Справочник по расширенной информационной модели безопасности (ASIM) (предварительная версия)
Некоторые поля являются общими для всех схем ASIM. Каждая схема может добавлять рекомендации по использованию некоторых общих полей в контексте конкретной схемы. Например, разрешенные значения для поля EventType могут различаться в зависимости от схемы, как и значение поля EventSchemaVersion.
Стандартные поля Log Analytics
В большинстве случаев служба Log Analytics генерирует следующие поля для каждой записи, но вы можете переопределить их при создании пользовательского соединителя.
| Поле | Тип | Обсуждение |
|---|---|---|
| TimeGenerated | datetime | Время, когда событие было сгенерировано устройством, передающим информацию. |
| Тип | Строка | Исходная таблица, из которой была получена запись. Это поле полезно, когда одно и то же событие может быть получено по нескольким каналам в разные таблицы и имеет одинаковые значения EventVendor и EventProduct. Например, событие Sysmon можно собирать в таблицу Event или WindowsEvent. |
Примечание.
Также Log Analytics добавляет дополнительные поля, менее важные для вариантов использования в рамках безопасности. Дополнительные сведения см. в статье Стандартные столбцы в журналах Azure Monitor.
Общие поля ASIM
Следующие поля определяются ASIM для всех схем:
Поля событий
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventMessage | Необязательно | Строка | Общее сообщение или описание, включенное в запись либо созданное на ее основе. |
| EventCount | Обязательно | Целое | Количество событий, описываемых записью. Это значение используется, когда источник поддерживает агрегирование, и одна запись может представлять несколько событий. Для остальных источников задается значение 1. |
| EventStartTime | Обязательно | Дата/время | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventEndTime | Обязательно | Дата/время | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventType | Обязательно | Enumerated | Описывает операцию, о которой сообщает эта запись. В каждой схеме документируется список значений, допустимых для этого поля. Исходное, связанное с источником значение, хранится в поле EventOriginalType. |
| EventSubType | Необязательно | Enumerated | Описывает подразделение операции, записанной в поле EventType. В каждой схеме документируется список значений, допустимых для этого поля. Исходное, связанное с источником значение, хранится в поле EventOriginalSubType. |
| EventResult | Обязательно | Enumerated | Одно из следующих значений: Success (Успех), Partial (Частичный успех), Failure (Сбой), NA (неприменимо). Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Также источник может предоставлять значение только для поля EventResultDetails, которое следует отдельно анализировать для получения значения EventResult. Пример: Success |
| EventResultDetails | Рекомендуемая конфигурация | Enumerated | Причина или подробные сведения для результата, полученного в поле EventResult. В каждой схеме документируется список значений, допустимых для этого поля. Исходное, связанное с источником значение, хранится в поле EventOriginalResultDetails. Пример: NXDOMAIN |
| EventUid | Рекомендуемая конфигурация | Строка | Уникальный идентификатор записи, назначенный Microsoft Sentinel. Обычно это поле сопоставляется с полем _ItemId Log Analytics. |
| EventOriginalUid | Необязательно | Строка | Уникальный идентификатор исходной записи, если он указан источником. Пример: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Необязательно | Строка | Исходный идентификатор или тип события, если он указан источником. Например, это поле используется для хранения исходного идентификатора события Windows. Это значение используется для получения значения EventType, которое должно иметь только одно из значений, задокументированных для каждой схемы. Пример: 4624 |
| EventOriginalSubType | Необязательно | Строка | Исходный идентификатор или подтип события, если предоставлен источником. Например, это поле используется для хранения исходного типа входа в Систему Windows. Это значение используется для получения значения EventSubType, которое должно иметь только одно из значений, задокументированных для каждой схемы. Пример: 2 |
| EventOriginalResultDetails | Необязательно | Строка | Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventSeverity | Рекомендуемая конфигурация | Enumerated | Серьезность события. Допустимые значения: Informational, Low, Medium или High. |
| EventOriginalSeverity | Необязательно | Строка | Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
| EventProduct | Обязательно | Строка | Продукт, создающий событие. Значение должно быть одним из значений, перечисленных в списке Поставщики и продукты. Пример: Sysmon |
| EventProductVersion | Необязательно | Строка | Версия продукта, создающего событие. Пример: 12.1 |
| EventVendor | Обязательно | Строка | Поставщик продукта, создающего событие. Значение должно быть одним из значений, перечисленных в списке Поставщики и продукты. Пример: Microsoft |
| EventSchema | Обязательно | Строка | Схема, в которую было нормализовано событие. Каждая схема документирует имя схемы. |
| EventSchemaVersion | Обязательно | Строка | Номер версии схемы. В каждой схеме документируется ее текущая версия. |
| EventReportUrl | Необязательно | Строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| EventOwner | Необязательно | Строка | Владелец события, который обычно является отделом или дочерней компанией, в которой она была создана. |
Поля устройства
Роль полей устройства отличается для различных схем и типов событий. Например:
- Для событий сеанса сети поля устройства обычно предоставляют сведения об устройстве, которое создало событие.
- Для событий процесса поля устройства предоставляют сведения на устройстве, на которое выполняется процесс.
Каждый документ схемы определяет роль устройства для схемы.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Dvc | Псевдоним | Строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Это поле может быть псевдонимом полей DvcFQDN, DvcId, DvcHostname или DvcIpAddr. Для облачных источников, если событие не связано с конкретным устройством, указывайте то же значение, что и в поле Event Product. |
| DvcIpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: 45.21.42.12 |
| DvcHostname | Рекомендуемая конфигурация | Hostname (Имя узла) | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: ContosoDc |
| DvcDomain | Рекомендуемая конфигурация | Строка | Домен устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: Contoso |
| DvcDomainType | Условный | Enumerated | Тип DvcDomain. Список разрешенных значений и дополнительных сведений см. в domainType. Примечание. Это поле является обязательным, если используется поле DvcDomain. |
| DvcFQDN | Необязательно | Строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: Contoso\DESKTOP-1282V4DПримечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле DvcDomainType отражает используемый формат. |
| DvcDescription | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| DvcId | Необязательно | Строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | Условный | Enumerated | Тип DvcId. Список разрешенных значений и дополнительных сведений см. в разделе DvcIdType. - MDEidЕсли доступно несколько идентификаторов, используйте первый из списка и сохраните остальные, используя имена полей DvcAzureResourceId и DvcMDEid соответственно. Примечание. Это поле является обязательным, если используется поле DvcId. |
| DvcMacAddr | Необязательно | MAC | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Пример: 00:1B:44:11:3A:B7 |
| DvcZone | Необязательно | Строка | Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. Зона определяется передающим устройством. Пример: Dmz |
| DvcOs | Необязательно | Строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Пример: Windows |
| DvcOsVersion | Необязательно | Строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Пример: 10 |
| DvcAction | Рекомендуемая конфигурация | Строка | Для передающих систем безопасности — действие, предпринимаемое системой (если применимо). Пример: Blocked |
| DvcOriginalAction | Необязательно | Строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcInterface | Необязательно | Строка | Сетевой интерфейс, в котором были фиксируются данные. Обычно это поле относится к активности, связанной с сетью, которая фиксируется промежуточным или касанием устройства. |
| DvcScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcScope | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. DvcScope сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
Другие поля
Обновления схемы
- Поле
EventOwnerбыло добавлено в общие поля 1 декабря 2022 г. и, следовательно, ко всем схемам. - Поле
EventUidбыло добавлено в общие поля 26 декабря 2022 г. и, следовательно, ко всем схемам.
Поставщики и продукты
Для обеспечения согласованности список разрешенных поставщиков и продуктов устанавливается как часть ASIM и может непосредственно не соответствовать значению, отправленному источником (если это применимо).
Сейчас поддерживается список поставщиков и продуктов, используемых в полях EventVendor и EventProduct соответственно:
| Vendor | Продукты |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
— Идентификатор Microsoft Entra - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linu x- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Если вы разрабатываете средство синтаксического анализа для поставщика или продукта, которые не перечислены здесь, обратитесь к команде Microsoft Sentinel , чтобы выделить нового разрешенного поставщика и конструкторов продуктов.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)