Dokumentacja typowych pól schematu usługi Advanced Security Information Model (ASIM) (wersja zapoznawcza)
Niektóre pola są wspólne dla wszystkich schematów ASIM. Każdy schemat może dodawać wskazówki dotyczące używania niektórych typowych pól w kontekście określonego schematu. Na przykład dozwolone wartości pola EventType mogą się różnić w zależności od schematu, ponieważ może to być wartość pola EventSchemaVersion.
Pola usługi Log Analytics w warstwie Standardowa
W większości przypadków następujące pola są generowane przez usługę Log Analytics dla każdego rekordu. Można je zastąpić podczas tworzenia łącznika niestandardowego.
| Pole | Type | Dyskusja |
|---|---|---|
| TimeGenerated | Data i godzina | Czas wygenerowania zdarzenia przez urządzenie raportowania. |
| Type | Ciąg | Oryginalna tabela, z której pobrano rekord. To pole jest przydatne, gdy to samo zdarzenie może być odbierane za pośrednictwem wielu kanałów do różnych tabel i mają te same wartości EventVendor i EventProduct . Na przykład zdarzenie Sysmon można zebrać do Event tabeli lub do WindowsEvent tabeli. |
Uwaga
Usługa Log Analytics dodaje również inne pola, które są mniej istotne dla przypadków użycia zabezpieczeń. Aby uzyskać więcej informacji, zobacz Kolumny standardowe w dziennikach usługi Azure Monitor.
Typowe pola karty ASIM
Następujące pola są definiowane przez kartę ASIM dla wszystkich schematów:
Pola zdarzeń
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| EventMessage | Opcjonalnie | Ciąg | Ogólny komunikat lub opis dołączony do lub wygenerowany na podstawie rekordu. |
| EventCount | Obowiązkowy | Wartość całkowita | Liczba zdarzeń opisanych przez rekord. Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. W przypadku innych źródeł ustaw wartość 1. |
| EventStartTime | Obowiązkowy | Data/godzina | Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated . |
| EventEndTime | Obowiązkowy | Data/godzina | Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated . |
| Eventtype | Obowiązkowy | Enumerated | Opisuje operację zgłoszoną przez rekord. Każdy schemat dokumentuje listę wartości prawidłowych dla tego pola. Oryginalna, specyficzna dla źródła wartość jest przechowywana w polu EventOriginalType . |
| EventSubType | Opcjonalnie | Enumerated | Opisuje podział operacji zgłoszonej w polu EventType . Każdy schemat dokumentuje listę wartości prawidłowych dla tego pola. Oryginalna, źródłowa wartość jest przechowywana w polu EventOriginalSubType . |
| EventResult | Obowiązkowy | Enumerated | Jedna z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Alternatywnie źródło może podać tylko pole EventResultDetails , które powinno zostać przeanalizowane w celu uzyskania wartości EventResult. Przykład: Success |
| EventResultDetails | Zalecane | Enumerated | Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult . Każdy schemat dokumentuje listę wartości prawidłowych dla tego pola. Oryginalna, specyficzna dla źródła wartość jest przechowywana w polu EventOriginalResultDetails . Przykład: NXDOMAIN |
| Identyfikator zdarzenia | Zalecane | Ciąg | Unikatowy identyfikator rekordu przypisany przez usługę Microsoft Sentinel. To pole jest zwykle mapowane na _ItemId pole usługi Log Analytics. |
| EventOriginalUid | Opcjonalnie | Ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło. Przykład: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Opcjonalnie | Ciąg | Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło. Na przykład to pole służy do przechowywania oryginalnego identyfikatora zdarzenia systemu Windows. Ta wartość służy do tworzenia typu EventType, który powinien zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. Przykład: 4624 |
| EventOriginalSubType | Opcjonalnie | Ciąg | Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło. Na przykład to pole służy do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość służy do tworzenia klasy EventSubType, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. Przykład: 2 |
| EventOriginalResultDetails | Opcjonalnie | Ciąg | Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
| EventSeverity | Zalecane | Enumerated | Ważność zdarzenia. Prawidłowe wartości to: Informational, , MediumLowlub High. |
| EventOriginalSeverity | Opcjonalnie | Ciąg | Oryginalna ważność podana przez urządzenie raportowania. Ta wartość służy do uzyskiwania wartości EventSeverity. |
| EventProduct | Obowiązkowy | Ciąg | Produkt generujący zdarzenie. Wartość powinna być jedną z wartości wymienionych w sekcji Dostawcy i Produkty. Przykład: Sysmon |
| EventProductVersion | Opcjonalnie | Ciąg | Wersja produktu generująca zdarzenie. Przykład: 12.1 |
| EventVendor | Obowiązkowy | Ciąg | Dostawca produktu generującego zdarzenie. Wartość powinna być jedną z wartości wymienionych w sekcji Dostawcy i Produkty. Przykład: Microsoft |
| EventSchema | Obowiązkowy | Ciąg | Schemat zdarzenia jest znormalizowany do. Każdy schemat dokumentuje jego nazwę schematu. |
| EventSchemaVersion | Obowiązkowy | Ciąg | Wersja schematu. Każdy schemat dokumentuje bieżącą wersję. |
| EventReportUrl | Opcjonalnie | Ciąg | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
| Właściciel zdarzenia | Opcjonalnie | Ciąg | Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
Pola urządzenia
Rola pól urządzenia różni się w przypadku różnych schematów i typów zdarzeń. Przykład:
- W przypadku zdarzeń sesji sieciowej pola urządzenia zwykle zawierają informacje o urządzeniu, które wygenerowało zdarzenie
- W przypadku zdarzeń Proces pola urządzenia zawierają informacje na urządzeniu, na których jest wykonywany proces.
Każdy dokument schematu określa rolę urządzenia dla schematu.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Dvc | Alias | Ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub który zgłosił zdarzenie, w zależności od schematu. To pole może oznaczać pola DvcFQDN, DvcId, DvcHostname lub DvcIpAddr . W przypadku źródeł w chmurze, dla których nie ma widocznego urządzenia, użyj tej samej wartości co pole Produkt zdarzenia. |
| DvcIpAddr | Zalecane | Adres IP | Adres IP urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: 45.21.42.12 |
| DvcHostname | Zalecane | Hostname (Nazwa hosta) | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: ContosoDc |
| DvcDomain | Zalecane | Ciąg | Domena urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: Contoso |
| DvcDomainType | Warunkowe | Enumerated | Typ DvcDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType. Uwaga: to pole jest wymagane, jeśli jest używane pole DvcDomain . |
| DvcFQDN | Opcjonalnie | Ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: Contoso\DESKTOP-1282V4DUwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole DvcDomainType odzwierciedla używany format. |
| DvcDescription | Opcjonalnie | Ciąg | Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller. |
| DvcId | Opcjonalnie | Ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | Warunkowe | Enumerated | Typ DvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType. - MDEidJeśli dostępnych jest wiele identyfikatorów, użyj pierwszego z listy i zapisz pozostałe przy użyciu nazw pól DvcAzureResourceId i DvcMDEid odpowiednio. Uwaga: to pole jest wymagane, jeśli jest używane pole DvcId . |
| DvcMacAddr | Opcjonalnie | MAC | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 00:1B:44:11:3A:B7 |
| DvcZone | Opcjonalnie | Ciąg | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Strefa jest definiowana przez urządzenie raportowania. Przykład: Dmz |
| DvcOs | Opcjonalnie | Ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: Windows |
| DvcOsVersion | Opcjonalnie | Ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 10 |
| DvcAction | Zalecane | Ciąg | W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system, jeśli ma to zastosowanie. Przykład: Blocked |
| DvcOriginalAction | Opcjonalnie | Ciąg | Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
| DvcInterface | Opcjonalnie | Ciąg | Interfejs sieciowy, na którym zostały przechwycone dane. To pole jest zwykle istotne dla działania związanego z siecią, które jest przechwytywane przez urządzenie pośrednie lub naciśnij. |
| DvcScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DvcScope | Opcjonalnie | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS. |
Inne pola
Aktualizacje schematu
- Pole
EventOwnerzostało dodane do typowych pól w dniu 1 grudnia 2022 r. i w związku z tym do wszystkich schematów. - Pole
EventUidzostało dodane do typowych pól w dniu 26 grudnia 2022 r., a tym samym do wszystkich schematów.
Dostawcy i produkty
Aby zachować spójność, lista dozwolonych dostawców i produktów jest ustawiona jako część karty ASIM i może nie odpowiadać bezpośrednio wartości wysyłanej przez źródło, jeśli jest dostępna.
Obecnie obsługiwana lista dostawców i produktów używanych odpowiednio w polach EventVendor i EventProduct to:
| Vendor | Produkty |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
— Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Jeśli opracowujesz analizator dla dostawcy lub produktu, które nie są wymienione tutaj, skontaktuj się z zespołem usługi Microsoft Sentinel , aby przydzielić nowego dozwolonego dostawcę i projektantów produktów.
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)