Referência de campos de esquema comuns do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia)
Alguns campos são comuns a todos os esquemas do ASIM. Cada esquema pode adicionar diretrizes para usar alguns dos campos comuns no contexto do esquema específico. Por exemplo, os valores permitidos do campo EventType podem variar por esquema, assim como o valor do campo EventSchemaVersion.
Campos Standard do Log Analytics
Os campos a seguir são gerados por Log Analytics, na maioria dos casos, para cada registro. Eles podem ser substituídos ao criar um conector personalizado.
| Campo | Tipo | Discussão |
|---|---|---|
| TimeGenerated | DATETIME | A hora em que o evento foi gerado pelo dispositivo de relatório. |
| Tipo | String | A tabela original da qual o registro foi buscado. Esse campo é útil quando o mesmo evento pode ser recebido por meio de vários canais para diferentes tabelas e pode ter os mesmos valores EventVendor e EventProduct. Por exemplo, um evento Sysmon pode ser coletado na tabela Event ou para WindowsEvent tabela. |
Observação
O Log Analytics também adiciona outros campos menos relevantes para casos de uso de segurança. Para obter mais informações, confira Colunas padrão nos Logs do Azure Monitor.
Campos comuns do ASIM
Os campos a seguir são definidos pelo ASIM para todos os esquemas:
Campos de evento
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventMessage | Opcional | Cadeia de caracteres | Uma mensagem ou descrição geral, incluída ou gerada com base no registro. |
| EventCount | Obrigatório | Integer | O número de eventos descritos pelo registro. Esse valor é usado quando a origem possibilita a agregação e um registro pode representar vários eventos. Para outras origens, defina como 1. |
| EventStartTime | Obrigatório | Data/hora | A hora em que o evento iniciou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| EventEndTime | Obrigatório | Data/hora | A hora em que o evento terminou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| EventType | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Cada esquema documenta a lista de valores válidos para esse campo. O valor original específico da origem é armazenado no campo EventOriginalType. |
| EventSubType | Opcional | Enumerated | Descreve uma subdivisão da operação relatada no campo EventType. Cada esquema documenta a lista de valores válidos para esse campo. O valor original específico da origem é armazenado no campo EventOriginalSubType. |
| EventResult | Obrigatório | Enumerated | Um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Como alternativa, a origem pode fornecer apenas o campo EventResultDetails, que deve ser analisado para derivar o valor de EventResult. Exemplo: Success |
| EventResultDetails | Recomendadas | Enumerated | Motivo ou detalhes do resultado relatado no campo EventResult. Cada esquema documenta a lista de valores válidos para esse campo. O valor original específico da origem é armazenado no campo EventOriginalResultDetails. Exemplo: NXDOMAIN |
| EventUid | Recomendadas | String | A ID exclusiva do registro, conforme a atribuição do Microsoft Sentinel. Esse campo costuma ser mapeado para o campo _ItemId do Log Analytics. |
| EventOriginalUid | Opcional | Cadeia de caracteres | Uma ID exclusiva do registro original, se fornecida pela origem. Exemplo: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Opcional | Cadeia de caracteres | O ID ou tipo de evento original, se fornecido pela origem. Por exemplo, esse campo é usado para armazenar a ID de um evento original do Windows. Esse valor é usado para derivar EventType, que deve ter apenas um dos valores documentados por esquema. Exemplo: 4624 |
| EventOriginalSubType | Opcional | String | O subtipo ou a ID do evento original, se fornecido pela origem. Por exemplo, esse campo é usado para armazenar o tipo de logon original do Windows. Esse valor é usado para derivar EventSubType, que deve ter apenas um dos valores documentados por esquema. Exemplo: 2 |
| EventOriginalResultDetails | Opcional | String | Os detalhes do resultado original fornecidos pela origem. Esse valor é usado para derivar EventResultDetails, que deve ter apenas um dos valores documentados por esquema. |
| EventSeverity | Recomendadas | Enumerated | Gravidade do evento. Os valores válidos são Informational, Low, Medium ou High. |
| EventOriginalSeverity | Opcional | String | A severidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
| EventProduct | Obrigatório | String | O produto que gera o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. Exemplo: Sysmon |
| EventProductVersion | Opcional | Cadeia de caracteres | A versão do produto que gera o evento. Exemplo: 12.1 |
| EventVendor | Obrigatório | String | O fornecedor do produto que gera o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. Exemplo: Microsoft |
| EventSchema | Obrigatório | String | O esquema para qual o evento foi normalizado. Cada esquema documenta seu nome de esquema. |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. Cada esquema documenta a versão atual. |
| EventReportUrl | Opcional | Cadeia de caracteres | Uma URL fornecida no evento para um recurso que apresenta informações adicionais sobre o evento. |
| EventOwner | Opcional | String | O proprietário do evento, que geralmente é o departamento ou subsidiária no qual ele foi gerado. |
Campos do dispositivo
A função dos campos do dispositivo é diferente para esquemas e tipos de eventos diferentes. Por exemplo:
- Para os eventos de Sessão de Rede, os campos do dispositivo geralmente fornecem informações sobre o dispositivo que gerou o evento
- Para os eventos de Processo, os campos do dispositivo fornecem informações sobre o dispositivo no qual o processo é executado.
Cada documento de esquema especifica a função do dispositivo para o esquema.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dvc | Alias | String | Um identificador exclusivo do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Esse campo pode gerar alias dos campos DvcFQDN, DvcId, DvcHostname ou DvcIpAddr. Em origens de nuvem, em que não há nenhum dispositivo aparente, use o mesmo valor que o campo EventProduct. |
| DvcIpAddr | Recomendadas | Endereço IP | O endereço IP do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: 45.21.42.12 |
| DvcHostname | Recomendadas | Nome do host | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: ContosoDc |
| DvcDomain | Recomendadas | String | O domínio do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: Contoso |
| DvcDomainType | Condicional | Enumerated | O tipo de DvcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType. Observação: esse campo será necessário se o campo DvcDomain for usado. |
| DvcFQDN | Opcional | Cadeia de caracteres | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: Contoso\DESKTOP-1282V4DObservação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo DvcDomainType reflete o formato usado. |
| DvcDescription | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| DvcId | Opcional | Cadeia de caracteres | A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | Condicional | Enumerated | O tipo de DvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType. - MDEidSe várias IDs estiverem disponíveis, use a primeira da lista e armazene as outras usando os nomes de campo DvcAzureResourceId e DvcMDEid, respectivamente. Observação: esse campo será necessário se o campo DvcId for usado. |
| DvcMacAddr | Opcional | MAC | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: 00:1B:44:11:3A:B7 |
| DvcZone | Opcional | Cadeia de caracteres | A rede na qual o evento ocorreu ou que relatou o evento, dependendo do esquema. A zona é definida pelo dispositivo de relatório. Exemplo: Dmz |
| DvcOs | Opcional | String | O sistema operacional em execução no dispositivo em que o evento ocorreu ou que relatou o evento. Exemplo: Windows |
| DvcOsVersion | Opcional | String | A versão do sistema operacional do dispositivo em que o evento ocorreu ou que relatou o evento. Exemplo: 10 |
| DvcAction | Recomendadas | Cadeia de caracteres | Para relatar sistemas de segurança, a ação tomada pelo sistema, se aplicável. Exemplo: Blocked |
| DvcOriginalAction | Opcional | Cadeia de caracteres | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
| DvcInterface | Opcional | String | A interface de rede em que os dados foram capturados. Esse campo costuma ser relevante para a atividade relacionada à rede, que é capturada por um dispositivo intermediário ou de toque. |
| DvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| DvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
Outros campos
Atualizações de esquema
- O campo
EventOwnerfoi adicionado aos campos comuns em 1º de dezembro de 2022 e, portanto, a todos os esquemas. - O campo
EventUidfoi adicionado aos campos comuns em 26 de dezembro de 2022 e, portanto, a todos os esquemas.
Fornecedores e produtos
Para manter a consistência, a lista de fornecedores e produtos permitidos é definida como parte do ASIM e pode não corresponder diretamente ao valor enviado pela fonte, quando disponível.
A lista com suporte atual de fornecedores e produtos usados nos campos EventVendor e EventProduct, respectivamente, é:
| Fornecedor | Produtos |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- ID do Microsoft Entra - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Se você estiver desenvolvendo um analisador para um fornecedor ou um produto que não estiver listado aqui, entre em contato com a equipe do Microsoft Sentinel para alocar um novo fornecedor permitido e designadores do produto.
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)