |
Сущность устройства
Устройства, или узлы — это общие термины, которые обозначают системы, участвующие в событии. Префикс Dvc используется для назначения основного устройства, на котором происходит событие. У некоторых событий, таких как сетевые сеансы, есть устройства источника и назначения, обозначаемые префиксом Src и Dst. В таком случае префикс Dvc используется для устройства, сообщающего о событии, которое может быть исходным или целевым устройством либо устройством мониторинга.
Псевдонимы устройства
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Dvc, Src, Dst | Обязательно | Строка | Поля Dvc, Src и Dst используются в качестве уникального идентификатора устройства. В качестве него выбирается вариант, лучше всего подходящий для устройства. Эти поля могут быть псевдонимами полей FQDN, DvcId, Hostname и IpAddr. Для облачных источников, если событие не связано с конкретным устройством, указывайте то же значение, что и в поле Event Product. |
Имя устройства
Передаваемые имена устройств могут содержать только имя узла или являться полным доменным именем (FQDN), которое включает имя узла и доменное имя. Полное доменное имя может задаваться в нескольких форматах. Перечисленные ниже поля применяются для передачи различных вариантов имени устройства.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Hostname | Рекомендуемая конфигурация | Hostname (Имя узла) | Короткое имя узла устройства. |
| Domain | Рекомендуемая конфигурация | Строка | Домен устройства, на котором произошло событие, без имени узла. |
| DomainType | Рекомендуемая конфигурация | Enumerated | Тип домена. Поддерживаются следующие значения: FQDN и Windows. Это поле является обязательным, если используется поле Domain. |
| FQDN | Необязательно | Строка | Полное доменное имя устройства, включая имя узла и домен. Это поле поддерживает как традиционные форматы FQDN, так и формат domain\hostname в Windows. Поле DomainType отражает используемый формат. |
Например:
| Поле | Значение для входных данных appserver.contoso.com |
значение для входных данных appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| Domain | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
Если значение, предоставленное источником, является полным доменным именем или если значение может быть полным доменным именем либо коротким именем узла, средство синтаксического анализа должно вычислить 4 значения. Используйте вспомогательные функции ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN и _ASIM_ResolveDvcFQDN, чтобы легко задать все четыре поля на основе одного входного значения. Дополнительные сведения см. в разделе о вспомогательные функции ASIM.
Идентификатор устройства и область
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| DvcId | Необязательно | Строка | Уникальный идентификатор устройства. Например: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. Область сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| Область применения | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. Область сопоставления с подпиской в Azure и учетной записью в AWS. |
| DvcIdType | Необязательно | Enumerated | Тип DvcId. Обычно это поле также определяет тип Scope и ScopeId. Это поле является обязательным, если используется поле DvcId. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Необязательно | Строка | Поля, используемые для хранения дополнительных идентификаторов устройств, если исходное событие содержит несколько идентификаторов. Выберите идентификатор, наиболее связанный с событием, в качестве основного идентификатора устройства, сохраняемого в поле DvcId. |
Обратите внимание, что имена полей должны начинаться с префикса роли, например Src или Dst, но не должны содержать второго префикса Dvc, если он используется в этой роли.
Допустимые значения для типа идентификатора устройства:
| Тип | Описание |
|---|---|
| MDEid | Идентификатор системы, назначенный решением Microsoft Defender для конечной точки. |
| AzureResourceId | ИД ресурса Azure. |
| MD4IoTid | Идентификатор ресурса Microsoft Defender для Интернета вещей. |
| VMConnectionId | Идентификатор ресурса решения аналитики виртуальных машин Azure Monitor. |
| AwsVpcId | Идентификатор VPC AWS. |
| VectraId | Назначенный идентификатор ресурса ИИ Vectra. |
| Другое | Тип идентификатора, не указанный выше. |
Например, решение аналитики виртуальных машин Azure Monitor предоставляет сведения о сетевых сеансах в объекте VMConnection. Таблица содержит идентификатор ресурса Azure в поле _ResourceId и идентификатор конкретного устройства аналитики виртуальных машин в поле Machine. Для представления этих идентификаторов используйте следующее сопоставление:
| Поле | Сопоставить со |
|---|---|
| DvcId | Поле Machine в таблице VMConnection. |
| DvcIdType | Значение VMConnectionId |
| DvcAzureResourceId | Поле _ResourceId в таблице VMConnection. |
Дополнительные поля устройства
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| IpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес устройства. Пример: 45.21.42.12 |
| DvcDescription | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| MacAddr | Необязательно | MAC | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Пример: 00:1B:44:11:3A:B7 |
| Зона | Необязательно | Строка | Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. Зона определяется передающим устройством. Пример: Dmz |
| DvcOs | Необязательно | Строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Пример: Windows |
| DvcOsVersion | Необязательно | Строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Пример: 10 |
| DvcAction | Необязательно | Строка | Для передающих систем безопасности — действие, предпринимаемое системой (если применимо). Пример: Blocked |
| DvcOriginalAction | Необязательно | Строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| Интерфейс | Необязательно | Строка | Сетевой интерфейс, в котором были фиксируются данные. Это поле обычно относится к сетевой активности, которая фиксируется промежуточным устройством или устройством TAP. |
Обратите внимание, что поля, имена которых в списке содержат префикс Dvc, должны начинаться с префикса роли, например Src или Dst, но не должны содержать второго префикса Dvc, если он используется в этой роли.
Пример сопоставления сущностей
В этом разделе в качестве примера для описания нормализации данных события для Microsoft Sentinel используется событие Windows 4624.
Это событие имеет следующие сущности:
| Терминология Майкрософт | Префикс поля исходного события | Префикс поля ASIM | Description |
|---|---|---|---|
| Тема | Subject |
Actor |
Пользователь, сообщающий об успешном входе в систему. |
| Новый вход | Target |
TargetUser |
Пользователь, для которого был выполнен вход. |
| Обработать | - | ActingProcess |
Процесс, который попытался выполнить вход. |
| Сведения о сети | - | Src |
Компьютер, с которого была выполнена попытка входа. |
На основе этих сущностей событие Windows 4624 нормализуется следующим образом (некоторые поля являются необязательными):
| Нормализованное поле | Исходное поле | Значение в примере | Примечания. |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Создано путем сцепления двух полей |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Псевдоним | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Создано путем сцепления двух полей |
| Username | TargetDomainName\ TargetUserName | Псевдоним | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | Имя процесса | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Компьютер | WIN-GG82ULGC9GO | |
| Hostname | Компьютер | Псевдоним |
Следующие шаги
В этой статье представлены общие сведения о нормализации в Microsoft Sentinel и ASIM.
Дополнительные сведения см. в разделе:
- Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)