Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
Ein Schema für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM) ist ein Satz von Feldern, die eine Aktivität darstellen. Die Verwendung der Felder eines normalisierten Schemas in einer Abfrage stellt sicher, dass die Abfrage mit jeder normalisierten Quelle verwendet werden kann.
Informationen zu Schemas in der ASIM-Architektur finden Sie im ASIM-Architekturdiagramm.
Schemaverweise beschreiben die Felder, die jedes Schema umfasst. In ASIM sind derzeit die folgenden Schemas definiert:
| Schema | Version | Status |
|---|---|---|
| Überwachungsereignis | 0,1 | Vorschau |
| Authentifizierungsereignis | 0.1.3 | Vorschau |
| DNS-Aktivität | 0.1.7 | Vorschau |
| DHCP-Aktivität | 0,1 | Vorschau |
| Dateiaktivität | 0.2.1 | Vorschau |
| Netzwerksitzung | 0.2.6 | Vorschau |
| Prozessereignis | 0.1.4 | Vorschau |
| Registrierungsereignis | 0.1.2 | Vorschau |
| Benutzerverwaltung | 0,1 | Vorschau |
| Websitzung | 0.2.6 | Vorschau |
Wichtig
ASIM-Schemas und -Parser befinden sich derzeit in der Vorschauversion. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Schemakonzepte
Die folgenden Konzepte helfen Ihnen, die Schemaverweisdokumente zu verstehen und erweitern das Schema auf normalisierte Weise, falls Ihre Daten Informationen enthalten, die das Schema nicht abdeckt.
| Konzept | BESCHREIBUNG |
|---|---|
| Feldnamen | Der Kern jedes Schemas sind die Feldnamen. Feldnamen lassen sich in folgende Gruppen einordnen: – Felder, die allen Schemas gemeinsam sind. – Felder, die für ein Schema spezifisch sind. – Felder, die Entitäten darstellen, z. B. Benutzer, die am Schema mitwirken. Felder, die Entitäten darstellen, sind in allen Schemas ähnlich. Wenn Quellen Felder enthalten, die nicht im dokumentierten Schema angegeben sind, werden sie zur Wahrung der Konsistenz normalisiert. Wenn die zusätzlichen Felder eine Entität darstellen, werden sie basierend auf den Leitfäden für Entitätsfelder normalisiert. Andernfalls wird in den Schemas versucht, die Konsistenz über alle Schemas hinweg zu wahren. Beispielsweise enthalten die Aktivitätsprotokolle von DNS-Servern keine Benutzerinformationen, während die DNS-Aktivitätsprotokolle eines Endpunkts Benutzerinformationen enthalten können, die entsprechend den Leitfäden für die Benutzerentität normalisiert werden können. |
| Feldtypen | Jedem Schemafeld ist ein Typ zugeordnet. Der Log Analytics-Arbeitsbereich verfügt über eine begrenzte Anzahl von Datentypen. Daher wird in Microsoft Sentinel für viele Schemafelder ein logischer Typ verwendet, der in Log Analytics nicht erzwungen wird, jedoch für die Schemakompatibilität erforderlich ist. Durch logische Feldtypen wird sichergestellt, dass Werte sowie Feldnamen in allen Quellen konsistent sind. Weitere Informationen finden Sie unter Logische Typen. |
| Feldklasse | Felder können mehrere Klassen beinhalten, die definieren, wann die Felder durch einen Parser implementiert werden sollen: - Erforderliche Felder müssen in jedem Parser angezeigt werden. Wenn eine Quelle keine Informationen für diesen Wert enthält oder die Daten nicht anderweitig hinzugefügt werden können, werden die meisten Inhaltselemente, die auf das normalisierte Schema verweisen, nicht unterstützt. - Empfohlene Felder sollten normalisiert werden, falls sie verfügbar sind. Sie sind jedoch möglicherweise nicht in jeder Quelle verfügbar. Jedes Inhaltselement, das auf dieses normalisierte Schema verweist, sollte die Verfügbarkeit berücksichtigen. - Optionale Felder können, falls vorhanden, normalisiert oder in ihrer ursprünglichen Form belassen werden. Normalerweise werden sie aus Leistungsgründen durch einen sehr einfachen Parser nicht normalisiert. - Bedingte Felder sind obligatorisch, wenn das Feld, auf das sie folgen, ausgefüllt ist. Bedingte Felder werden in der Regel verwendet, um den Wert in einem anderen Feld zu beschreiben. Beispielsweise beschreibt das allgemeine Feld DvcIdType den Integer-Wert im allgemeinen Feld DvcId und ist daher obligatorisch, wenn letzteres ausgefüllt ist. - Alias ist ein besonderer Typ eines bedingten Felds und obligatorisch, wenn das Aliasfeld ausgefüllt ist. |
| Allgemeine Felder | Einige Felder sind in allen ASIM-Schemas enthalten. Jedes Schema kann Richtlinien für die Verwendung einiger der allgemeinen Felder im Kontext des jeweiligen Schemas hinzufügen. Beispielsweise können die zulässigen Werte für das Feld EventType und für das Feld EventSchemaVersion je nach Schema unterschiedlich sein. |
| Entitäten | Ereignisse entwickeln sich im Zusammenhang mit Entitäten wie Benutzern, Hosts, Prozessen oder Dateien. Für jede Entität können mehrere Felder erforderlich sein, um sie zu beschreiben. Beispielsweise kann ein Host einen Namen und eine IP-Adresse aufweisen. Ein einzelner Datensatz kann mehrere Entitäten desselben Typs enthalten, z. B. einen Quell- und Zielhost. ASIM definiert, wie Entitäten konsistent beschrieben werden. Mit Entitäten lassen sich die Schemas erweitern. Während das Netzwerksitzungsschema beispielsweise keine Prozessinformationen enthält, enthalten einige Ereignisquellen Prozessinformationen, die hinzugefügt werden können. Weitere Informationen finden Sie unter Entitäten. |
| Aliase | Aliase ermöglichen mehrere Namen für einen angegebenen Wert. In einigen Fällen erwarten verschiedene Benutzer, dass ein Feld unterschiedliche Namen hat. In der DNS-Terminologie wird z. B. ein Feld mit dem Namen DnsQuery erwartet, während es in allgemeineren Anwendungsfällen einen Domänennamen enthält. Der Alias Domäne hilft Benutzer*innen, indem er die Verwendung beider Namen zulässt. In einigen Fällen kann ein Alias den Wert eines von mehreren Feldern haben, je nachdem, welche Werte im Ereignis verfügbar sind. Beispielsweise werden mit dem Dvc-Alias entweder die Felder DvcFQDN, DvcId, DvcHostname, DvcIpAddr oder Ereignisprodukt benannt. Da ein Alias mehrere Werte haben kann, muss sein Typ eine Zeichenfolge sein, die alle möglichen Aliaswerte aufnimmt. Achten Sie daher beim Zuweisen eines Werts zu einem solchen Alias darauf, den Typ mithilfe der KQL-Funktion tostring in eine Zeichenfolge zu konvertieren. Native normalisierte Tabellen enthalten keine Aliase, da diese den Datenspeicher verdoppeln würden. Stattdessen werden Aliase über Stubparser hinzugefügt. Um Aliase in Parsern zu implementieren, erstellen Sie mithilfe des extend-Operators eine Kopie des ursprünglichen Werts. |
Logische Typen
Jedem Schemafeld ist ein Typ zugeordnet. Einige Felder verfügen über integrierte Azure Log Analytics-Typen wie string, int, datetime oder dynamic. Andere Felder verfügen über einen logischen Typ, der angibt, wie die Feldwerte normalisiert werden sollen.
| Datentyp | Physischer Typ | Format und Wert |
|---|---|---|
| Boolean | Bool | Verwenden Sie den integrierten KQL-Datentyp bool anstelle einer numerischen oder Zeichenfolgendarstellung boolescher Werte. |
| Enumeration | String | Eine Liste von Werten, die explizit für das Feld definiert sind. In der Schemadefinition sind die akzeptierten Werte aufgeführt. |
| Datum/Uhrzeit | Verwenden Sie je nach Erfassungsmethode eine der folgenden physischen Darstellungen in absteigender Priorität: - Integrierter datetime-Typ von Log Analytics - Integerfeld, das die numerische datetime-Darstellung von Log Analytics verwendet. - Zeichenfolgenfeld, das die numerische datetime-Darstellung von Log Analytics verwendet - Zeichenfolgenfeld, in dem ein unterstütztes datetime-Format von Log Analytics gespeichert wird. |
Die Darstellung von Datums- und Uhrzeitwerten in Log Analytics ähnelt der UNIX-Darstellung, weist aber Unterschiede auf. Weitere Informationen finden Sie in den Konvertierungsleitfäden. Hinweis: Die Zeitwerte sollten gegebenenfalls an die Zeitzone angepasst sein. |
| MAC address (MAC-Adresse) | String | Hexadezimalnotation mit Doppelpunkt. |
| IP-Adresse | String | Microsoft Sentinel-Schemas enthalten keine separaten IPv4- und IPv6-Adressen. Jedes IP-Adressfeld kann wie folgt entweder eine IPv4-Adresse oder eine IPv6-Adresse enthalten: - IPv4 in einer Dezimalnotation mit Punkt. - IPv6 in 8-Hextett-Notation, die die Kurzform ermöglicht. Zum Beispiel: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6-Kurzform: 1080::8:800:200C:417A |
| FQDN | String | Ein vollqualifizierter Domänenname mit Punktnotation, z. B. video2.skills-academy.com. Weitere Informationen finden Sie unter Geräteentität. |
| Hostname | String | Ein Hostname, der kein FQDN ist, umfasst bis zu 63 Zeichen, einschließlich Buchstaben, Zahlen und Bindestrichen. Weitere Informationen finden Sie unter Geräteentität. |
| DomainType | Enumerated | Der Typ der Domäne, der in Domänen- und FQDN-Feldern gespeichert ist. Eine Liste der Werte sowie weitere Informationen finden Sie unter Die Geräteentität. |
| DvcIdType | Enumerated | Der Typ der in DvcId-Feldern gespeicherten Geräte-ID. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType. |
| DeviceType | Enumerated | Der Typ des Geräts, das in DeviceType-Feldern gespeichert ist. Mögliche Werte sind: - Computer- Mobile Device- IOT Device- Other. Weitere Informationen finden Sie unter Geräteentität. |
| Username | String | Ein gültiger Benutzername in einem der unterstützten Typen. Weitere Informationen finden Sie unter Benutzerentität. |
| UsernameType | Enumerated | Der Typ des Benutzernamens, der in Benutzernamenfeldern gespeichert ist. Weitere Informationen und eine Liste der unterstützten Werte finden Sie unter Die Benutzerentität. |
| UserIdType | Enumerated | Der Typ der in Benutzer-ID-Feldern gespeicherten ID. Die Werte SID, UIS, AADID, OktaId, AWSId und PUID werden unterstützt. Weitere Informationen finden Sie unter Benutzerentität. |
| UserType | Enumerated | Der Typ eines Benutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter Die Benutzerentität. |
| AppType | Enumerated | Der Typ einer Anwendung. Unterstützte Werte: Process., Service, Resource, URL, SaaS application, CSP und Other. |
| Country | String | Eine Zeichenfolge unter Verwendung von ISO 3166-1, entsprechend der folgenden Priorität: – Alpha-2-Codes, z. B. US für die USA. – Alpha-3-Codes, z. B. USA für die USA. – Kurzname. Die Liste der Codes finden Sie auf der Website der International Standards Organization (ISO). |
| Region | String | Der Name der Untereinheiten von Ländern nach ISO 3166-2. Die Liste der Codes finden Sie auf der Website der International Standards Organization (ISO). |
| City (Ort) | String | |
| Longitude (Längengrad) | Double | ISO 6709-Koordinatendarstellung (Dezimalwert mit Vorzeichen). |
| Latitude (Breitengrad) | Double | ISO 6709-Koordinatendarstellung (Dezimalwert mit Vorzeichen). |
| MD5 | String | 32-Hexadezimalzeichen. |
| SHA1 | String | 40-Hexadezimalzeichen. |
| SHA256 | String | 64-Hexadezimalzeichen. |
| SHA512 | String | 128-Hexadezimalzeichen. |
Entitäten
Ereignisse entwickeln sich im Zusammenhang mit Entitäten wie Benutzern, Hosts, Prozessen oder Dateien. Die Entitätsdarstellung ermöglicht, dass mehrere Entitäten desselben Typs Teil eines einzelnen Datensatzes sind, und sie unterstützt mehrere Attribute für dieselben Entitäten.
Zur Ermöglichung von Entitätsfunktionen gelten für die Entitätsdarstellung die folgenden Richtlinien:
| Vorgabe | BESCHREIBUNG |
|---|---|
| Deskriptoren und Aliase | Da ein einzelnes Ereignis häufig mehrere Entitäten desselben Typs enthält, z. B. Quell- und Zielhosts, werden Deskriptoren als Präfix verwendet, um alle Felder zu identifizieren, die einer bestimmten Entität zugeordnet sind. Zur Aufrechterhaltung der Normalisierung wird in ASIM eine kleine Gruppe von Standarddeskriptoren verwendet, die für die spezifische Rolle der Entitäten am besten geeignet sind. Wenn eine einzelne Entität eines Typs für ein Ereignis relevant ist, ist es nicht erforderlich, einen Deskriptor zu verwenden. Außerdem wird ein Satz von Feldern ohne Deskriptor als Alias für die am häufigsten verwendete Entität für jeden Typ verwendet. |
| Bezeichner und Typen | Ein normalisiertes Schema ermöglicht mehrere Bezeichner für jede Entität, die voraussichtlich in Ereignissen gleichzeitig vorhanden sind. Wenn das Quellereignis andere Entitätsbezeichner enthält, die nicht dem normalisierten Schema zugeordnet werden können, behalten Sie sie im Quellformat bei, oder verwenden Sie das dynamische Feld AdditionalFields. Zum Verwalten der Typinformationen für die Bezeichner speichern Sie den Typ ggf. in einem Feld mit dem gleichen Namen und dem Suffix Type. Beispiel: UserIdType. |
| Attribute | Entitäten umfassen häufig andere Attribute, die nicht als Bezeichner dienen und auch mit einem Deskriptor qualifiziert werden können. Wenn der Quellbenutzer z. B. Domäneninformationen enthält, lautet das normalisierte Feld SrcUserDomain. |
Mit jedem Schema werden explizit die zentralen Entitäten und Entitätsfelder definiert. Die folgenden Richtlinien helfen Ihnen, die zentralen Schemafelder zu verstehen, und zeigen Ihnen, wie Sie Schemas auf normalisierte Weise mit anderen Entitäten oder Entitätsfeldern erweitern können, die nicht explizit im Schema definiert sind.
Die Benutzerentität
Benutzer sind zentral für Aktivitäten, die von Ereignissen gemeldet werden. Die in diesem Abschnitt aufgeführten Felder werden verwendet, um die an der Aktion beteiligten Benutzer zu beschreiben. Präfixe werden verwendet, um die Rolle des Benutzers in der Aktivität zu bestimmen. Die Präfixe Src und Dst werden verwendet, um die Benutzerrolle in netzwerkbezogenen Ereignissen festzulegen, in denen ein Quellsystem und ein Zielsystem kommunizieren. Die Präfixe „Actor“ und „Target“ werden für systemorientierte Ereignisse wie Prozessereignisse verwendet.
Die Benutzer-ID und der Bereich
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| UserId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Benutzers. |
| UserScope | Optional | Zeichenfolge | Der Bereich, in dem UserId und Username definiert sind. Zum Beispiel einen Microsoft Entra-Mandanten-Domänennamen. Das Feld UserIdType repräsentiert auch den Typ der mit diesem Feld verknüpften Benutzer-ID. |
| UserScopeId | Optional | Zeichenfolge | Die ID des Bereichs, in dem UserId und Username definiert sind. Zum Beispiel eine Microsoft Entra-Mandantenverzeichnis-ID. Das Feld UserIdType repräsentiert auch den Typ der mit diesem Feld verknüpften Benutzer-ID. |
| UserIdType | Optional | UserIdType | Der Typ der ID, die im Feld UserId gespeichert ist. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Optional | String | Felder, die zum Speichern bestimmter Benutzer-IDs verwendet werden. Wählen Sie die ID aus, die dem Ereignis am häufigsten zugeordnet ist, als primäre ID, die in UserId gespeichert ist. Füllen Sie das relevante spezifische ID-Feld zusätzlich zu UserId auf, auch wenn das Ereignis nur eine ID aufweist. |
| UserAADTenant, UserAWSAccount | Optional | String | Felder, die zum Speichern bestimmter Bereiche verwendet werden. Verwenden Sie das Feld UserScope für den Bereich, der mit der im Feld UserId gespeicherten ID verknüpft ist. Füllen Sie das relevante spezifische Bereichsfeld zusätzlich zu UserScope auf, auch wenn das Ereignis nur eine ID aufweist. |
Die zulässigen Werte für einen Benutzer-ID-Typ sind:
| Typ | Beschreibung | Beispiel |
|---|---|---|
| SID | Eine Windows-Benutzer-ID. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Eine Linux-Benutzer-ID. | 4578 |
| AADID | Eine Microsoft Entra-Benutzer-ID. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
| OktaId | Eine Okta Benutzer-ID. | 00urjk4znu3BcncfY0h7 |
| AWSId | Eine AWS-Benutzer-ID. | 72643944673 |
| PUID | Eine Microsoft 365-Benutzer-ID. | 10032001582F435C |
| SalesforceId | Eine Salesforce-Benutzer-ID. | 00530000009M943 |
Benutzername
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Username | Optional | String | Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld UsernameType. |
| UsernameType | Optional | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld Username gespeichert ist. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Optional | String | Felder, die zum Speichern zusätzlicher Benutzernamen verwendet werden, wenn das ursprüngliche Ereignis mehrere Benutzernamen enthält. Wählen Sie den Benutzernamen, der dem Ereignis am häufigsten zugeordnet ist, als primären Benutzernamen aus, der unter Benutzername gespeichert ist. |
Die zulässigen Werte für einen Benutzernamentyp sind:
| type | Beschreibung | Beispiel |
|---|---|---|
| UPN | Ein UPN- oder E-Mail-Benutzername-Designator. | johndow@contoso.com |
| Windows | Ein Windows Benutzername einschließlich einer Domäne. | Contoso\johndow |
| DN | Ein Designator für einen eindeutigen LDAP-Namen. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Einfach | Ein einfacher Benutzername ohne Domänen-Designator. | johndow |
| AWSId | Eine AWS-Benutzer-ID. | 72643944673 |
Zusätzliche Benutzerfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| UserType | Optional | UserType | Der Typ des Quellbenutzers. Unterstützte Werte sind: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld OriginalUserType. |
| OriginalUserType | Optional | String | Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt. |
Die Geräteentität
Geräte oder Hosts sind die allgemeinen Begriffe, die für die Systeme verwendet werden, die an dem Ereignis beteiligt sind. Das Präfix Dvc wird verwendet, um das primäre Gerät festzulegen, auf dem das Ereignis erfolgt. Einige Ereignisse, wie z. B. Netzwerksitzungen, verfügen über Quell- und Zielgeräte, die durch die Präfixe Src und Dst bestimmt sind. In diesem Fall wird das Präfix Dvc für das Gerät verwendet, das das Ereignis meldet. Dies kann die Quelle, das Ziel oder ein Überwachungsgerät sein.
Die Gerätealiase.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Dvc, Src, Dst | Obligatorisch. | String | Die Felder Dvc, „Src“ oder „Dst“ werden als eindeutiger Bezeichner des Geräts verwendet. Er ist auf die besten für das Gerät verfügbaren Bezeichner festgelegt. Diese Felder können als Alias für die Felder FQDN, DvcId, Hostname oder IpAddr verwendet werden. Verwenden Sie für Cloudquellen, für die es kein offensichtliches Gerät gibt, den gleichen Wert wie das Feld Ereignisprodukt. |
Der Gerätename
Gemeldete Gerätenamen können nur einen Hostnamen oder einen vollqualifizierten Domänennamen (FQDN) enthalten, der einen Hostnamen und einen Domänennamen enthält. Der FQDN kann mithilfe mehrerer Formate ausgedrückt werden. In den folgenden Feldern werden die verschiedenen Varianten unterstützt, in denen der Gerätename angegeben werden kann.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Hostname | Empfohlen | Hostname | Der kurze Hostname des Geräts. |
| Domäne | Empfohlen | String | Die Domäne des Geräts, auf dem das Ereignis aufgetreten ist, ohne den Hostnamen. |
| DomainType | Empfohlen | Enumerated | Der Typ der Domäne. Unterstützte Werte: FQDN und Windows. Dieses Feld ist erforderlich, wenn das Feld Domain verwendet wird. |
| FQDN | Optional | String | Der FQDN des Geräts, einschließlich Hostname und Domäne. Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld DomainType spiegelt das verwendete Format wider. |
Beispiel:
| Feld | Wert für Eingabe appserver.contoso.com |
Wert für Eingabe appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| Domäne | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
Wenn der von der Quelle bereitgestellte Wert ein FQDN ist oder der Wert entweder ein FQDN oder ein kurzer Hostname sein kann, sollte der Parser die 4 Werte berechnen. Verwenden Sie die ASIM-Hilfsfunktionen_ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN und _ASIM_ResolveDvcFQDN, um einfach alle vier Felder basierend auf einem einzelnen Eingabewert festzulegen. Weitere Informationen finden Sie unter ASIM- Hilfsfunktionen.
Die Geräte-ID und der Gerätebereich.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| DvcId | Optional | String | Die eindeutige ID des Geräts. Beispiel: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. Scope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| Scope | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. Scope wird einem Abonnement in Azure und einem Konto in AWS zugeordnet. |
| DvcIdType | Optional | Enumerated | Der Typ von DvcId. Dieses Feld identifiziert in der Regel auch den Typ von Scope und ScopeId. Dieses Feld ist ein Pflichtfeld, wenn das Feld Dvcld verwendet wird. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Optional | String | Felder, die zum Speichern zusätzlicher Geräte-IDs verwendet werden, wenn das ursprüngliche Ereignis mehrere Geräte-IDs enthält. Wählen Sie die ID, die dem Ereignis am häufigsten zugeordnet ist, als primäre ID aus, die in Dvcld gespeichert ist. |
Beachten Sie, dass den benannten Feldern ein Rollenpräfix wie z. B. Src oder Dst, aber kein zweites Dvc-Präfix vorangestellt werden sollte, wenn sie in dieser Rolle verwendet werden.
Die zulässigen Werte für einen Geräte-ID-Typ sind:
| Typ | BESCHREIBUNG |
|---|---|
| MDEid | Die für den Endpunkt von Microsoft Defender zugewiesene System-ID. |
| AzureResourceId | Die Azure-Ressourcen-ID. |
| MD4IoTid | Die Microsoft Defender für IoT-Ressourcen-ID. |
| VMConnectionId | Die AZURE Monitor-VM Insights Lösungsressourcen-ID. |
| AwsVpcId | Eine AWS VPC-ID. |
| VectraId | Eine Vectra AI zugewiesene Ressourcen-ID. |
| Andere | Ein ID-Typ, der oben nicht aufgeführt ist. |
Beispielsweise stellt die VM Insights-Lösung von Azure Monitor Netzwerksitzungsinformationen in der VMConnection bereit. Die Tabelle stellt eine Azure-Ressourcen-ID im Feld _ResourceId und eine spezielle VM Insights-Geräte-ID im Feld Machine bereit. Verwenden Sie die folgende Zuordnung, um diese IDs darzustellen:
| Feld | Zuordnen zu |
|---|---|
| DvcId | Das Feld Machine in der Tabelle VMConnection. |
| DvcIdType | Der VMConnectionId-Wert |
| DvcAzureResourceId | Das Feld _ResourceId in der Tabelle VMConnection. |
Zusätzliche Gerätefelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| IpAddr | Empfohlen | IP-Adresse | Die IP-Adresse des Geräts Beispiel: 45.21.42.12 |
| DvcDescription | Optional | String | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller. |
| MacAddr | Optional | MAC | Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 00:1B:44:11:3A:B7 |
| Zone | Optional | String | Je nach Schema ist dies das Netzwerk, in dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Die Zone wird vom meldenden Gerät definiert. Beispiel: Dmz |
| DvcOs | Optional | String | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: Windows |
| DvcOsVersion | Optional | String | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 10 |
| DvcAction | Optional | String | Bei meldenden Sicherheitssystemen ist dies die vom System ausgeführte Aktion (falls zutreffend). Beispiel: Blocked |
| DvcOriginalAction | Optional | String | Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben. |
| Schnittstelle | Optional | String | Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder TAP-Gerät erfasst werden. |
Beachten Sie, dass den in der Liste mit dem Präfix Dvc benannten Feldern ein Rollenpräfix wie z. B. Src oder Dst, aber kein zweites Dvc-Präfix vorangestellt werden sollte, wenn sie in dieser Rolle verwendet werden.
Beispiel von Entitätszuordnung
In diesem Abschnitt wird am Beispiel des Windows-Ereignisses 4624 beschrieben, wie die Ereignisdaten für Microsoft Sentinel normalisiert werden.
Dieses Ereignis umfasst die folgenden Entitäten:
| Microsoft-Terminologie | Präfix des ursprünglichen Ereignisfelds | Präfix des ASIM-Felds | BESCHREIBUNG |
|---|---|---|---|
| Subject | Subject |
Actor |
Der Benutzer, der Informationen zu einer erfolgreichen Anmeldung gemeldet hat. |
| Neue Anmeldung | Target |
TargetUser |
Der Benutzer, für den die Anmeldung durchgeführt wurde. |
| Process | - | ActingProcess |
Der Prozess, über den die Anmeldung durchgeführt wurde. |
| Netzwerkinformationen | - | Src |
Der Computer, über den ein Anmeldeversuch durchgeführt wurde. |
Basierend auf diesen Entitäten wird das Windows-Ereignis 4624 wie folgt normalisiert (einige Felder sind optional):
| Normalisiertes Feld | Ursprüngliches Feld | Wert im Beispiel | Notizen |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Erstellt durch Verkettung der beiden Felder |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\TargerUserName | Administrator\WIN-GG82ULGC9GO$ | Erstellt durch Verkettung der beiden Felder |
| Benutzername | TargetDomainName\TargerUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Hostname | Computer | Alias |
Nächste Schritte
Dieser Artikel bietet eine Übersicht über Normalisierung in Microsoft Sentinel und ASIM.
Weitere Informationen finden Sie unter
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)