Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Einige Felder sind für alle ASIM-Schemas gemeinsam. Jedes Schema kann Richtlinien für die Verwendung einiger allgemeiner Felder im Kontext des spezifischen Schemas hinzufügen. Beispielsweise können zulässige Werte für das Feld EventType je nach Schema variieren, ebenso wie der Wert des Felds EventSchemaVersion .
Standard Log Analytics-Felder
Log Analytics generiert in den meisten Fällen die folgenden Felder für jeden Datensatz. Sie können überschrieben werden, wenn Sie einen benutzerdefinierten Connector erstellen.
| Feld | Typ | Diskussion |
|---|---|---|
| TimeGenerated | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis vom Melden des Geräts generiert wurde. |
| Type | Zeichenfolge | Die ursprüngliche Tabelle, aus der der Datensatz abgerufen wurde. Dieses Feld ist nützlich, wenn dasselbe Ereignis über mehrere Kanäle zu verschiedenen Tabellen empfangen werden kann und die gleichen EventVendor - und EventProduct-Werte aufweisen. Beispielsweise kann ein Sysmon-Ereignis entweder in der Event Tabelle oder in der WindowsEvent Tabelle erfasst werden. |
Hinweis
Log Analytics fügt auch weitere Felder hinzu, die für Sicherheitsanwendungsfälle weniger relevant sind. Weitere Informationen finden Sie unter Standard Spalten in Azure Monitor-Protokollen.
Allgemeine ASIM-Felder
Die folgenden Felder werden von ASIM für alle Schemas definiert:
Ereignisfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| EventMessage | Optional | Zeichenfolge | Eine allgemeine Nachricht oder Beschreibung, die entweder im Datensatz enthalten oder daraus generiert wird. |
| EventCount | Erforderlich | Integer | Die Anzahl der ereignisse, die vom Datensatz beschrieben werden. Dieser Wert wird verwendet, wenn die Quelle Aggregation unterstützt, und ein einzelner Datensatz kann mehrere Ereignisse darstellen. Legen Sie für andere Quellen auf fest 1. |
| EventStartTime | Erforderlich | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis gestartet wurde. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, ist dies der Zeitpunkt, zu dem das erste Ereignis generiert wurde. Wenn es nicht vom Quelldatensatz bereitgestellt wird, gibt dieses Feld einen Alias für das Feld TimeGenerated an . |
| EventEndTime | Erforderlich | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis beendet wurde. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, ist dies der Zeitpunkt, zu dem das letzte Ereignis generiert wurde. Wenn es nicht vom Quelldatensatz bereitgestellt wird, gibt dieses Feld einen Alias für das Feld TimeGenerated an . |
| Eventtype | Erforderlich | Aufgelistet | Beschreibt den vom Datensatz gemeldeten Vorgang. Jedes Schema dokumentiert die Liste der für dieses Feld gültigen Werte. Der ursprüngliche quellspezifische Wert wird im Feld EventOriginalType gespeichert. |
| EventSubType | Optional | Aufgelistet | Beschreibt eine Unterteilung des Vorgangs, der im Feld EventType gemeldet wird. Jedes Schema dokumentiert die Liste der für dieses Feld gültigen Werte. Der ursprüngliche quellspezifische Wert wird im Feld EventOriginalSubType gespeichert. |
| EventResult | Erforderlich | Aufgelistet | Einer der folgenden Werte: Success, Partial, Failure, NA (Not Applicable). Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Alternativ kann die Quelle nur das Feld EventResultDetails bereitstellen, das analysiert werden sollte, um den EventResult-Wert abzuleiten. Beispiel: Success |
| EventResultDetails | Empfohlen | Aufgelistet | Grund oder Details für das im Feld EventResult gemeldete Ergebnis. Jedes Schema dokumentiert die Liste der für dieses Feld gültigen Werte. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalResultDetails gespeichert. Beispiel: NXDOMAIN |
| EventUid | Empfohlen | Zeichenfolge | Die eindeutige ID des Datensatzes, wie von Microsoft Sentinel zugewiesen. Dieses Feld ist in der Regel dem _ItemId Log Analytics-Feld zugeordnet. |
| EventOriginalUid | Optional | Zeichenfolge | Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle angegeben. Beispiel: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Optional | Zeichenfolge | Der ursprüngliche Ereignistyp oder die URSPRÜNGLICHE ID, sofern von der Quelle angegeben. Dieses Feld wird beispielsweise verwendet, um die ursprüngliche Windows-Ereignis-ID zu speichern. Dieser Wert wird verwendet, um EventType abzuleiten, das nur einen der für jedes Schema dokumentierten Werte aufweisen sollte. Beispiel: 4624 |
| EventOriginalSubType | Optional | Zeichenfolge | Der ursprüngliche Ereignisuntertyp oder die URSPRÜNGLICHE ID, sofern von der Quelle angegeben. Dieses Feld wird beispielsweise verwendet, um den ursprünglichen Windows-Anmeldetyp zu speichern. Dieser Wert wird zum Ableiten von EventSubType verwendet, das nur einen der für jedes Schema dokumentierten Werte aufweisen sollte. Beispiel: 2 |
| EventOriginalResultDetails | Optional | Zeichenfolge | Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. Dieser Wert wird verwendet, um EventResultDetails abzuleiten, das nur einen der für jedes Schema dokumentierten Werte aufweisen sollte. |
| EventSeverity | Empfohlen | Aufgelistet | Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Mediumoder High. |
| EventOriginalSeverity | Optional | Zeichenfolge | Der ursprüngliche Schweregrad, der vom Melden des Geräts bereitgestellt wird. Dieser Wert wird verwendet, um EventSeverity abzuleiten. |
| EventProduct | Erforderlich | Zeichenfolge | Das Produkt, das das Ereignis generiert. Der Wert sollte einer der unter Anbieter und Produkte aufgeführten Werte sein. Beispiel: Sysmon |
| EventProductVersion | Optional | Zeichenfolge | Die Version des Produkts, das das Ereignis generiert. Beispiel: 12.1 |
| EventVendor | Erforderlich | Zeichenfolge | Der Anbieter des Produkts, das das Ereignis generiert. Der Wert sollte einer der unter Anbieter und Produkte aufgeführten Werte sein. Beispiel: Microsoft |
| EventSchema | Erforderlich | Aufgelistet | Das Schema, in das das Ereignis normalisiert wird. Jedes Schema dokumentiert seinen Schemanamen. |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Jedes Schema dokumentiert seine aktuelle Version. |
| EventReportUrl | Optional | URL (Zeichenfolge) | Eine URL, die im -Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis bereitstellt. |
| EventOwner | Optional | Zeichenfolge | Der Besitzer des Ereignisses, in der Regel die Abteilung oder Tochtergesellschaft, in der es generiert wurde. |
Gerätefelder
Die Rolle der Gerätefelder unterscheidet sich für verschiedene Schemas und Ereignistypen. Zum Beispiel:
- Für die Netzwerksitzungsereignisse enthalten Gerätefelder in der Regel Informationen zu dem Gerät, das das Ereignis generiert hat.
- Für die Prozessereignisse enthalten die Gerätefelder Informationen zum Gerät, auf dem der Prozess ausgeführt wird.
Jedes Schemadokument gibt die Rolle des Geräts für das Schema an.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Dvc | Alias | Zeichenfolge | Ein eindeutiger Bezeichner des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, je nach Schema. Dieses Feld kann die Felder DvcFQDN, DvcId, DvcHostname oder DvcIpAddr als Alias verwenden. Verwenden Sie für Cloudquellen, für die kein offensichtliches Gerät vorhanden ist, denselben Wert wie das Feld Ereignisprodukt . |
| DvcIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, je nach Schema. Beispiel: 45.21.42.12 |
| DvcHostname | Empfohlen | Hostname | Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, je nach Schema. Beispiel: ContosoDc |
| DvcDomain | Empfohlen | Domäne (Zeichenfolge) | Die Domäne des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, je nach Schema. Beispiel: Contoso |
| DvcDomainType | Bedingte | Aufgelistet | Der Typ von DvcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType. Hinweis: Dieses Feld ist erforderlich, wenn das Feld DvcDomain verwendet wird. |
| DvcFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, je nach Schema. Beispiel: Contoso\DESKTOP-1282V4DHinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. Das Feld DvcDomainType gibt das verwendete Format an. |
| DvcDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
| DvcId | Optional | Zeichenfolge | Die eindeutige ID des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, je nach Schema. Beispiel: 41502da5-21b7-48ec-81c9-baeea8d7d669Wenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der Liste, und speichern Sie die anderen mithilfe der Feldnamen DvcAzureResourceId, DvcMDEid usw. |
| DvcIdType | Bedingte | Aufgelistet | Der Typ von DvcId. Die Liste der zulässigen Werte ist AzureResourceId, , MD4IoTidMDEid, AwsVpcIdVMConnectionId, VectraId, AppGateId, FQDNund Other. Die Verwendung FQDN als Geräte-ID impliziert die Wiederverwendung des Hostnamens. Verwenden Sie es nur als letztes Mittel.Hinweis: Dieses Feld ist erforderlich, wenn das Feld DvcId verwendet wird. |
| DvcMacAddr | Optional | MAC-Adresse | Die MAC-Adresse des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. Beispiel: 00:1B:44:11:3A:B7 |
| DvcZone | Optional | Zeichenfolge | Das Netzwerk, in dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, je nach Schema. Die Zone wird durch das meldende Gerät definiert. Beispiel: Dmz |
| DvcOs | Optional | Zeichenfolge | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. Beispiel: Windows |
| DvcOsVersion | Optional | Zeichenfolge | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. Beispiel: 10 |
| DvcAction | Optional | Zeichenfolge | Für die Meldung von Sicherheitssystemen die vom System ausgeführte Aktion, falls zutreffend. Beispiel: Blocked |
| DvcOriginalAction | Optional | Zeichenfolge | Die ursprüngliche DvcAction , die vom Melden des Geräts bereitgestellt wird. |
| DvcInterface | Optional | Zeichenfolge | Die Netzwerkschnittstelle, auf der Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder Tippgerät erfasst werden. |
| DvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. DvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| DvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. DvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
Andere Felder
Schemaaktualisierungen
- Das
EventOwnerFeld wurde den gemeinsamen Feldern am 1. Dezember 2022 und damit allen Schemas hinzugefügt. - Das
EventUidFeld wurde den gemeinsamen Feldern am 26. Dezember 2022 und damit allen Schemas hinzugefügt.
Anbieter und Produkte
Um die Konsistenz zu gewährleisten, wird die Liste der zulässigen Anbieter und Produkte als Teil von ASIM festgelegt und entspricht möglicherweise nicht direkt dem von der Quelle gesendeten Wert, sofern verfügbar.
Die derzeit unterstützte Liste der Anbieter und Produkte, die in den Feldern EventVendor bzw . EventProduct verwendet werden, lautet:
| Anbieter | Produkte |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
– Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Wenn Sie einen Parser für einen Anbieter oder ein Produkt entwickeln, das hier nicht aufgeführt ist, wenden Sie sich an das Microsoft Sentinel-Team, um neue zulässige Anbieter- und Produktbezeichner zuzuweisen.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Sehen Sie sich das ASIM-Webinar an, oder überprüfen Sie die Folien
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)