Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Některá pole jsou společná pro všechna schémata ASIM. Každé schéma může přidat pokyny pro použití některých běžných polí v kontextu konkrétního schématu. Povolené hodnoty pole EventType se mohou například lišit podle schématu, stejně jako hodnota pole EventSchemaVersion .
Standardní pole Log Analytics
Log Analytics ve většině případů generuje následující pole pro každý záznam. Při vytváření vlastního konektoru je možné je přepsat.
| Pole | Typ | Diskuse |
|---|---|---|
| Generováno časem | Datum a čas | Čas, kdy událost vygenerovala zařízení pro generování sestav. |
| Typ | Řetězec | Původní tabulka, ze které byl záznam načten. Toto pole je užitečné, když stejnou událost lze přijímat prostřednictvím několika kanálů do různých tabulek a mají stejné hodnoty EventVendor a EventProduct . Například událost Sysmon lze shromažďovat buď do Event tabulky, nebo do WindowsEvent tabulky. |
Poznámka:
Log Analytics také přidává další pole, která jsou méně relevantní pro případy použití zabezpečení. Další informace najdete v tématu Standardní sloupce v protokolech služby Azure Monitor.
Běžná pole ASIM
Následující pole jsou definována pomocí ASIM pro všechna schémata:
Pole událostí
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Zpráva o události | Volitelné | Řetězec | Obecná zpráva nebo popis, buď zahrnutý nebo vygenerovaný ze záznamu. |
| Počet událostí | Povinné | Celé číslo | Počet událostí popsaných záznamem. Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. U jiných zdrojů nastavte hodnotu 1. |
| Čas spuštění události | Povinné | Datum/čas | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud zdrojový záznam nezadá, toto pole aliasy pole TimeGenerated . |
| Čas ukončení události | Povinné | Datum/čas | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud zdrojový záznam nezadá, toto pole aliasy pole TimeGenerated . |
| Typ události | Povinné | Vyjmenováno | Popisuje operaci hlášenou záznamem. Každé schéma dokumentuje seznam hodnot platných pro toto pole. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalType . |
| Podtyp události | Volitelné | Vyjmenováno | Popisuje dílčí rozdělení operace hlášené v poli EventType . Každé schéma dokumentuje seznam hodnot platných pro toto pole. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalSubType . |
| Výsledek události | Povinné | Vyjmenováno | Jedna z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Případně může zdroj poskytnout pouze pole EventResultDetails , které by mělo být analyzováno pro odvození hodnoty EventResult. Příklad: Success |
| Podrobnosti o výsledku události | Doporučené | Vyjmenováno | Důvod nebo podrobnosti výsledku hlášeného v poli EventResult Každé schéma dokumentuje seznam hodnot platných pro toto pole. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalResultDetails . Příklad: NXDOMAIN |
| Id události | Doporučené | Řetězec | Jedinečné ID záznamu přiřazené službou Microsoft Sentinel. Toto pole se obvykle mapuje na _ItemId pole Log Analytics. |
| Událost OriginalUid | Volitelné | Řetězec | Jedinečné ID původního záznamu, pokud zdroj poskytuje. Příklad: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| Typ_události | Volitelné | Řetězec | Původní typ nebo ID události, pokud zdroj poskytuje. Toto pole se například používá k uložení původního ID události Systému Windows. Tato hodnota se používá k odvození třídy EventType, která by měla mít pouze jednu z hodnot zdokumentovaných pro každé schéma. Příklad: 4624 |
| UdálostPůvodníPodtyp | Volitelné | Řetězec | Původní podtyp nebo ID události, pokud zdroj poskytuje. Toto pole se například používá k uložení původního typu přihlášení systému Windows. Tato hodnota se používá k odvození třídy EventSubType, která by měla obsahovat pouze jednu z hodnot zdokumentovaných pro každé schéma. Příklad: 2 |
| Podrobnosti o původním výsledku události | Volitelné | Řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. Tato hodnota se používá k odvození EventResultDetails, které by měly mít pouze jednu z hodnot dokumentovaných pro každé schéma. |
| Závažnost události | Doporučené | Vyjmenováno | Závažnost události. Platné hodnoty jsou: Informational, Low, Mediumnebo High. |
| UdálostOriginalSeverity | Volitelné | Řetězec | Původní závažnost poskytovaná zařízením pro generování sestav. Tato hodnota se používá k odvození hodnoty EventSeverity. |
| UdálostProdukt | Povinné | Řetězec | Produkt, který událost generuje. Hodnota by měla být jednou z hodnot uvedených v části Dodavatelé a Produkty. Příklad: Sysmon |
| Verze produktu EventProductVersion | Volitelné | Řetězec | Verze produktu generující událost. Příklad: 12.1 |
| Dodavatel událostí | Povinné | Řetězec | Dodavatel produktu, který událost generuje. Hodnota by měla být jednou z hodnot uvedených v části Dodavatelé a Produkty. Příklad: Microsoft |
| Schéma událostí | Povinné | Vyjmenováno | Schéma, do které se událost normalizuje. Každé schéma dokumentuje název schématu. |
| Verze EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Každé schéma dokumentuje svou aktuální verzi. |
| Adresa URL zprávy o události | Volitelné | URL (řetězec) | Adresa URL zadaná v události pro prostředek, který poskytuje další informace o události. |
| Vlastník události | Volitelné | Řetězec | Vlastník události, která je obvykle oddělením nebo dceřinou společností, ve které byla vygenerována. |
Pole zařízení
Role polí zařízení se liší pro různá schémata a typy událostí. Příklad:
- V případě událostí síťové relace pole zařízení obvykle poskytují informace o zařízení, které událost vygenerovalo.
- V případě událostí procesu pole zařízení poskytují informace o zařízení, na které se proces spouští.
Každý dokument schématu určuje roli zařízení pro schéma.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| DVC | Přezdívka | Řetězec | Jedinečný identifikátor zařízení, na kterém došlo k události nebo které ohlásila událost v závislosti na schématu. Toto pole může aliasovat pole DvcFQDN, DvcId, DvcHostname nebo DvcIpAddr . Pro cloudové zdroje, pro které není zřejmé zařízení, použijte stejnou hodnotu jako pole Produkt události. |
| DvcIpAddr | Doporučené | adresa IP | IP adresa zařízení, na kterém došlo k události nebo která událost nahlásila v závislosti na schématu. Příklad: 45.21.42.12 |
| Název hostitele Dvc | Doporučené | Název hostitele | Název hostitele zařízení, na kterém došlo k události nebo které ohlásila událost v závislosti na schématu. Příklad: ContosoDc |
| Doména DvcDomain | Doporučené | Doména (řetězec) | Doména zařízení, na kterém došlo k události nebo která událost nahlásila v závislosti na schématu. Příklad: Contoso |
| Typ domény Dvc | Podmíněné | Vyjmenováno | Typ DvcDomain. Seznam povolených hodnot a další informace najdete v části DomainType. Poznámka: Toto pole je povinné, pokud se použije pole DvcDomain . |
| DvcFQDN – název domény | Volitelné | FQDN (struna) | Název hostitele zařízení, na kterém došlo k události nebo které ohlásila událost v závislosti na schématu. Příklad: Contoso\DESKTOP-1282V4DPoznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole DvcDomainType odráží použitý formát. |
| Popis dvcDescription | Volitelné | Řetězec | Popisný text přidružený k zařízení Například: Primary Domain Controller. |
| DvcId | Volitelné | Řetězec | Jedinečné ID zařízení, na kterém došlo k události nebo které ohlásila událost v závislosti na schématu. Příklad: 41502da5-21b7-48ec-81c9-baeea8d7d669Pokud je k dispozici více ID, použijte první id ze seznamu a uložte ostatní pomocí názvů polí DvcAzureResourceId, DvcMDEid atd. |
| Typ dvcId | Podmíněné | Vyjmenováno | Typ DvcId. Seznam povolených hodnot je AzureResourceId, , MDEidVectraIdAwsVpcIdMD4IoTidVMConnectionId, AppGateId, , FQDNa .Other Použití FQDN jako ID zařízení znamená opakované použití názvu hostitele. Používejte ho jenom jako poslední možnost.Poznámka: Toto pole je povinné, pokud se použije pole DvcId . |
| DvcMacAddr | Volitelné | Adresa MAC | Adresa MAC zařízení, na kterém došlo k události nebo která událost nahlásila. Příklad: 00:1B:44:11:3A:B7 |
| DvcZone | Volitelné | Řetězec | Síť, na které došlo k události nebo která událost hlásila, v závislosti na schématu. Zóna je definovaná zařízením pro generování sestav. Příklad: Dmz |
| DvcOs | Volitelné | Řetězec | Operační systém spuštěný na zařízení, na kterém došlo k události nebo na kterém byla událost hlášena. Příklad: Windows |
| DvcOsVersion | Volitelné | Řetězec | Verze operačního systému v zařízení, na kterém došlo k události nebo která ohlásila událost. Příklad: 10 |
| DvcAction | Volitelné | Řetězec | U systémů zabezpečení pro vytváření sestav opatření, která systém provedl, pokud je to možné. Příklad: Blocked |
| DvcOriginalAction | Volitelné | Řetězec | Původní DvcAction , jak poskytuje zařízení pro generování sestav. |
| Rozhraní Dvc | Volitelné | Řetězec | Síťové rozhraní, na kterém byla zaznamenána data. Toto pole je obvykle relevantní pro aktivitu související se sítí, která je zachycena zprostředkujícím zařízením nebo klepnutím na zařízení. |
| Identifikátor DvcScopeId | Volitelné | Řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| Rozsah DvcScope | Volitelné | Řetězec | Rozsah cloudové platformy, do které zařízení patří. DvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
Další pole
Aktualizace schématu
- Pole
EventOwnerbylo přidáno do společných polí 1. prosince 2022, a proto do všech schémat. - Pole
EventUidbylo přidáno do společných polí 26. prosince 2022, a proto do všech schémat.
Dodavatelé a produkty
Kvůli zachování konzistence je seznam povolených dodavatelů a produktů nastavený jako součást ASIM a nemusí přímo odpovídat hodnotě odeslané zdrojem, pokud je k dispozici.
Aktuálně podporovaný seznam dodavatelů a produktů používaných v polích EventVendor a EventProduct je následující:
| Dodavatel | Produkty |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
– Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linu
- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Pokud vyvíjíte analyzátor pro dodavatele nebo produkt, který zde není uvedený, obraťte se na tým Microsoft Sentinel a přidělte nové povolené dodavatele a designátory produktů.
Další kroky
Další informace naleznete v tématu: