Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Některá pole jsou společná pro všechna schémata ASIM. Každé schéma může přidat pokyny pro použití některých společných polí v kontextu konkrétního schématu. Například povolené hodnoty pole EventType se mohou lišit podle schématu, stejně jako hodnota pole EventSchemaVersion .
Pole Služby Log Analytics úrovně Standard
Log Analytics ve většině případů pro každý záznam vygeneruje následující pole. Při vytváření vlastního konektoru je možné je přepsat.
| :----- | Typ | Diskuse |
|---|---|---|
| TimeGenerated | Datum a čas | Čas, kdy byla událost vygenerována zařízením pro vytváření sestav. |
| Typ | String | Původní tabulka, ze které byl záznam načten. Toto pole je užitečné, když je možné stejnou událost přijímat prostřednictvím více kanálů do různých tabulek a mít stejné hodnoty EventVendor a EventProduct . Například událost Sysmon je možné shromáždit buď do Event tabulky, nebo do WindowsEvent tabulky. |
Poznámka
Log Analytics také přidává další pole, která jsou méně relevantní pro případy použití zabezpečení. Další informace najdete v tématu Standardní sloupce v protokolech monitorování Azure.
Běžná pole ASIM
Následující pole definuje ASIM pro všechna schémata:
Pole událostí
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| EventMessage | Nepovinný | String | Obecná zpráva nebo popis, buď zahrnutý v záznamu, nebo vygenerovaný z záznamu. |
| Počet událostí | Povinné | Celé číslo | Počet událostí popsaných záznamem Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. U jiných zdrojů nastavte na 1. |
| EventStartTime | Povinné | Datum a čas | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud zdrojový záznam nezadá, bude toto pole aliasovat pole TimeGenerated . |
| EventEndTime | Povinné | Datum a čas | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud zdrojový záznam nezadá, bude toto pole aliasovat pole TimeGenerated . |
| Eventtype | Povinné | Výčtové | Popisuje operaci hlášenou záznamem. Každé schéma dokumentuje seznam hodnot platných pro toto pole. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalType . |
| EventSubType | Nepovinný | Výčtové | Popisuje dílčí dělení operace hlášené v poli EventType . Každé schéma dokumentuje seznam hodnot platných pro toto pole. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalSubType . |
| EventResult | Povinné | Výčtové | Jedna z následujících hodnot: Úspěch, Částečné, Selhání, NA (Nejde použít). Hodnota může být ve zdrojovém záznamu zadaná pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Případně může zdroj poskytnout pouze pole EventResultDetails , které by se mělo analyzovat, aby bylo možné odvodit hodnotu EventResult. Například: Success |
| EventResultDetails | Doporučené | Výčtové | Důvod nebo podrobnosti o výsledku hlášeného v poli EventResult Každé schéma dokumentuje seznam hodnot platných pro toto pole. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalResultDetails . Například: NXDOMAIN |
| Id události | Doporučené | String | Jedinečné ID záznamu, které přiřadil Microsoft Sentinel. Toto pole se obvykle mapuje na _ItemId pole Log Analytics. |
| EventOriginalUid | Nepovinný | String | Jedinečné ID původního záznamu, pokud ho poskytuje zdroj. Například: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Nepovinný | String | Původní typ události nebo ID, pokud je k dispozici zdroj. Toto pole se například používá k uložení původního ID události systému Windows. Tato hodnota se používá k odvození třídy EventType, která by měla obsahovat pouze jednu z hodnot zdokumentovaných pro každé schéma. Například: 4624 |
| EventOriginalSubType | Nepovinný | String | Původní podtyp nebo ID události, pokud je k dispozici zdroj. Toto pole se například používá k uložení původního typu přihlášení systému Windows. Tato hodnota se používá k odvození třídy EventSubType, která by měla obsahovat pouze jednu z hodnot zdokumentovaných pro každé schéma. Například: 2 |
| EventOriginalResultDetails | Nepovinný | String | Původní podrobnosti o výsledku poskytnuté zdrojem. Tato hodnota se používá k odvození EventResultDetails, který by měl mít pouze jednu z hodnot zdokumentovaných pro každé schéma. |
| EventSeverity | Doporučené | Výčtové | Závažnost události. Platné hodnoty jsou: Informational, Low, Mediumnebo High. |
| EventOriginalSeverity | Nepovinný | String | Původní závažnost poskytovaná zařízením pro generování sestav. Tato hodnota se používá k odvození EventSeverity. |
| EventProduct | Povinné | String | Produkt generující událost. Hodnota by měla být jedna z hodnot uvedených v části Dodavatelé a Produkty. Například: Sysmon |
| EventProductVersion | Nepovinný | String | Verze produktu, který generuje událost. Například: 12.1 |
| EventVendor | Povinné | String | Dodavatel produktu, který událost generuje. Hodnota by měla být jedna z hodnot uvedených v části Dodavatelé a Produkty. Například: Microsoft |
| EventSchema | Povinné | Výčtové | Schéma, na které je událost normalizována. Každé schéma dokumentuje svůj název schématu. |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Každé schéma dokumentuje svou aktuální verzi. |
| EventReportUrl | Nepovinný | Adresa URL (řetězec) | Adresa URL zadaná v události pro prostředek, která poskytuje další informace o události. |
| Vlastník událostí | Nepovinný | String | Vlastník události, což je obvykle oddělení nebo pobočka, ve které se událost vygenerovala. |
Pole zařízení
Role polí zařízení se liší pro různá schémata a typy událostí. Příklady:
- V případě událostí síťové relace pole zařízení obvykle poskytují informace o zařízení, které událost vygenerovalo.
- V případě událostí procesu pole zařízení poskytují informace o zařízení o tom, že se proces provádí.
Každý dokument schématu určuje roli zařízení pro schéma.
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Dvc | Alias | String | Jedinečný identifikátor zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu. Toto pole může aliasovat pole DvcFQDN, DvcId, DvcHostname nebo DvcIpAddr . Pro cloudové zdroje, pro které neexistuje žádné zdánlivé zařízení, použijte stejnou hodnotu jako v poli Produkt události . |
| DvcIpAddr | Doporučené | IP adresa | IP adresa zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu. Například: 45.21.42.12 |
| Název hostitele Dvc | Doporučené | Název hostitele | Název hostitele zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu. Například: ContosoDc |
| Doména dvc | Doporučené | Doména (řetězec) | Doména zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu Například: Contoso |
| DvcDomainType | Podmíněné | Výčtové | Typ DvcDomain. Seznam povolených hodnot a další informace najdete v části DomainType. Poznámka: Toto pole je povinné, pokud se používá pole DvcDomain . |
| DvcFQDN | Nepovinný | Plně kvalifikovaný název domény (řetězec) | Název hostitele zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu. Například: Contoso\DESKTOP-1282V4DPoznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. Pole DvcDomainType odráží použitý formát. |
| Popis dvcDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
| DvcId | Nepovinný | String | Jedinečné ID zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu. Například: 41502da5-21b7-48ec-81c9-baeea8d7d669Pokud je k dispozici více ID, použijte první id ze seznamu a uložte ostatní pomocí názvů polí DvcAzureResourceId, DvcMDEid atd. |
| DvcIdType | Podmíněné | Výčtové | Typ DvcId. Seznam povolených hodnot je AzureResourceId, MDEid, MD4IoTid, VMConnectionId, AwsVpcId, VectraId, AppGateId, FQDNa Other. Použití FQDN jako ID zařízení znamená opakované použití názvu hostitele. Používejte ho jen jako poslední možnost.Poznámka: Toto pole je povinné, pokud se používá pole DvcId . |
| DvcMacAddr | Nepovinný | Adresa MAC | Adresa MAC zařízení, na kterém došlo k události nebo které událost nahlásilo. Například: 00:1B:44:11:3A:B7 |
| DvcZone | Nepovinný | String | Síť, ve které došlo k události nebo která událost ohlásila, v závislosti na schématu. Zónu definuje zařízení pro vytváření sestav. Například: Dmz |
| DvcO | Nepovinný | String | Operační systém spuštěný na zařízení, na kterém došlo k události nebo které událost nahlásilo. Například: Windows |
| DvcOsVersion | Nepovinný | String | Verze operačního systému na zařízení, na kterém došlo k události nebo které událost nahlásilo. Například: 10 |
| Akce DvcAction | Nepovinný | String | Pokud je to možné, v případě hlášení bezpečnostních systémů akce, kterou systém podnikl. Například: Blocked |
| DvcOriginalAction | Nepovinný | String | Původní Akce DvcAction poskytovaná zařízením pro vytváření sestav. |
| DvcInterface | Nepovinný | String | Síťové rozhraní, na kterém se data zachytávají. Toto pole je obvykle relevantní pro aktivitu související se sítí, kterou zaznamenává zprostředkující zařízení nebo zařízení s klepnutím. |
| DvcScopeId | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| DvcScope | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. DvcScope se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
Další pole
Aktualizace schématu
- Pole
EventOwnerbylo přidáno do společných polí 1. prosince 2022, a proto do všech schémat. - Pole
EventUidbylo přidáno do společných polí 26. prosince 2022, a proto do všech schémat.
Dodavatelé a produkty
Kvůli zachování konzistence je seznam povolených dodavatelů a produktů nastaven jako součást ASIM a nemusí přímo odpovídat hodnotě odeslané zdrojem, pokud je k dispozici.
Aktuálně podporovaný seznam dodavatelů a produktů používaných v polích EventVendor a EventProduct je:
| Dodavatele | Produkty |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Pokud vyvíjíte analyzátor pro dodavatele nebo produkt, který tu není uvedený, obraťte se na tým Microsoft Sentinel a přidělte nové povolené dodavatele a designátory produktů.
Další kroky
Další informace najdete tady: