Microsoft Sentinel-schema för nätverksnormalisering (äldre version – offentlig förhandsversion)
Schemat för nätverksnormalisering används för att beskriva rapporterade nätverkshändelser och används av Microsoft Sentinel för att aktivera enande analys.
Mer information finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
Den här artikeln gäller version 0.1 av schemat för nätverksnormalisering, som släpptes som en förhandsversion innan ASIM var tillgängligt. Version 0.2.x av schemat för nätverksnormalisering överensstämmer med ASIM och ger andra förbättringar.
Mer information finns i Skillnader mellan schemaversioner för nätverksnormalisering
Terminologi
Följande terminologi används i Microsoft Sentinel-scheman:
| Period | Definition |
|---|---|
| Rapporteringsenhet | Systemet som skickar posterna till Microsoft Sentinel. Det kanske inte är postens ämnessystem. |
| Post | En enhet med data som skickas från rapporteringsenheten. Den här dataenheten kallas ofta för log, eventeller alert, men kan också ha andra typer. |
Datatyper och format
Följande tabell innehåller vägledning för normalisering av datavärden, vilket krävs för normaliserade fält och rekommenderas för andra fält.
| Datatyp | Fysisk typ | Format och värde |
|---|---|---|
| Datum/tid | Något av följande, beroende på vilken inmatningsmetodfunktion som används, i fallande prioritet:
|
Log Analytics datetime-representation. Log Analytics-datum- och tidsrepresentation är liknande till sin natur men skiljer sig från Unix-tidsrepresentation. Se dessa riktlinjer för konvertering. Datum och tid måste justeras för tidszoner. |
| MAC-adress | String | Colon-Hexadecimal notation |
| IP-adress | IP-adress | Schemat har inte separata IPv4- och IPv6-adresser. Alla IP-adressfält kan innehålla antingen en IPv4-adress eller IPv6-adress:
|
| Användare | String | Följande tre användarfält är tillgängliga:
|
| Användar-ID | String | Följande två användar-ID:t stöds för närvarande:
|
| Enhet | String | Följande 3 enhets-/värdkolumner stöds:
|
| Land | String | En sträng med ISO 3166-1 enligt följande prioriteringar:
|
| Region | String | Underindelningsnamnet för land/region med ISO 3166-2 |
| Ort | String | |
| Longitud | Dubbel | ISO 6709-koordinatrepresentation (signerad decimal) |
| Latitud | Dubbel | ISO 6709-koordinatrepresentation (signerad decimal) |
| Hash-algoritm | String | Följande 4 hash-kolumner stöds:
|
| Filtyp | String | Typ av filtyp:
|
Tabellschema för nätverkssessioner
Nedan visas schemat för tabellen nätverkssessioner, version 1.0.0
| Fältnamn | Värdetyp | Exempel | beskrivning | Associerade OSSEM-entiteter |
|---|---|---|---|---|
| EventType | String | Trafik | Typ av händelse som samlas in | Event |
| EventSubType | String | Autentisering | Extra beskrivning av typ, om tillämpligt | Event |
| EventCount | Integer | 10 | Antalet aggregerade händelser, om tillämpligt. | Event |
| EventEndTime | Datum/tid | Se "datatyper" | Tiden då händelsen avslutades | Event |
| EventMessage | sträng | åtkomst nekad | Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten | Event |
| DvcIpAddr | IP-adress | 23.21.23.34 | IP-adressen för enheten som genererar posten | Apparat IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | MAC-adressen för nätverksgränssnittet för rapporteringsenheten som händelsen skickades från. | Apparat Mac |
| DvcHostname | Enhetsnamn (sträng) | syslogserver1.contoso.com | Enhetsnamnet på enheten som genererar meddelandet. | Enhet |
| EventProduct | String | OfficeSharepoint | Produkten som genererar händelsen. | Event |
| EventProductVersion | sträng | 9.0 | Den version av produkten som genererar händelsen. | Event |
| EventResourceId | Enhets-ID (sträng) | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Resurs-ID:t för enheten som genererar meddelandet. | Event |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | En länk till den fullständiga rapporten som skapats av rapporteringsenheten | Event |
| EventVendor | String | Microsoft | Leverantören av produkten som genererar händelsen. | Event |
| EventResult | Multivalue: Success, Partial, Failure, [Empty] (String) | Klart | Resultatet som rapporterats för aktiviteten. Tomt värde när det inte är tillämpligt. | Event |
| EventResultDetails | String | Fel lösenord | Orsak eller information om resultatet som rapporterats i EventResult | Event |
| EventSchemaVersion | Real | 0,1 | Microsoft Sentinel-schemaversion. För närvarande 0.1. | Event |
| EventSeverity | String | Låg | Om den rapporterade aktiviteten har en säkerhetspåverkan anger du hur allvarlig effekten är. | Event |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | Post-ID:t från rapporteringsenheten. | Event |
| EventStartTime | Datum/tid | Se "datatyper" | Den tid då händelsen angavs | Event |
| TimeGenerated | Datum/tid | Se "datatyper" | Den tid då händelsen inträffade, enligt rapportkällans rapporteringskälla. | Anpassat fält |
| EventTimeIngested | Datum/tid | Se "datatyper" | Den tid då händelsen matades in till Microsoft Sentinel. Kommer att läggas till av Microsoft Sentinel. | Event |
| EventUid | Guid (sträng) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Unik identifierare som används av Microsoft Sentinel för att markera en rad. | Event |
| NetworkApplicationProtocol | String | HTTPS | Protokollet för programskiktet som används av anslutningen eller sessionen. | Nätverk |
| DstBytes | heltal | 32455 | Antalet byte som skickas från målet till källan för anslutningen eller sessionen. | Mål |
| SrcBytes | heltal | 46536 | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. | Källa |
| NetworkBytes | heltal | 78991 | Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns ska BytesTotal vara lika med summan. | Nätverk |
| NetworkDirection | Flera värden: Inkommande, Utgående (sträng) | Inkommande | Riktningen för anslutningen eller sessionen, till eller ut ur organisationen. | Nätverk |
| DstGeoCity | String | Burlington | Den ort som är associerad med mål-IP-adressen | Destination Geografiskt |
| DstGeoCountry | Land (sträng) | USA | Det land/den region som är associerad med källans IP-adress | Destination Geografiskt |
| DstDvcHostname | Enhetsnamn (sträng) | victim_pc | Målenhetens enhetsnamn | Mål Enhet |
| DstDvcFqdn | String | victim_pc.contoso.local | Det fullständigt kvalificerade domännamnet för värden där loggen skapades | Destination Enhet |
| DstDomainHostname | sträng | CONTOSO | Målets domän, målvärdens domän (webbplats, domännamn osv.), till exempel för DNS-sökningar eller NS-sökningar | Mål |
| DstInterfaceName | sträng | Microsoft Hyper-V-nätverkskort | Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. | Mål |
| DstInterfaceGuid | sträng | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | GUID för nätverksgränssnittet som användes för autentiseringsbegäran | Mål |
| DstIpAddr | IP-adress | 2001:db8::ff00:42:8329 | IP-adressen för anslutningen eller sessionsmålet, som oftast kallas mål-IP i nätverkspaketet | Destination IP |
| DstDvcIpAddr | IP-adress | 75.22.12.2 | Mål-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet | Destination Apparat IP |
| DstGeoLatitude | Latitud (dubbel) | 44.475833 | Latitud för den geografiska koordinat som är associerad med målets IP-adress | Destination Geografiskt |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | MAC-adressen för nätverksgränssnittet där anslutningen eller sessionen avslutades, som oftast refereras till mål-MAC i nätverkspaketet | Destination MAC |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | Mac-måladressen för en enhet som inte är direkt associerad med nätverkspaketet. | Destination Apparat MAC |
| DstDvcDomain | String | CONTOSO | Målenhetens domän. | Destination Enhet |
| DstPortNumber | Integer | 443 | Målets IP-port. | Destination Port |
| DstGeoRegion | Region (sträng) | Vermont | Den region som är associerad med målets IP-adress | Destination Geografiskt |
| DstResourceId | Enhets-ID (sträng) | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | Målenhetens resurs-ID. | Mål |
| DstNatIpAddr | IP-adress | 2::1 | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med källan. | Mål-NAT, IP |
| DstNatPortNumber | heltal | 443 | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med källan. | Mål-NAT, Port |
| DstUserSid | Användar-SID | S-12-1445 | Användar-ID för den identitet som är associerad med sessionens mål. Vanligtvis används den identitet som används för att autentisera en server. Mer information finns i Datatyper och format. | Destination User |
| DstUserAadId | Sträng (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | Microsoft Entra-kontoobjekt-ID för användaren i slutet av sessionen | Destination User |
| DstUserName | Användarnamn (sträng) | johnd | Användarnamnet för den identitet som är associerad med sessionens mål. | Destination User |
| DstUserUpn | sträng | johnd@anon.com | UPN för den identitet som är associerad med sessionens mål. | Destination User |
| DstUserDomain | sträng | ARBETSGRUPP | Domänen eller datornamnet för kontot vid sessionens mål | Destination User |
| DstZone | String | Dmz | Målets nätverkszon, enligt definitionen av rapporteringsenheten. | Mål |
| DstGeoLongitude | Longitud (dubbel) | -73.211944 | Longitud för den geografiska koordinat som är associerad med målets IP-adress | Destination Geografiskt |
| DvcAction | Flera värden: Tillåt, Neka, Släpp (sträng) | Tillåt | Om den rapporteras av en mellanliggande enhet, till exempel en brandvägg, vidtas åtgärden av enheten. | Enhet |
| DvcInboundInterface | String | eth0 | Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till källenheten. | Enhet |
| DvcOutboundInterface | String | Ethernet-adapter Ethernet 4 | Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till målenheten. | Enhet |
| NetworkDuration | Integer | 1500 | Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen | Nätverk |
| NetworkIcmpCode | Integer | 34 | För ett ICMP-meddelande skriver ICMP-meddelande numeriskt värde (RFC 2780 eller RFC 4443). | Nätverk |
| NetworkIcmpType | String | Målet kan inte nås | För ett ICMP-meddelande skriver ICMP textrepresentation (RFC 2780 eller RFC 4443). | Nätverk |
| DstPackets | heltal | 446 | Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. | Mål |
| SrcPackets | heltal | 6478 | Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. | Källa |
| NetworkPackets | heltal | 0 | Antal paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. | Nätverk |
| HttpRequestTime | Integer | 700 | Hur lång tid det tog att skicka begäran till servern, om tillämpligt. | Http |
| HttpResponseTime | Integer | 800 | Hur lång tid det tog att ta emot ett svar på servern, om tillämpligt. | Http |
| NetworkRuleName | String | AnyAnyDrop | Namnet eller ID:t för regeln som DeviceAction beslutades om | Nätverk |
| NetworkRuleNumber | heltal | 23 | Matchat regelnummer | Nätverk |
| NetworkSessionId | sträng | 172_12_53_32_4322__123_64_207_1_80 | Sessionsidentifieraren som rapporteras av rapporteringsenheten. Till exempel L7-sessionsidentifierare för specifika program efter autentisering | Nätverk |
| SrcGeoCity | String | Burlington | Den ort som är associerad med källans IP-adress | Källa Geografiskt |
| SrcGeoCountry | Land (sträng) | USA | Det land/den region som är associerad med källans IP-adress | Källa Geografiskt |
| SrcDvcHostname | Enhetsnamn (sträng) | skurk | Enhetsnamnet på källenheten | Källa Enhet |
| SrcDvcFqdn | sträng | Villain.malicious.com | Det fullständigt kvalificerade domännamnet för värden där loggen skapades | Källa Enhet |
| SrcDvcDomain | sträng | EVILORG | Domän för den enhet som sessionen initierades från | Källa Enhet |
| SrcDvcOs | String | iOS | Källenhetens operativsystem | Källa Enhet |
| SrcDvcModelName | String | Samsung Galaxy Note | Källenhetens modellnamn | Källa Enhet |
| SrcDvcModelNumber | String | 10,0 | Källenhetens modellnummer | Källa Enhet |
| SrcDvcType | String | Mobilt | Typ av källenhet | Källa Enhet |
| SrcIntefaceName | String | eth01 | Nätverksgränssnittet som används för anslutningen eller sessionen av källenheten. | Källa |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | GUID för det nätverksgränssnitt som används | Källa |
| SrcIpAddr | IP-adress | 77.138.103.108 | DEN IP-adress som anslutningen eller sessionen kommer från. | Källa IP |
| SrcDvcIpAddr | IP-adress | 77.138.103.108 | Käll-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet (samlas in av en provider eller beräknas uttryckligen). | Källa Apparat IP |
| SrcGeoLatitude | Latitud (dubbel) | 44.475833 | Latitud för den geografiska koordinat som är associerad med källans IP-adress | Källa Geografiskt |
| SrcGeoLongitude | Longitud (dubbel) | -73.211944 | Longitud för den geografiska koordinat som är associerad med källans IP-adress | Källa Geografiskt |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | MAC-adressen för nätverksgränssnittet som anslutningens od-session kommer från. | Källa Mac |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | Mac-källadressen för en enhet som inte är direkt associerad med nätverkspaketet. | Källa Apparat Mac |
| SrcPortNumber | Integer | 2335 | DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. | Källa Port |
| SrcGeoRegion | Region (sträng) | Vermont | Regionen inom ett land/en region som är associerad med källans IP-adress | Källa Geografiskt |
| SrcResourceId | String | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Resurs-ID:t för enheten som genererar meddelandet. | Källa |
| SrcNatIpAddr | IP-adress | 4.3.2.1 | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med målet. | Nat-källa, IP |
| SrcNatPortNumber | Integer | 345 | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med målet. | Nat-källa, Port |
| SrcUserSid | Användar-ID (sträng) | S-15-1445 | Användar-ID för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. Mer information finns i Datatyper och format. | Källa User |
| SrcUserAadId | Sträng (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | Microsoft Entra-kontoobjekt-ID för användaren i slutet av sessionen | Källa User |
| SrcUserName | Användarnamn (sträng) | guppa | Användarnamnet för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. Mer information finns i Datatyper och format. | Källa User |
| SrcUserUpn | sträng | bob@alice.com | UPN för kontot som initierar sessionen | Källa User |
| SrcUserDomain | sträng | SKRIVBORD | Domänen för kontot som initierar sessionen | Källa User |
| SrcZone | String | Tryck | Källans nätverkszon enligt definitionen av rapporteringsenheten. | Källa |
| NetworkProtocol | String | TCP | IP-protokollet som används av anslutningen eller sessionen. Vanligtvis TCP, UDP eller ICMP | Nätverk |
| CloudAppName | String | Namnet på målprogrammet för ett HTTP-program som identifieras av en proxy. | Moln | |
| CloudAppId | String | 124 | ID:t för målprogrammet för ett HTTP-program som identifierats av en proxy. Det här värdet är vanligtvis specifikt för den proxy som används. | Moln |
| CloudAppOperation | String | DeleteFile | Åtgärden som användaren utförde i kontexten för målprogrammet för ett HTTP-program som identifierats av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. | Moln |
| CloudAppRiskLevel | String | 3 | Den risknivå som är associerad med ett HTTP-program som identifieras av en proxy. Det här värdet är vanligtvis specifikt för den proxy som används. | Moln |
| Filnamn | String | ImNotMalicious.exe | Filnamnet som överförs via nätverksanslutningarna för protokoll, till exempel FTP och HTTP, som anger filnamnsinformationen. | Fil |
| FilePath | String | C:\Malicious\ImNotMalicious.exe | Den fullständiga sökvägen, inklusive filnamnet, för filen | Fil |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | MD5-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. | Fil |
| FileHashSha1 | String | 491AE3... C299821476F4 | SHA1-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. | Fil |
| FileHashSha256 | String | 9B8F8EDB... C129976F03 | SHA256-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. | Fil |
| FileHashSha512 | String | 5E127D... F69F73F01F361 | SHA512-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. | Fil |
| FileExtension | String | exe | Typen av fil som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. | Fil |
| FileMimeType | String | application/msword | MIME-typen för filen som överförs via nätverksanslutningarna för protokoll som FTP och HTTP | Fil |
| FileSize | Integer | 23500 | Filstorleken, i byte, för filen som överförs via nätverksanslutningarna för protokoll. | Fil |
| HttpVersion | String | 2.0 | HTTP-begärandeversionen för HTTP/HTTPS-nätverksanslutningar. | Http |
| HttpRequestMethod | String | GET | HTTP-metoden för HTTP/HTTPS-nätverkssessioner. | Http |
| HttpStatusCode | String | 404 | HTTP-statuskoden för HTTP/HTTPS-nätverkssessioner. | Http |
| HttpContentType | String | multipart/form-data; boundary=something | Innehållstypen HTTP-svarsrubrik för HTTP/HTTPS-nätverkssessioner. | Http |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | HTTP-referenshuvudet för HTTP/HTTPS-nätverkssessioner. | Http |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, som Gecko) Chrome/83.0.4103.97 Safari/537.36 | HTTP-användaragentens huvud för HTTP/HTTPS-nätverkssessioner. | Http |
| HttpRequestXff | String | 120.12.41.1 | HTTP X-Forwarded-For-huvudet för HTTP/HTTPS-nätverkssessioner. | Http |
| UrlCategory | String | Sökmotorer | Den definierade gruppering av en URL, eventuellt baserat på domänen i URL:en, som är relaterad till vad innehållet är. Till exempel: vuxen, nyheter, reklam, parkerade domäner och så vidare.) | URL |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | HTTP-begärande-URL:en för HTTP/HTTPS-nätverkssessioner. | URL |
| UrlHostname | String | contoso.com | Domändelen av en HTTP-begärande-URL för HTTP/HTTPS-nätverkssessioner. | URL |
| ThreatCategory | String | Trojan | Kategorin för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerad med den här nätverkssessionen. | Hot |
| ThreatId | String | Tr.124 | ID:t för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerat med den här nätverkssessionen. | Hot |
| ThreatName | String | EICAR-testfil | Namnet på det hot eller skadlig kod som identifierats | Hot |
| AdditionalFields | Dynamisk (JSON-påse) | { Egenskap1: "val1", Egenskap 2: "val2" } |
När ingen kolumn i schemat matchar kan andra fält lagras i en JSON-påse. För frågeparsning rekommenderar vi att du höjer upp ytterligare kolumner i stället för att använda en JSON-påse som att paketera data i JSON-kod försämrar frågeprestandan. |
Anpassat fält |
Skillnader mellan version 0.1 och version 0.2
Den ursprungliga versionen av normaliseringsschemat för Microsoft Sentinel-nätverkssessionen, version 0.1, släpptes som en förhandsversion innan ASIM var tillgängligt.
Skillnader mellan version 0.1, som beskrivs i den här artikeln och version 0.2.x är:
- I version 0.2 har enande och källspecifika parsernamn ändrats för att överensstämma med en standardkonvention för ASIM-namngivning.
- Version 0.2 lägger till specifika riktlinjer och enande parsare för specifika enhetstyper.
I följande avsnitt beskrivs hur version 0.2.x skiljer sig åt för specifika fält.
Fält har lagts till i version 0.2
Följande fält lades till i version 0.2.x och finns inte i version 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- URL
Nyligen aliaserade fält i version 0.2
Följande fält är nu alias i version 0.2.x med introduktionen av ASIM:
| Fält i version 0.1 | Alias i version 0.2 |
|---|---|
| Sessions-ID | NetworkSessionId |
| Varaktighet | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | DstUsername |
| Värdnamn | DstHostname |
| UserAgent | HttpUserAgent |
Ändrade fält i version 0.2
Följande fält räknas upp i version 0.2.x och kräver ett specifikt värde från en angiven lista.
- EventType
- EventResultDetails
- EventSeverity
Namn på fält i version 0.2
Följande fält har bytt namn i version 0.2.x:
I version 0.2 använder du de inbyggda Log Analytics-fälten:
Observera att det
ingestion_time()är en KQL-funktion och inte ett fältnamn.Fält i version 0.1 Har bytt namn i version 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Har bytt namn för att anpassa till förbättringar i ASIM och OSSEM:
Fält i version 0.1 Har bytt namn i version 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Har bytt namn för att återspegla att nätverkssessionens mål inte behöver vara en molntjänst:
Fält i version 0.1 Har bytt namn i version 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Har bytt namn för att ändra ärendet och justera med ASIM-hanteringen av användarentiteten:
Fält i version 0.1 Har bytt namn i version 0.2 DstUserName DstUsername SrcUserName SrcUsername Har bytt namn för att bättre överensstämma med ASIM-enhetentiteten och tillåta andra resurs-ID:n än Azures:
Fält i version 0.1 Har bytt namn i version 0.2 DstResourceId SrcDvcAzureRerouceId SrcResourceId SrcDvcAzureRerouceId Omdöpt för att ta bort strängen
Dvcfrån fältnamn, eftersom hanteringen i version 0.1 var inkonsekvent:Fält i version 0.1 Har bytt namn i version 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Har bytt namn för att anpassa till vägledningen för ASIM-filrepresentation:
Fält i version 0.1 Har bytt namn i version 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Fält i version 0.2 har tagits bort
Följande fält finns endast i version 0.1 och togs bort i version 0.2.x:
| Anledning | Borttagna fält |
|---|---|
Tas bort eftersom dubbletter finns, utan strängen Dvc i fältnamnet |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Har tagits bort för att justera med ASIM-hanteringen av URL:er | – UrlHostname |
| Tas bort eftersom dessa fält vanligtvis inte tillhandahålls som en del av nätverkssessionshändelser. Om en händelse innehåller dessa fält använder du processhändelseschemat för att förstå hur du beskriver enhetsegenskaper. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| Har tagits bort för att justera med vägledning för ASIM-filrepresentation | – FilePath - FileExtension |
| Borttaget eftersom det här fältet anger att ett annat schema ska användas, till exempel autentiseringsschemat. | – CloudAppOperation |
Tas bort när den dupliceras DstHostname |
- DstDomainHostname |
Nästa steg
Mer information finns i:
- Normalisering i Microsoft Sentinel
- Schemareferens för Microsoft Sentinel-autentiseringsnormalisering (offentlig förhandsversion)
- Schemareferens för Microsoft Sentinel-filhändelsenormalisering (offentlig förhandsversion)
- Microsoft Sentinel DNS-normaliseringsschemareferens
- Schemareferens för Microsoft Sentinel-processhändelsenormalisering
- Schemareferens för microsoft Sentinel-registerhändelsenormalisering (offentlig förhandsversion)