ASIM-scheman (Advanced Security Information Model)
Ett ASIM-schema (Advanced Security Information Model) är en uppsättning fält som representerar en aktivitet. Om du använder fälten från ett normaliserat schema i en fråga, måste frågan fungera med varje normaliserad källa.
Information om hur scheman passar i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.
Schemareferenser beskriver de fält som utgör varje schema. ASIM definierar för närvarande följande scheman:
| Schema | Version | Status |
|---|---|---|
| Granska händelse | 0,1 | Förhandsversion |
| Autentiseringshändelse | 0.1.3 | Förhandsversion |
| DNS-aktivitet | 0.1.7 | Förhandsversion |
| DHCP-aktivitet | 0,1 | Förhandsversion |
| Filaktivitet | 0.2.1 | Förhandsversion |
| Nätverkssession | 0.2.6 | Förhandsversion |
| Processhändelse | 0.1.4 | Förhandsversion |
| Registerhändelse | 0.1.2 | Förhandsversion |
| Användarhantering | 0,1 | Förhandsversion |
| Webbsession | 0.2.6 | Förhandsversion |
Viktigt!
ASIM-scheman och parsare är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Schemabegrepp
Följande begrepp hjälper dig att förstå schemareferensdokumenten och utöka schemat på ett normaliserat sätt om dina data innehåller information som schemat inte omfattar.
| Begrepp | beskrivning |
|---|---|
| Fältnamn | Kärnan i varje schema är dess fältnamn. Fältnamn tillhör följande grupper: – Fält som är gemensamma för alla scheman. – Fält som är specifika för ett schema. – Fält som representerar entiteter, till exempel användare, som deltar i schemat. Fält som representerar entiteter liknar olika scheman. När källor har fält som inte visas i det dokumenterade schemat normaliseras de för att upprätthålla konsekvens. Om de extra fälten representerar en entitet normaliseras de baserat på riktlinjerna för entitetsfält. Annars strävar schemana efter att hålla konsekvensen i alla scheman. Även om DNS-serveraktivitetsloggar till exempel inte ger användarinformation, kan DNS-aktivitetsloggar från en slutpunkt innehålla användarinformation som kan normaliseras enligt riktlinjerna för användarentitet. |
| Fälttyper | Varje schemafält har en typ. Log Analytics-arbetsytan har en begränsad uppsättning datatyper. Därför använder Microsoft Sentinel en logisk typ för många schemafält, som Log Analytics inte tillämpar men som krävs för schemakompatibilitet. Logiska fälttyper ser till att både värden och fältnamn är konsekventa mellan källor. Mer information finns i Logiska typer. |
| Fältklass | Fält kan ha flera klasser som definierar när fälten ska implementeras av en parser: - Obligatoriska fält måste visas i varje parser. Om källan inte anger information för det här värdet, eller om data inte kan läggas till på annat sätt, har den inte stöd för de flesta innehållsobjekt som refererar till det normaliserade schemat. - Rekommenderade fält bör normaliseras om de är tillgängliga. De kanske dock inte är tillgängliga i alla källor. Alla innehållsobjekt som refererar till det normaliserade schemat bör ta hänsyn till tillgängligheten. - Valfria fält, om de är tillgängliga, kan normaliseras eller lämnas i sitt ursprungliga formulär. Normalt skulle en minimal parser inte normalisera dem av prestandaskäl. - Villkorsfält är obligatoriska om det fält som de följer fylls i. Villkorsfält används vanligtvis för att beskriva värdet i ett annat fält. Det gemensamma fältet DvcIdType beskriver till exempel värdet i det gemensamma fältet DvcId och är därför obligatoriskt om det senare fylls i. - Alias är en särskild typ av villkorsfält och är obligatoriskt om det aliaserade fältet fylls i. |
| Vanliga fält | Vissa fält är gemensamma för alla ASIM-scheman. Varje schema kan lägga till riktlinjer för att använda några av de vanliga fälten i kontexten för det specifika schemat. Till exempel kan tillåtna värden för fältet EventType variera per schema, liksom värdet för fältet EventSchemaVersion . |
| Entiteter | Händelser utvecklas kring entiteter, till exempel användare, värdar, processer eller filer. Varje entitet kan kräva flera fält för att beskriva den. En värd kan till exempel ha ett namn och en IP-adress. En enskild post kan innehålla flera entiteter av samma typ, till exempel både en käll- och målvärd. ASIM definierar hur entiteter ska beskrivas konsekvent och entiteter tillåter att scheman utökas. Även om nätverkssessionsschemat till exempel inte innehåller processinformation, tillhandahåller vissa händelsekällor processinformation som kan läggas till. Mer information finns i Entiteter. |
| Alias | Alias tillåter flera namn för ett angivet värde. I vissa fall förväntar sig olika användare att ett fält har olika namn. I DNS-terminologi kan du till exempel förvänta dig ett fält med namnet DnsQuery, men mer allmänt innehåller det ett domännamn. Aliasdomänen hjälper användaren genom att tillåta användning av båda namnen. I vissa fall kan ett alias ha värdet för ett av flera fält, beroende på vilka värden som är tillgängliga i händelsen. Till exempel dvc-aliaset , aliasen dvcFQDN, DvcId, DvcHostname eller DvcIpAddr eller händelseproduktfälten . När ett alias kan ha flera värden måste dess typ vara en sträng som passar alla möjliga aliasvärden. När du tilldelar ett värde till ett sådant alias bör du därför konvertera typen till sträng med hjälp av KQL-funktionssträngen. Interna normaliserade tabeller innehåller inte alias, eftersom de skulle innebära duplicerad datalagring. I stället lägger stub-parsarna till aliasen. Om du vill implementera alias i parsers skapar du en kopia av det ursprungliga värdet med hjälp av operatorn extend . |
Logiska typer
Varje schemafält har en typ. Vissa har inbyggda Log Analytics-typer, till exempel string, int, datetimeeller dynamic. Andra fält har en logisk typ som representerar hur fältvärdena ska normaliseras.
| Datatyp | Fysisk typ | Format och värde |
|---|---|---|
| Boolesk | Bool | Använd den inbyggda KQL-datatypen bool i stället för en numerisk eller strängrepresentation av booleska värden. |
| Uppräknad | String | En lista med värden som uttryckligen definierats för fältet. Schemadefinitionen visar de godkända värdena. |
| Datum/tid | Beroende på funktionen för inmatningsmetod använder du någon av följande fysiska representationer i fallande prioritet: – Log Analytics inbyggd datetime-typ – Ett heltalsfält med log analytics datetime numerisk representation. – Ett strängfält med log analytics datetime numerisk representation – Ett strängfält som lagrar ett log analytics-datum/tid-format som stöds. |
Log Analytics-datum- och tidsrepresentation är liknande men skiljer sig från Unix-tidsrepresentation. Mer information finns i riktlinjerna för konvertering. Obs! När det är tillämpligt bör tiden justeras i tidszonen. |
| MAC-adress | String | Colon-Hexadecimal notation. |
| IP-adress | String | Microsoft Sentinel-scheman har inte separata IPv4- och IPv6-adresser. Alla IP-adressfält kan innehålla antingen en IPv4-adress eller en IPv6-adress enligt följande: - IPv4 i en punkt-decimal notation. - IPv6 i 8-hextets notation, vilket möjliggör den korta formen. Till exempel: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Kort IPv6-formulär: 1080::8:800:200C:417A |
| FQDN | String | Ett fullständigt domännamn med hjälp av en punkt notation, video2.skills-academy.comtill exempel . Mer information finns i Enhetentiteten. |
| Värdnamn | String | Ett värdnamn som inte är ett FQDN innehåller upp till 63 tecken, inklusive bokstäver, siffror och bindestreck. Mer information finns i Enhetentiteten. |
| DomainType | Enumerated | Typen av domän som lagras i domän- och FQDN-fält. En lista med värden och mer information finns i Enhetentiteten. |
| DvcIdType | Enumerated | Typ av enhets-ID som lagras i DvcId-fält. En lista över tillåtna värden och ytterligare information finns i DvcIdType. |
| DeviceType | Enumerated | Typen av enhet som lagras i DeviceType-fält. Möjliga värden omfattar: - Computer- Mobile Device- IOT Device- Other. Mer information finns i Enhetentiteten. |
| Användarnamn | String | Ett giltigt användarnamn i någon av de typer som stöds. Mer information finns i Användarentiteten. |
| UsernameType | Enumerated | Typ av användarnamn som lagras i användarnamnsfält. Mer information och lista över värden som stöds finns i Användarentiteten. |
| UserIdType | Enumerated | Typ av ID som lagras i användar-ID-fält. Värden som stöds är SID, UIS, AADID, OktaId, AWSIdoch PUID. Mer information finns i Användarentiteten. |
| UserType | Enumerated | Typen av användare. Mer information och lista över tillåtna värden finns i Användarentiteten. |
| AppType | Enumerated | Typ av program. Värden som stöds är: Process, Service, Resource, URL, SaaS application, CSPoch Other. |
| Land | String | En sträng med ISO 3166-1 enligt följande prioritet: - Alfa-2-koder, till exempel US för USA. - Alfa-3-koder, till exempel USA för USA. - Kort namn. Listan över koder finns på ISO-webbplatsen (International Standards Organization). |
| Region | String | Landets underindelningsnamn med ISO 3166-2. Listan över koder finns på ISO-webbplatsen (International Standards Organization). |
| Ort | String | |
| Longitud | Dubbel | ISO 6709-koordinatrepresentation (signerad decimal). |
| Latitud | Dubbel | ISO 6709-koordinatrepresentation (signerad decimal). |
| MD5 | String | 32 hextecken. |
| SHA1 | String | 40-hex tecken. |
| SHA256 | String | 64-hex tecken. |
| SHA512 | String | 128 hextecken. |
Entiteter
Händelser utvecklas kring entiteter, till exempel användare, värdar, processer eller filer. Entitetsrepresentation gör att flera entiteter av samma typ kan ingå i en enda post och har stöd för flera attribut för samma entiteter.
För att aktivera entitetsfunktioner har entitetsrepresentation följande riktlinjer:
| Riktlinjer | beskrivning |
|---|---|
| Beskrivningar och alias | Eftersom en enskild händelse ofta innehåller mer än en entitet av samma typ, till exempel käll- och målvärdar, används deskriptorer som ett prefix för att identifiera alla fält som är associerade med en viss entitet. För att upprätthålla normaliseringen använder ASIM en liten uppsättning standardbeskrivningar och väljer de lämpligaste för entiteternas specifika roll. Om en enskild entitet av en typ är relevant för en händelse behöver du inte använda en beskrivning. Dessutom är en uppsättning fält utan ett deskriptoralias den mest använda entiteten för varje typ. |
| Identifierare och typer | Ett normaliserat schema möjliggör flera identifierare för varje entitet, som vi förväntar oss att samexistera i händelser. Om källhändelsen har andra entitetsidentifierare som inte kan mappas till det normaliserade schemat behåller du dem i källformuläret eller använder det dynamiska fältet AdditionalFields . Om du vill behålla typinformationen för identifierarna lagrar du typen, om tillämpligt, i ett fält med samma namn och ett suffix av typen. Till exempel UserIdType. |
| Attribut | Entiteter har ofta andra attribut som inte fungerar som identifierare och som också kan kvalificeras med en beskrivning. Om källanvändaren till exempel har domäninformation är det normaliserade fältet SrcUserDomain. |
Varje schema definierar uttryckligen de centrala entiteterna och entitetsfälten. Med följande riktlinjer kan du förstå de centrala schemafälten och hur du utökar scheman på ett normaliserat sätt med hjälp av andra entiteter eller entitetsfält som inte uttryckligen definieras i schemat.
Entiteten Användare
Användare är centrala för aktiviteter som rapporteras av händelser. Fälten som anges i det här avsnittet används för att beskriva de användare som deltar i åtgärden. Prefix används för att ange användarens roll i aktiviteten. Prefixen Src och Dst används för att ange användarrollen i nätverksrelaterade händelser, där ett källsystem och ett målsystem kommunicerar. Prefixen "Actor" och "Target" används för systemorienterade händelser, till exempel processhändelser.
Användar-ID och omfång
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| AnvändarID | Valfritt | String | En maskinläsbar, alfanumerisk, unik representation av användaren. |
| UserScope | Valfritt | sträng | Omfånget där UserId och Username definieras. Till exempel ett Microsoft Entra-klientdomännamn. Fältet UserIdType representerar också den typ av som är associerad med det här fältet. |
| UserScopeId | Valfritt | sträng | ID:t för det omfång där UserId och Username definieras. Till exempel ett katalog-ID för Microsoft Entra-klientorganisationen. Fältet UserIdType representerar också den typ av som är associerad med det här fältet. |
| UserIdType | Valfritt | UserIdType | Typen av ID som lagras i fältet UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Valfritt | String | Fält som används för att lagra specifika användar-ID:er. Välj det ID som är mest associerat med händelsen som det primära ID som lagras i UserId. Fyll i relevant specifikt ID-fält, förutom UserId, även om händelsen bara har ett ID. |
| UserAADTenant, UserAWSAccount | Valfritt | String | Fält som används för att lagra specifika omfång. Använd fältet UserScope för det omfång som är associerat med det ID som lagras i fältet UserId . Fyll i relevant specifikt omfångsfält, förutom UserScope, även om händelsen bara har ett ID. |
De tillåtna värdena för en användar-ID-typ är:
| Typ | Beskrivning | Exempel |
|---|---|---|
| SID | Ett Windows-användar-ID. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Ett Linux-användar-ID. | 4578 |
| AADID | Ett Microsoft Entra-användar-ID. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
| OktaId | Ett Okta-användar-ID. | 00urjk4znu3BcncfY0h7 |
| AWSId | Ett AWS-användar-ID. | 72643944673 |
| PUID | Ett Användar-ID för Microsoft 365. | 10032001582F435C |
| SalesforceId | Ett Salesforce-användar-ID. | 00530000009M943 |
Användarnamnet
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Användarnamn | Valfritt | String | Källans användarnamn, inklusive domäninformation när det är tillgängligt. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet UsernameType . |
| UsernameType | Valfritt | UsernameType | Anger typen av användarnamn som lagras i fältet Användarnamn . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Valfritt | String | Fält som används för att lagra ytterligare användarnamn, om den ursprungliga händelsen innehåller flera användarnamn. Välj det användarnamn som är mest associerat med händelsen som det primära användarnamnet som lagras i Användarnamn. |
De tillåtna värdena för en användarnamnstyp är:
| Typ | Beskrivning | Exempel |
|---|---|---|
| UPN | En designator för UPN- eller e-postadressens användarnamn. | johndow@contoso.com |
| Windows | Ett Windows-användarnamn inklusive en domän. | Contoso\johndow |
| DN | En LDAP-framstående namndesignator. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Enkel | Ett enkelt användarnamn utan en domändesignare. | johndow |
| AWSId | Ett AWS-användar-ID. | 72643944673 |
Ytterligare användarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| UserType | Valfritt | UserType | Typ av källanvändare. Värden som stöds är: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet OriginalUserType . |
| OriginalUserType | Valfritt | String | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
Enhetentiteten
Enheter, eller värdar, är vanliga termer som används för de system som deltar i händelsen. Prefixet Dvc används för att ange den primära enhet där händelsen inträffar. Vissa händelser, till exempel nätverkssessioner, har käll- och målenheter som anges av prefixet Src och Dst. I sådana fall används prefixet Dvc för enheten som rapporterar händelsen, som kan vara källan, målet eller en övervakningsenhet.
Enhetsalias
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dvc, Src, Dst | Obligatorisk | String | Fälten Dvc, "Src" eller "Dst" används som en unik identifierare för enheten. Den är inställd på den bästa tillgängliga identifieringen för enheten. De här fälten kan vara alias för fälten FQDN, DvcId, Hostname eller IpAddr. För molnkällor, för vilka det inte finns någon uppenbar enhet, använder du samma värde som fältet Händelseprodukt . |
Enhetsnamnet
Rapporterade enhetsnamn kan endast innehålla ett värdnamn eller ett fullständigt domännamn (FQDN), som innehåller ett värdnamn och ett domännamn. FQDN kan uttryckas med flera format. Följande fält möjliggör stöd för de olika varianter där enhetsnamnet kan anges.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Värdnamn | Rekommenderat | Värdnamn | Enhetens korta värdnamn. |
| Domän | Rekommenderat | String | Domänen för den enhet där händelsen inträffade, utan värdnamnet. |
| DomainType | Rekommenderat | Enumerated | Typ av domän. Värden som stöds inkluderar FQDN och Windows. Det här fältet krävs om fältet Domän används. |
| FQDN | Valfritt | String | FQDN för enheten inklusive både värdnamn och domän . Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet DomainType visar det format som används. |
Till exempel:
| Fält | Värde för indata appserver.contoso.com |
värde för indata appserver |
|---|---|---|
| Värdnamn | appserver |
appserver |
| Domän | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
När värdet som tillhandahålls av källan är ett FQDN, eller när värdet kan vara antingen och FQDN eller ett kort värdnamn, bör parsern beräkna de 4 värdena. Använd ASIM-hjälpfunktionerna _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNoch _ASIM_ResolveDvcFQDN för att enkelt ange alla fyra fälten baserat på ett enda indatavärde. Mer information finns i ASIM-hjälpfunktioner.
Enhets-ID och omfång
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| DvcId | Valfritt | String | Enhetens unika ID . Till exempel: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Valfritt | String | Molnplattformens omfångs-ID som enheten tillhör. Omfångskarta till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| Definitionsområde | Valfritt | String | Molnplattformsomfånget som enheten tillhör. Omfångskarta till en prenumeration i Azure och till ett konto på AWS. |
| DvcIdType | Valfritt | Enumerated | Typ av DvcId. Vanligtvis identifierar det här fältet även typen av Omfång och ScopeId. Det här fältet krävs om fältet DvcId används. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Valfritt | String | Fält som används för att lagra ytterligare enhets-ID:n, om den ursprungliga händelsen innehåller flera enhets-ID:n. Välj det enhets-ID som är mest associerat med händelsen som det primära ID som lagras i DvcId. |
Observera att fält med namnet ska förbereda ett rollprefix som Src eller Dst, men bör inte förbereda ett andra Dvc prefix om det används i den rollen.
De tillåtna värdena för en enhets-ID-typ är:
| Typ | Beskrivning |
|---|---|
| MDEid | System-ID som tilldelats av Microsoft Defender för Endpoint. |
| AzureResourceId | Azure-resurs-ID:t. |
| MD4IoTid | Resurs-ID för Microsoft Defender för IoT. |
| VMConnectionId | Resurs-ID för Azure Monitor VM Insights-lösningen. |
| AwsVpcId | Ett AWS VPC-ID. |
| VectraId | Ett Vectra AI-tilldelat resurs-ID. |
| Övrigt | En ID-typ som inte visas ovan. |
Till exempel tillhandahåller Azure Monitor VM Insights-lösningen information om nätverkssessioner i VMConnection. Tabellen innehåller ett Azure-resurs-ID i _ResourceId fältet och ett VM-insiktsspecifikt enhets-ID i fältet Machine . Använd följande mappning för att representera dessa ID:t:
| Fält | Mappa till |
|---|---|
| DvcId | Fältet Machine i VMConnection tabellen. |
| DvcIdType | Värdet VMConnectionId |
| DvcAzureResourceId | Fältet _ResourceId i VMConnection tabellen. |
Ytterligare enhetsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| IpAddr | Rekommenderat | IP-adress | Enhetens IP-adress. Exempel: 45.21.42.12 |
| DvcDescription | Valfritt | String | En beskrivande text som är associerad med enheten. Exempel: Primary Domain Controller. |
| MacAddr | Valfritt | MAC | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: 00:1B:44:11:3A:B7 |
| Zon | Valfritt | String | Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Zonen definieras av rapporteringsenheten. Exempel: Dmz |
| DvcOs | Valfritt | String | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: Windows |
| DvcOsVersion | Valfritt | String | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: 10 |
| DvcAction | Valfritt | String | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet, om tillämpligt. Exempel: Blocked |
| DvcOriginalAction | Valfritt | String | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| Gränssnitt | Valfritt | String | Nätverksgränssnittet som data har avbildats på. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet som samlas in av en mellanliggande enhet eller en tryckenhet. |
Observera att fält med namnet i listan med Dvc-prefixet ska förbereda ett rollprefix som Src eller Dst, men bör inte förbereda ett andra Dvc prefix om det används i den rollen.
Exempel på entitetsmappning
I det här avsnittet används Windows-händelse 4624 som ett exempel för att beskriva hur händelsedata normaliseras för Microsoft Sentinel.
Den här händelsen har följande entiteter:
| Microsoft-terminologi | Prefix för ursprungligt händelsefält | ASIM-fältprefix | beskrivning |
|---|---|---|---|
| Ämne | Subject |
Actor |
Användaren som rapporterade information om en lyckad inloggning. |
| Ny inloggning | Target |
TargetUser |
Den användare som inloggningen utfördes för. |
| Bearbeta | - | ActingProcess |
Processen som försökte logga in. |
| Nätverksinformation | - | Src |
Den dator från vilken ett inloggningsförsök utfördes. |
Baserat på dessa entiteter normaliseras Windows-händelse 4624 enligt följande (vissa fält är valfria):
| Normaliserat fält | Ursprungligt fält | Värde i exempel | Kommentar |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Skapad genom att sammanfoga de två fälten |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| AnvändarID | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Skapad genom att sammanfoga de två fälten |
| Användarnamn | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Dator | WIN-GG82ULGC9GO | |
| Värdnamn | Dator | Alias |
Nästa steg
Den här artikeln innehåller en översikt över normalisering i Microsoft Sentinel och ASIM.
Mer information finns i: