Схема нормализации сети Microsoft Sentinel (устаревшая версия — общедоступная предварительная версии)
Схема нормализации сети применяется для описания сообщаемых сетевых событий и используется Microsoft Sentinel для включения единого анализа.
Дополнительные сведения см. в статье Нормализация и информационная модель повышенной безопасности (ASIM).
Внимание
Эта статья относится к версии 0.1 схемы нормализации сети, которая была выпущена как предварительная версия до появления ASIM. Версия 0.2.x схемы нормализации сети соответствует ASIM и предоставляет другие улучшения.
Дополнительные сведения см. в разделе Различия между версиями схемы нормализации сети.
Терминология
В схемах Microsoft Sentinel используется следующая терминология:
| Термин | Определение |
|---|---|
| Устройство отчетов | Система, отправляющая записи в Microsoft Sentinel. Она не обязательно должна быть предметной системой записи. |
| Запись | Единица данных, отправляемых с устройства составления отчетов. Эту единицу данных часто называют log, event или alert, но у нее могут быть и другие типы. |
Типы и форматы данных
В приведенной ниже таблице представлено руководство по нормализации значений данных, что необходимо для нормализованных полей и рекомендуется для полей других типов.
| Тип данных | Физический тип | Формат и значение |
|---|---|---|
| Date/Time | Один из указанных ниже вариантов (в зависимости от используемого способа приема) в порядке убывания.
|
Представление даты и времени в Log Analytics. Представление даты и времени Log Analytics похоже на характер, но отличается от представления времени Unix. См. рекомендации по преобразованию. Дата и время должны быть скорректированы с учетом часовых поясов. |
| MAC-адрес | Строка | Шестнадцатеричная нотация с двоеточиями |
| IP Address | IP-адрес | Схема не имеет отдельных адресов IPv4 и IPv6. Любое поле IP-адреса может содержать либо адрес IPv4, либо IPv6.
|
| Пользователь | Строка | Доступны следующие три поля пользователя:
|
| Код пользователя | Строка | В настоящее время поддерживаются следующие 2 идентификатора пользователя:
|
| Устройство | Строка | Поддерживаются следующие 3 столбца устройства/узла:
|
| Страна/регион | Строка | Строка в формате ISO 3166-1 в соответствии со следующими приоритетами:
|
| Регион | Строка | Имя подразделения страны или региона с использованием ISO 3166-2 |
| Город | Строка | |
| Долгота | Двойной | Представление координаты ISO 6709 (десятичное число со знаком) |
| Широта | Двойной | Представление координаты ISO 6709 (десятичное число со знаком) |
| Хэш-алгоритм | Строка | Поддерживаются следующие 4 хэш-столбца:
|
| Тип файла | Строка | Тип формата файла:
|
Схема таблицы сетевых сеансов
Ниже приведена схема таблицы сетевых сеансов версии 1.0.0
| Имя поля | Тип значения | Пример | Description | Связанные сущности ОССЕМ |
|---|---|---|---|---|
| EventType | Строка | Трафик | Тип собираемого события | Мероприятие |
| EventSubType | Строка | Проверка подлинности | Дополнительное описание типа, если применимо | Мероприятие |
| EventCount | Целое | 10 | Число агрегированных событий, если применимо. | Мероприятие |
| EventEndTime | Дата и время | См. раздел "Типы данных" | Время окончания события | Мероприятие |
| EventMessage | строка | доступ запрещен | Общее сообщение или описание, которое либо включается в запись, либо создается из записи | Мероприятие |
| DvcIpAddr | IP-адрес | 23.21.23.34 | IP-адрес устройства, создающего запись | устройство; IP-адрес |
| DvcMacAddr | Строка | 06:10:9f:eb:8f:14 | MAC-адрес сетевого интерфейса устройства составления отчетов, с которого было отправлено событие. | устройство; Mac |
| DvcHostname | Имя устройства (строка) | syslogserver1.contoso.com | Имя устройства, создающего сообщение. | Устройство |
| EventProduct | Строка | OfficeSharepoint | Продукт, создающий событие. | Мероприятие |
| EventProductVersion | строка | 9.0 | Версия продукта, создающего событие. | Мероприятие |
| EventResourceId | Идентификатор устройства (строка) | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Идентификатор ресурса устройства, создающего сообщение. | Мероприятие |
| EventReportUrl | Строка | https://192.168.1.1/repoerts/ae3-56.htm | Ссылка на полный отчет, созданный устройством составления отчетов | Мероприятие |
| EventVendor | Строка | Microsoft | Поставщик продукта, создающего событие. | Мероприятие |
| EventResult | Несколько значений: успешное завершение, частично выполненная строка, сбой, [пусто] (строка) | Удачное завершение | Результат, сообщаемый для действия. Пустое значение, если неприменимо. | Мероприятие |
| EventResultDetails | Строка | Неверный пароль | Причина или подробные сведения для результата, полученного в EventResult | Мероприятие |
| EventSchemaVersion | Вещественное число | 0,1 | Версия схемы Microsoft Sentinel. В данный момент: 0.1. | Мероприятие |
| EventSeverity | Строка | Низкая | Если полученное действие воздействует на безопасность, говорит о серьезности такого воздействия. | Мероприятие |
| EventOriginalUid | Строка | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | Идентификатор записи с устройства составления отчетов. | Мероприятие |
| EventStartTime | Дата и время | См. раздел "Типы данных" | Время начала события | Мероприятие |
| TimeGenerated | Дата и время | См. раздел "Типы данных" | Время возникновения события, сообщаемое источником составления отчетов. | Настраиваемое поле |
| EventTimeIngested | Дата и время | См. раздел "Типы данных" | Время приема события в Microsoft Sentinel. Будет добавлен Microsoft Sentinel. | Мероприятие |
| EventUid | Guid (строка) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Уникальный идентификатор, используемый Microsoft Sentinel для пометки строки. | Мероприятие |
| NetworkApplicationProtocol | Строка | HTTPS | Протокол на уровне приложения, используемый соединением или сеансом. | Network |
| DstBytes | INT | 32455 | Число байтов, отправленных от места назначения к источнику для соединения или сеанса. | Назначение |
| SrcBytes | INT | 46536 | Число байтов, отправленных от источника к месту назначения для соединения или сеанса. | Исходный код |
| NetworkBytes | INT | 78991 | Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. | Network |
| NetworkDirection | Несколько значений: входящий трафик, исходящий трафик (строка) | Входящий трафик | Направление соединения или сеанса в организацию или из нее. | Network |
| DstGeoCity | Строка | Берлингтон | Город, связанный с IP-адресом назначения | Назначение, Геообъект |
| DstGeoCountry | Country (строка) | USA | Страна или регион, связанный с исходным IP-адресом | Назначение, Геообъект |
| DstDvcHostname | Имя устройства (строка) | victim_pc | Имя устройства назначения | Назначение Устройство |
| DstDvcFqdn | Строка | victim_pc.contoso.local | Полное доменное имя узла, на котором был создан журнал | Назначение, Устройство |
| DstDomainHostname | строка | CONTOSO | Домен назначения, домен узла назначения (веб-сайт, имя домена и т. д.), например для уточняющих запросов DNS или NS. | Назначение |
| DstInterfaceName | строка | Сетевой адаптер Microsoft Hyper-V | Сетевой интерфейс, используемый устройством назначения для подключения или сеанса. | Назначение |
| DstInterfaceGuid | строка | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | Идентификатор GUID сетевого интерфейса, который использовался для запроса проверки подлинности | Назначение |
| DstIpAddr | IP-адрес | 2001:db8::ff00:42:8329 | IP-адрес подключения или назначения сеанса, который чаще всего называется IP назначения в сетевом пакете. | Назначение, IP-адрес |
| DstDvcIpAddr | IP-адрес | 75.22.12.2 | IP-адрес назначения устройства, который не связан непосредственно с сетевым пакетом | Назначение, устройство; IP-адрес |
| DstGeoLatitude | Широта (Double) | 44.475833 | Широта географической координаты, связанная с IP-адресом назначения | Назначение, Геообъект |
| DstMacAddr | Строка | 06:10:9f:eb:8f:14 | MAC-адрес сетевого интерфейса, в котором подключение или сеанс прерваны, чаще всего называемые конечным MAC в сетевом пакете | Назначение, MAC |
| DstDvcMacAddr | Строка | 06:10:9f:eb:8f:14 | Конечный MAC-адрес устройства, который не связан непосредственно с сетевым пакетом. | Назначение, устройство; MAC |
| DstDvcDomain | Строка | CONTOSO | Домен устройства назначения. | Назначение, Устройство |
| DstPortNumber | Целое | 443 | Порт назначения. | Назначение, Порт |
| DstGeoRegion | Region (строка) | Вермонт | Регион, связанный с IP-адресом назначения | Назначение, Геообъект |
| DstResourceId | Идентификатор устройства (строка) | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | Идентификатор ресурса устройства назначения. | Назначение |
| DstNatIpAddr | IP-адрес | 2::1 | Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет IP-адрес, используемый устройством NAT для связи с источником. | NAT назначения, IP-адрес |
| DstNatPortNumber | INT | 443 | Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет порт, используемый устройством NAT для связи с источником. | NAT назначения, Порт |
| DstUserSid | Идентификатор безопасности пользователя | S-12-1445 | Идентификатор пользователя, связанный с назначением сеанса. Как правило, этот идентификатор используется для проверки подлинности сервера. Дополнительные сведения см. в статье Типы и форматы данных. | Назначение, User |
| DstUserAadId | Строка (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | Идентификатор объекта учетной записи Microsoft Entra пользователя в конце сеанса | Назначение, User |
| DstUserName | Username (строка) | johnd | Имя пользователя идентификатора, связанное с назначением сеанса. | Назначение, User |
| DstUserUpn | строка | johnd@anon.com | Имя участника-пользователя идентификатора, связанное с назначением сеанса. | Назначение, User |
| DstUserDomain | строка | РАБОЧАЯ ГРУППА | Домен или имя компьютера учетной записи в месте назначения сеанса | Назначение, User |
| DstZone | Строка | Dmz | Зона сети назначения, определенная на устройстве составления отчетов. | Назначение |
| DstGeoLongitude | Долгота (Double) | -73.211944 | Долгота географической координаты, связанная с IP-адресом назначения | Назначение, Геообъект |
| DvcAction | Несколько значений: разрешить, запретить, удалить (строка) | Разрешить | Если передается промежуточным устройством, например брандмауэром, то это действие, предпринимаемое устройством. | Устройство |
| DvcInboundInterface | Строка | eth0 | Если сообщение передается промежуточным устройством, например брандмауэром, то это сетевой интерфейс, используемый им для подключения к исходному устройству. | Устройство |
| DvcOutboundInterface | Строка | Адаптер Ethernet — Ethernet 4 | Если сообщение передается промежуточным устройством, например брандмауэром, то это сетевой интерфейс, используемый им для подключения к устройству назначения. | Устройство |
| NetworkDuration | Целое | 1500 | Время в миллисекундах, необходимое для завершения сеанса или подключения сети | Network |
| NetworkIcmpCode | Целое | 34 | Для сообщения ICMP — числовое значение типа сообщения ICMP (RFC 2780 или RFC 4443). | Network |
| NetworkIcmpType | Строка | Объект назначения недоступен | Для сообщения ICMP — текстовое представление типа сообщения ICMP (RFC 2780 или RFC 4443). | Network |
| DstPackets | INT | 446 | Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. | Назначение |
| SrcPackets | INT | 6478 | Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. | Исходный код |
| NetworkPackets | INT | 0 | Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, значение BytesTotal должно быть равно их сумме. | Network |
| HttpRequestTime | Целое | 700 | Время, затраченное на отправку запроса на сервер (если применимо). | Http |
| HttpResponseTime | Целое | 800 | Время, затраченное на получение ответа на сервере (если применимо). | Http |
| NetworkRuleName | Строка | AnyAnyDrop | Имя или идентификатор правила, по которому было принято решение DeviceAction | Network |
| NetworkRuleNumber | INT | 23 | Номер правила соответствия | Network |
| NetworkSessionId | строка | 172_12_53_32_4322__123_64_207_1_80 | Идентификатор сеанса, сообщаемый устройством составления отчетов. Например, идентификатор сеанса L7 для конкретных приложений после проверки подлинности | Network |
| SrcGeoCity | Строка | Берлингтон | Город, связанный с исходным IP-адресом | Источник, Геообъект |
| SrcGeoCountry | Country (строка) | USA | Страна или регион, связанный с исходным IP-адресом | Источник, Геообъект |
| SrcDvcHostname | Имя устройства (строка) | villain | Имя исходного устройства | Источник, Устройство |
| SrcDvcFqdn | строка | Villain.malicious.com | Полное доменное имя узла, на котором был создан журнал | Источник, Устройство |
| SrcDvcDomain | строка | EVILORG | Домен устройства, с которого был инициирован сеанс | Источник, Устройство |
| SrcDvcOs | Строка | iOS | ОС исходного устройства | Источник, Устройство |
| SrcDvcModelName | Строка | Samsung Galaxy Note | Имя модели исходного устройства | Источник, Устройство |
| SrcDvcModelNumber | Строка | 10.0 | Номер модели исходного устройства | Источник, Устройство |
| SrcDvcType | Строка | Мобильные службы | Тип исходного устройства | Источник, Устройство |
| SrcIntefaceName | Строка | eth01 | Сетевой интерфейс, используемый исходным устройством для подключения или сеанса. | Исходный код |
| SrcInterfaceGuid | Строка | 46ad544b-eaf0-47ef-827c-266030f545a6 | Идентификатор GUID используемого сетевого интерфейса | Исходный код |
| SrcIpAddr | IP-адрес | 77.138.103.108 | IP-адрес, с которого поступило соединение или сеанс. | Источник, IP-адрес |
| SrcDvcIpAddr | IP-адрес | 77.138.103.108 | Исходный IP-адрес устройства, не связанного непосредственно с сетевым пакетом (полученный поставщиком или явным образом вычисленный). | Источник, устройство; IP-адрес |
| SrcGeoLatitude | Широта (Double) | 44.475833 | Широта географической координаты, связанная с исходным IP-адресом | Источник, Геообъект |
| SrcGeoLongitude | Долгота (Double) | -73.211944 | Долгота географической координаты, связанная с исходным IP-адресом | Источник, Геообъект |
| SrcMacAddr | Строка | 06:10:9f:eb:8f:14 | MAC-адрес сетевого интерфейса, из которого создан сеанс OD. | Источник, Mac |
| SrcDvcMacAddr | Строка | 06:10:9f:eb:8f:14 | Исходный MAC-адрес устройства, который не связан непосредственно с сетевым пакетом. | Источник, устройство; Mac |
| SrcPortNumber | Целое | 2335 | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. | Источник, Порт |
| SrcGeoRegion | Region (строка) | Вермонт | Регион в стране или регионе, связанном с исходным IP-адресом | Источник, Геообъект |
| SrcResourceId | Строка | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Идентификатор ресурса устройства, создающего сообщение. | Исходный код |
| SrcNatIpAddr | IP-адрес | 4.3.2.1 | Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет IP-адрес, используемый устройством NAT для связи с пунктом назначения. | Источник NAT, IP-адрес |
| SrcNatPortNumber | Целое | 345 | Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет порт, используемый устройством NAT для связи с пунктом назначения. | Источник NAT, Порт |
| SrcUserSid | Идентификатор пользователя (строка) | S-15-1445 | Идентификатор пользователя, связанный с источником сеанса. Как правило, пользователь выполняет действие в клиенте. Дополнительные сведения см. в статье Типы и форматы данных. | Источник, User |
| SrcUserAadId | Строка (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | Идентификатор объекта учетной записи Microsoft Entra пользователя в исходном конце сеанса | Источник, User |
| SrcUserName | Username (строка) | bob | Имя пользователя, связанный с источником сеанса. Как правило, пользователь выполняет действие в клиенте. Дополнительные сведения см. в статье Типы и форматы данных. | Исходный код User |
| SrcUserUpn | строка | bob@alice.com | Имя участника-пользователя учетной записи, из которой запускается сеанс | Источник, User |
| SrcUserDomain | строка | ПК | Домен для учетной записи, из которой запускается сеанс | Источник, User |
| SrcZone | Строка | Тематический поиск | Зона сети источника, определенная на устройстве составления отчетов. | Исходный код |
| NetworkProtocol | Строка | TCP | IP-протокол, используемый соединением или сеансом. Как правило, это TCP, UDP или ICMP. | Network |
| CloudAppName | Строка | Имя целевого приложения для HTTP-приложения, определяемое прокси-сервером. | Облако | |
| CloudAppId | Строка | 124 | Идентификатор целевого приложения для HTTP-приложения, определяемый прокси-сервером. Это значение обычно относится к используемому прокси-серверу. | Облако |
| CloudAppOperation | Строка | DeleteFile | Операция, выполненная пользователем в контексте целевого приложения для HTTP-приложения, определяемая прокси-сервером. Это значение обычно относится к используемому прокси-серверу. | Облако |
| CloudAppRiskLevel | Строка | 3 | Уровень риска, связанный с HTTP-приложением, определяемый прокси-сервером. Это значение обычно относится к используемому прокси-серверу. | Облако |
| FileName | Строка | ImNotMalicious.exe | Имя файла, передаваемого по сетевым подключениям для таких протоколов, как FTP и HTTP, которые предоставляют сведения об имени файла. | Файлы |
| FilePath | Строка | C:\Malicious\ImNotMalicious.exe | Полный путь, включая имя самого файла | Файлы |
| FileHashMd5 | Строка | 51BC68715FC7C109DCEA406B42D9D78F | Значение хэша MD5 для файла, переданного по сетевым подключениям для протоколов. | Файлы |
| FileHashSha1 | Строка | 491AE3…C299821476F4 | Значение хэша SHA1 для файла, переданного по сетевым подключениям для протоколов. | Файлы |
| FileHashSha256 | Строка | 9B8F8EDB…C129976F03 | Значение хэша SHA256 для файла, переданного по сетевым подключениям для протоколов. | Файлы |
| FileHashSha512 | Строка | 5E127D…F69F73F01F361 | Значение хэша SHA512 для файла, переданного по сетевым подключениям для протоколов. | Файлы |
| FileExtension | Строка | exe | Тип файла, передаваемого по сетевым подключениям для таких протоколов, как FTP и HTTP. | Файлы |
| FileMimeType | Строка | application/msword | MIME-тип файла, передаваемого по сетевым подключениям для таких протоколов, как FTP и HTTP | Файлы |
| FileSize | Целое | 23500 | Размер файла в байтах, переданного по сетевым подключениям для протоколов. | Файлы |
| HttpVersion | Строка | 2.0 | Версия HTTP-запроса для сетевых подключений HTTP/HTTPS. | Http |
| HttpRequestMethod | Строка | GET | Метод HTTP для сетевых сеансов HTTP/HTTPS. | Http |
| HttpStatusCode | Строка | 404 | Код состояния HTTP для сетевых сеансов HTTP/HTTPS. | Http |
| HttpContentType | Строка | multipart/form-data; boundary=something | Заголовок типа контента ответа HTTP для сетевых сеансов HTTP/HTTPS. | Http |
| HttpReferrerOriginal | Строка | https://developer.mozilla.org/en-US/docs/Web/JavaScript | Заголовок источника HTTP-ссылки для сетевых сеансов HTTP/HTTPS. | Http |
| HttpUserAgentOriginal | Строка | Mozilla/5.0 (Windows NT 10.0; WOW64), AppleWebKit/537.36 (KHTML, например, Gecko), Chrome/83.0.4103.97, Safari/537.36 | Заголовок HTTP-агента пользователя для сетевых сеансов HTTP/HTTPS. | Http |
| HttpRequestXff | Строка | 120.12.41.1 | Заголовок X-Forwarded-For для сетевых сеансов HTTP/HTTPS. | Http |
| UrlCategory | Строка | Поисковые системы | Определенная группа URL-адресов, которая может быть основана на домене из URL-адреса, в зависимости от содержимого. Примеры: “материалы для взрослых”, “новости”, “реклама”, “приостановленные домены” и т. д. | URL-адрес |
| UrlOriginal | Строка | https:// contoso.com/fo/?k=v&q=u#f | URL-адрес HTTP-запроса для сетевых сеансов HTTP/HTTPS. | URL |
| UrlHostname | Строка | contoso.com | Доменная часть URL-адреса HTTP-запроса для сетевых сеансов HTTP/HTTPS. | URL |
| ThreatCategory | Строка | Trojan | Категория угрозы, определяемая системой безопасности, например шлюзом безопасности IP-адресов, и связанная с этим сетевым сеансом. | Угроза |
| ThreatId | Строка | Tr.124 | Идентификатор угрозы, определяемый системой безопасности, например шлюзом безопасности IP-адресов, и связанный с этим сетевым сеансом. | Угроза |
| ThreatName | Строка | Тестовый файл EICAR | Имя обнаруженной угрозы или вредоносной программы | Угроза |
| AdditionalFields | Dynamic (контейнер JSON) | { Свойство1: "val1", Свойство2: "val2", } |
Если соответствующий столбец в схеме не совпадает, другие поля могут храниться в контейнере JSON. Для синтаксического анализа во время запроса рекомендуем повышать уровень дополнительных столбцов, вместо того чтобы использовать контейнер JSON, так как упаковка данных в код JSON приведет к снижению производительности запросов. |
Настраиваемое поле |
Различия между версией 0.1 и версией 0.2
Исходная версия схемы нормализации сетевого сеанса Microsoft Sentinel версии 0.1 была выпущена как предварительная версия до появления ASIM.
Различия между версией 0.1, описанной в этой статье, и версией 0.2.x включают:
- В версии 0.2 имена объединяющего и относящегося к источнику средств синтаксического анализа были изменены в соответствии по стандартным соглашением об именовании ASIM.
- В версии 0.2 добавлены конкретные рекомендации и объединяющие средства синтаксического анализа для работы с конкретными типами устройств.
В следующих разделах описывается, как отличается версия 0.2.x для определенных полей.
Поля, добавленные в версии 0.2
Следующие поля были добавлены в версии 0.2.x и не существуют в версии 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- URL
Новые псевдонимы полей в версии 0.2
Следующие поля теперь псевдонимируются в версии 0.2.x с введением ASIM:
| Поле в версии 0.1 | Псевдоним в версии 0.2 |
|---|---|
| ИД сеанса | NetworkSessionId |
| Duration | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | DstUsername |
| Hostname (Имя узла) | DstHostname |
| UserAgent | HttpUserAgent |
Поля, измененные в версии 0.2
Следующие поля перечисляются в версии 0.2.x и требуют определенного значения из предоставленного списка.
- EventType
- EventResultDetails
- EventSeverity
Поля, переименованные в версии 0.2
Следующие поля были переименованы в версии 0.2.x:
В версии 0.2 используйте встроенные поля Log Analytics:
Обратите внимание, что
ingestion_time()является функцией KQL, а не именем поля.Поле в версии 0.1 Переименовано в версии 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Переименовано, чтобы соответствовать улучшениям в ASIM и OSSEM:
Поле в версии 0.1 Переименовано в версии 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Переименовано, чтобы отразить, что назначение сетевого сеанса не обязательно должно быть облачной службой:
Поле в версии 0.1 Переименовано в версии 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Переименовано для изменения регистра и согласования с обработкой сущности пользователя в ASIM:
Поле в версии 0.1 Переименовано в версии 0.2 DstUserName DstUsername SrcUserName SrcUsername Переименовано для согласования с сущностью устройства в ASIM и разрешения идентификаторов ресурсов, отличных от Azure:
Поле в версии 0.1 Переименовано в версии 0.2 DstResourceId SrcDvcAzureRerouceId SrcResourceId SrcDvcAzureRerouceId Переименовано для удаления строки
Dvcиз имен полей, так как в версии 0.1 было нарушено единообразие:Поле в версии 0.1 Переименовано в версии 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Переименовано в соответствии с рекомендациями по представлению файла в ASIM:
Поле в версии 0.1 Переименовано в версии 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Поля, удаленные в версии 0.2
Следующие поля существуют только в версии 0.1 и удалены в версии 0.2.x:
| Причина | Удаленные поля |
|---|---|
Удалено, так как существуют дубликаты, без строки Dvc в имени поля |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Удалено для согласования с обработкой URL-адресов в ASIM | - UrlHostname |
| Удалено, так как эти поля обычно не предоставляются как часть событий сетевого сеанса. Если событие включает эти поля, используйте схему событий процесса, чтобы понять, как описать свойства устройства. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| Удалено в соответствии с рекомендациями по представлению файла в ASIM | - FilePath - FileExtension |
| Удалено, так как это поле указывает, что следует использовать другую схему, например схему проверки подлинности. | - CloudAppOperation |
Удалено как дубликат DstHostname |
- DstDomainHostname |
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Нормализация в Microsoft Sentinel
- Справочник по схеме нормализации проверки подлинности Microsoft Sentinel (общедоступная предварительная версия)
- Справочник по схеме нормализации событий файлов Microsoft Sentinel (общедоступная предварительная версия)
- Справочник по схеме нормализации DNS Microsoft Sentinel
- Справочник по схеме нормализации событий процессов Microsoft Sentinel
- Справочник по схеме нормализации событий реестра Microsoft Sentinel (общедоступная предварительная версия)