Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
Skema Advanced Security Information Model (ASIM) adalah seperangkat bidang yang mewakili suatu aktivitas. Menggunakan bidang dari skema yang dinormalisasi dalam kueri memastikan bahwa kueri akan berfungsi dengan setiap sumber yang dinormalisasi.
Untuk memahami cara skema cocok dalam arsitektur ASIM, lihat diagram arsitektur ASIM.
Referensi skema menguraikan bidang yang terdiri dari setiap skema. ASIM saat ini mendefinisikan skema berikut:
| Skema | Versi | Status |
|---|---|---|
| Peristiwa Audit | 0.1 | Pratinjau |
| Peristiwa Autentikasi | 0.1.3 | Pratinjau |
| Aktivitas DNS | 0.1.7 | Pratinjau |
| Aktivitas DHCP | 0.1 | Pratinjau |
| Aktivitas File | 0.2.1 | Pratinjau |
| Sesi Jaringan | 0.2.6 | Pratinjau |
| Peristiwa Proses | 0.1.4 | Pratinjau |
| Peristiwa Registri | 0.1.2 | Pratinjau |
| Manajemen Pengguna | 0.1 | Pratinjau |
| Sesi Web | 0.2.6 | Pratinjau |
Penting
Skema dan parser ASIM saat ini sedang dalam pratinjau. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Konsep skema
Konsep-konsep berikut membantu memahami dokumen referensi skema dan memperluas skema dengan cara yang dinormalisasi jika data Anda menyertakan informasi yang tidak dicakup oleh skema tersebut.
| Konsep | Deskripsi |
|---|---|
| Nama bidang | Inti dari setiap skema adalah nama bidangnya. Nama bidang termasuk dalam grup berikut: - Bidang umum untuk semua skema. - Bidang khusus untuk skema. - Bidang yang mewakili entitas, seperti pengguna, yang mengambil bagian dalam skema. Bidang yang mewakili entiti serupa dengan seluruh skema. Saat sumber memiliki bidang yang tidak disajikan dalam skema yang didokumentasikan, sumber dinormalisasi untuk menjaga konsistensi. Jika bidang tambahan mewakili entitas, bidang tersebut akan dinormalisasi berdasarkan pedoman bidang entitas. Jika tidak, skema berusaha untuk menjaga konsistensi di semua skema. Misalnya, sementara log aktivitas server DNS tidak memberikan informasi pengguna, log aktivitas DNS dari titik akhir mungkin menyertakan informasi pengguna, yang dapat dinormalisasi sesuai dengan pedoman entitas pengguna. |
| Jenis bidang | Setiap bidang skema memiliki tipe. Ruang kerja Log Analytics memiliki kumpulan tipe data terbatas. Karena alasan ini, Microsoft Sentinel menggunakan tipe logis untuk banyak bidang skema, yang tidak diterapkan oleh Log Analytics tetapi diperlukan untuk kompatibilitas skema. Tipe bidang logis memastikan bahwa nilai dan nama bidang konsisten di seluruh sumber. Untuk informasi lebih lanjut, lihat Jenis Logis. |
| Kelas bidang | Bidang mungkin memiliki beberapa kelas, yang menentukan kapan bidang harus diimplementasikan oleh pengurai: Bidang - Wajibharus muncul di setiap pengurai. Jika sumber Anda tidak memberikan informasi untuk nilai ini, atau data tidak dapat ditambahkan, itu tidak akan mendukung sebagian besar item konten yang mereferensikan skema yang dinormalisasi. Bidang - Rekomendasi harus dinormalisasi jika tersedia. Namun, mungkin tidak tersedia di setiap sumber. Item konten apa pun yang merujuk skema normalisasi harus mempertimbangkan ketersediaan. Bidang - opsional, jika tersedia, dapat dinormalisasi atau ditinggalkan dalam bentuk aslinya. Biasanya, parser minimal tidak akan menormalkannya karena alasan performa. - Bidang bersyukur wajib jika bidang yang mereka ikuti diisi. Bidang bersyukur biasanya digunakan untuk menjelaskan nilai di bidang lain. Misalnya, bidang umum DvcIdType menjelaskan nilai int bidang umum DvcId dan oleh karena itu wajib jika yang terakhir diisi. - Alias adalah jenis khusus dari bidang bersyarkat, dan wajib jika bidang alias diisi. |
| Bidang umum | Beberapa bidang sudah umum untuk semua skema ASIM. Setiap skema mungkin menambahkan panduan untuk menggunakan beberapa bidang umum dalam konteks skema tertentu. Misalnya, nilai yang diizinkan untuk bidang EventType mungkin berbeda per skema, seperti halnya nilai bidang EventSchemaVersion. |
| Entitas | Peristiwa berkembang di sekitar entitas, seperti pengguna, host, proses, atau file. Setiap entitas mungkin memerlukan beberapa bidang untuk menggambarkannya. Misalnya, host mungkin memiliki nama dan alamat IP. Satu catatan dapat mencakup beberapa entitas dengan jenis yang sama, seperti host sumber dan tujuan. ASIM mendefinisikan cara menggambarkan entitas secara konsisten, dan entitas memungkinkan untuk memperluas skema. Misalnya, sementara skema Sesi Jaringan tidak menyertakan informasi proses, beberapa sumber peristiwa menyediakan informasi proses yang dapat ditambahkan. Untuk informasi selengkapnya, lihat Entitas. |
| Alias | Alias memungkinkan beberapa nama untuk nilai tertentu. Dalam beberapa kasus, pengguna yang berbeda mengharapkan bidang memiliki nama yang berbeda. Misalnya, dalam terminologi DNS, Anda mungkin mengharapkan bidang bernama DnsQuery, sementara lebih umum, bidang menyimpan nama domain. Domain alias membantu pengguna dengan mengizinkan penggunaan kedua nama. Dalam beberapa kasus, alias dapat memiliki nilai salah satu dari beberapa bidang, tergantung pada nilai mana yang tersedia dalam peristiwa tersebut. Misalnya, alias Dvc , alias baik bidang DvcFQDN, DvcId, DvcHostname, atau DvcIpAddr , atau Produk Peristiwa. Ketika alias dapat memiliki beberapa nilai, jenisnya harus berupa string untuk mengakomodasi semua kemungkinan nilai alias. Akibatnya, saat menetapkan nilai ke alias seperti itu, pastikan untuk mengonversi jenis menjadi string menggunakan tostring fungsi KQL. Tabel asli yang dinormalisasi tidak menyertakan alias, karena tabel tersebut akan menyiratkan penyimpanan data duplikat. Sebagai gantinya, pengurai stub menambahkan alias. Untuk menerapkan alias di parser, buat salinan nilai asli dengan menggunakan extend operator. |
Tipe logika
Setiap bidang skema memiliki tipe. Beberapa memiliki jenis Log Analytics bawaan, seperti string, int, datetime, atau dynamic. Bidang lain memiliki jenis Logis, yang mewakili cara nilai bidang harus dinormalisasi.
| Jenis Data | Jenis fisik | Format dan nilai |
|---|---|---|
| Boolean | Bool | Gunakan jenis data KQL bawaan bool, bukan representasi numerik atau string nilai Boolean. |
| Disebutkan | String | Daftar nilai sebagaimana didefinisikan secara eksplisit untuk bidang ini. Definisi skema mencantumkan nilai yang diterima. |
| Tanggal/Waktu | Bergantung pada kemampuan metode penyerapan, gunakan salah satu representasi fisik berikut dalam prioritas turun: - Jenis tanggalwaktu bawaan Analitik Log - Bidang bilangan bulat menggunakan representasi numerik tanggalwaktu Analitik Log. - Bidang string menggunakan representasi numerik tanggalwaktu Log Analytics - Bidang string yang menyimpan format tanggal/waktu Log Analytics yang didukung. |
Representasi tanggal dan waktu Analitik Log serupa tetapi berbeda dari representasi waktu Unix. Untuk informasi lebih lanjut, lihat panduan konversi. Catatan:Bila berlaku, waktu harus disesuaikan zona waktu. |
| Alamat MAC | String | Notasi Colon-Hexadecimal. |
| Alamat IP | String | Skema Microsoft Sentinel tidak memiliki alamat IPv4 dan IPv6 terpisah. Bidang alamat IP apa pun mungkin menyertakan alamat IPv4 atau alamat IPv6, sebagai berikut: - IPv4dalam notasi dot-desimal. - IPv6 dalam 8 notasi hextets, yang memungkinkan untuk bentuk pendek. Contohnya: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Bentuk pendek IPv6: 1080::8:800:200C:417A |
| FQDN | String | Nama domain yang sepenuhnya memenuhi syarat menggunakan notasi titik, misalnya learn.microsoft.com. Untuk informasi lebih lanjut, lihat Entitas perangkat. |
| Hostname | String | Nama host yang bukan FQDN, mencakup hingga 63 karakter termasuk huruf, angka, dan tanda hubung. Untuk informasi lebih lanjut, lihat Entitas perangkat. |
| DomainType | Disebutkan | Jenis domain yang disimpan di bidang domain dan FQDN. Untuk daftar nilai dan informasi selengkapnya, lihat Entitas Perangkat. |
| DvcIdType | Disebutkan | Jenis ID perangkat yang disimpan dalam bidang DvcId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType. |
| DeviceType | Disebutkan | Jenis perangkat yang disimpan di bidang DeviceType. Nilai yang mungkin termasuk: - Computer- Mobile Device- IOT Device- Other. Untuk informasi lebih lanjut, lihat Entitas perangkat. |
| Username | String | Nama pengguna yang valid di salah satu jenis yang didukung. Untuk informasi lebih lanjut, lihat Entitas pengguna. |
| UsernameType | Disebutkan | Jenis nama pengguna yang disimpan di bidang nama pengguna. Untuk informasi selengkapnya, dan daftar nilai yang didukung, lihat Entitas Pengguna. |
| UserIdType | Disebutkan | Jenis ID yang disimpan di bidang ID pengguna. Nilai yang didukung adalah SID, , UISAADID, OktaId, AWSId, dan PUID. Untuk informasi lebih lanjut, lihat Entitas pengguna. |
| UserType | Disebutkan | Jenis pengguna. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat Entitas Pengguna. |
| AppType | Disebutkan | Jenis aplikasi. Nilai yang didukung mencakup: Process, Service, Resource, URL, SaaS application, CSP, dan Other. |
| Negara | String | String yang menggunakan ISO 3166-1, sesuai dengan prioritas berikut: - Kode Alpha-2 seperti US untuk Amerika Serikat. - Kode Alpha-3 seperti USA untuk Amerika Serikat. - Nama pendek. Daftar kode dapat ditemukan di situs web Organisasi Standar Internasional (ISO). |
| Wilayah | String | Nama subdivisi negara, menggunakan ISO 3166-2. Daftar kode dapat ditemukan di situs web Organisasi Standar Internasional (ISO). |
| Kota | String | |
| Garis bujur | Laju | Representasi koordinat ISO 6709 (desimal bertanda). |
| Garis Lintang | Laju | Representasi koordinat ISO 6709 (desimal bertanda). |
| MD5 | String | Karakter 32-hex. |
| SHA1 | String | Karakter 40-hex. |
| SHA256 | String | Karakter 64-hex. |
| SHA512 | String | Karakter 128-hex. |
Entitas
Peristiwa berkembang di sekitar entitas, seperti pengguna, host, proses, atau file. Representasi entitas memungkinkan beberapa entitas dari jenis yang sama untuk menjadi bagian dari satu catatan, dan mendukung beberapa atribut untuk entitas yang sama.
Untuk mengaktifkan fungsionalitas entitas, perwakilan entitas memiliki panduan berikut:
| Pedoman | Deskripsi |
|---|---|
| Deskriptor dan aliasing | Karena satu peristiwa sering mencakup lebih dari satu entitas dengan jenis yang sama, seperti host sumber dan tujuan, deskriptor digunakan sebagai awalan untuk mengidentifikasi semua bidang yang terkait dengan entitas tertentu. Untuk mempertahankan normalisasi, ASIM menggunakan satu set kecil deskriptor standar, memilih yang paling sesuai untuk peran spesifik entitas. Jika satu entitas dari suatu jenis relevan untuk suatu peristiwa, tidak perlu menggunakan deskriptor. Juga, satu set bidang tanpa deskriptor alias entitas yang paling banyak digunakan untuk setiap jenis. |
| Pengidentifikasi dan tipe | Skema normalisasi memungkinkan beberapa pengidentifikasi untuk setiap entitas, yang kami harapkan untuk hidup berdampingan dalam peristiwa. Jika peristiwa sumber memiliki pengenal entitas lain yang tidak dapat dipetakan ke skema yang dinormalisasi, simpan dalam bentuk sumber atau gunakan bidang dinamis AdditionalFields. Untuk menyimpan informasi tipe untuk pengidentifikasi, simpan tipe, bila berlaku, di bidang dengan nama yang sama dan akhiran Type. Misalnya, UserIdType. |
| Atribut | Entitas sering memiliki atribut lain yang tidak berfungsi sebagai pengenal, dan juga dapat memenuhi syarat dengan deskriptor. Misalnya, jika pengguna sumber memiliki informasi domain, bidang yang dinormalisasi adalah SrcUserDomain. |
Setiap skema secara eksplisit mendefinisikan entitas pusat dan bidang entitas. Panduan berikut memungkinkan Anda memahami bidang skema pusat, serta cara memperluas skema dengan cara yang dinormalisasi menggunakan entitas lain atau bidang entitas yang tidak ditentukan secara eksplisit dalam skema.
Entitas pengguna
Pengguna adalah pusat dari aktivitas yang dilaporkan oleh peristiwa. Bidang yang tercantum di bagian ini digunakan untuk menjelaskan pengguna yang terlibat dalam tindakan. Awalan digunakan untuk menetapkan peran pengguna dalam aktivitas. Awalan Src dan Dst digunakan untuk menetapkan peran pengguna dalam peristiwa terkait jaringan, di mana sistem sumber dan sistem tujuan berkomunikasi. Awalan 'Actor' dan 'Target' digunakan untuk peristiwa yang berorientasi pada sistem seperti peristiwa proses.
ID serta cakupan pengguna
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| UserId | Opsional | String | Representasi pengguna yang dapat dibaca mesin, alfanumerik, dan unik. |
| UserScope | Opsional | string | Cakupan di mana UserId dan Nama Pengguna ditentukan. Misalnya, nama domain penyewa Microsoft Entra. Bidang UserIdType juga mewakili jenis yang terkait dengan bidang ini. |
| UserScopeId | Opsional | string | ID cakupan di mana UserId dan Nama Pengguna ditentukan. Misalnya, ID direktori penyewa Microsoft Entra. Bidang UserIdType juga mewakili jenis yang terkait dengan bidang ini. |
| UserIdType | Opsional | UserIdType | Jenis ID yang disimpan dalam bidang UserId. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Opsional | String | Bidang yang digunakan untuk menyimpan ID dari pengguna tertentu. Pilih ID yang paling terkait dengan peristiwa sebagai ID utama yang disimpan di UserId. Mengisi bidang ID yang relevan secara spesifik, selain UserId, bahkan apabila peristiwa tersebut hanya memiliki satu ID. |
| UserAADTenant, UserAWSAccount | Opsional | String | Bidang yang digunakan untuk menyimpan cakupan yang tertentu. Menggunakan bidang UserScope untuk lingkup yang diasosiasikan dengan ID yang disimpan pada bidang UserId. Mengisi bidang lingkup yang relevan secara spesifik, selain UserScope, bahkan jika peristiwa hanya memiliki satu ID. |
Nilai yang diizinkan untuk jenis ID pengguna adalah:
| Tipe | Deskripsi | Contoh |
|---|---|---|
| SID | ID pengguna Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | ID pengguna Linux. | 4578 |
| AADID | ID pengguna Microsoft Entra. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
| OktaId | ID pengguna Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | ID pengguna AWS. | 72643944673 |
| PUID | ID pengguna Microsoft 365. | 10032001582F435C |
| SalesforceId | ID pengguna Salesforce. | 00530000009M943 |
Nama pengguna
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Username | Opsional | String | Nama pengguna Sumber, termasuk informasi domain jika tersedia. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang UsernameType. |
| UsernameType | Opsional | UsernameType | Menentukan jenis nama pengguna yang disimpan di bidang Nama Pengguna. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Opsional | String | Bidang yang digunakan untuk menyimpan nama pengguna tambahan, jika peristiwa asli menyertakan beberapa nama pengguna. Pilih nama pengguna yang paling terkait dengan peristiwa sebagai nama pengguna utama yang disimpan di Nama Pengguna. |
Nilai yang diizinkan untuk jenis nama pengguna adalah:
| Tipe | Deskripsi | Contoh |
|---|---|---|
| UPN | Penunjuk Nama pengguna alamat email atau Nama prinsipal pengguna. | johndow@contoso.com |
| Windows | Nama pengguna Windows termasuk domain. | Contoso\johndow |
| DN | Penunjuk nama khusus LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Sederhana | Nama pengguna sederhana tanpa penunjuk domain. | johndow |
| AWSId | ID pengguna AWS. | 72643944673 |
Bidang pengguna tambahan
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| UserType | Opsional | UserType | Jenis pengguna sumber. Nilai yang didukung mencakup: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Nilai mungkin diberikan dalam catatan sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasikan ke nilai-nilai ini. Simpan nilai asli di bidang OriginalUserType. |
| OriginalUserType | Opsional | String | Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor. |
Entitas perangkat
Perangkat, atau host, adalah istilah umum yang digunakan untuk sistem yang mengambil bagian dalam peristiwa tersebut. Awalan Dvc digunakan untuk menunjuk perangkat utama tempat peristiwa terjadi. Beberapa peristiwa, seperti sesi jaringan, memiliki perangkat sumber dan tujuan, yang ditunjuk oleh awalan Src dan Dst. Dalam kasus seperti itu, awalan Dvc digunakan untuk perangkat yang melaporkan peristiwa, yang mungkin merupakan sumber, tujuan, atau perangkat pemantauan.
Alias perangkat
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Dvc, Src, Dst | Wajib | String | Bidang Dvc, 'Src', atau 'Dst' digunakan sebagai pengidentifikasi unik perangkat. Ini diatur ke yang terbaik yang tersedia yang diidentifikasi untuk perangkat. Bidang ini dapat menjadi alias bidang FQDN, DvcId, Nama host, atau IpAddr. Untuk sumber cloud, yang tidak memiliki perangkat yang jelas, gunakan nilai yang sama dengan bidang Produk Peristiwa. |
Nama perangkat
Nama perangkat yang dilaporkan hanya dapat menyertakan nama host, atau nama domain yang sepenuhnya memenuhi syarat (FQDN), yang mencakup nama host dan nama domain. FQDN mungkin diekspresikan menggunakan beberapa format. Bidang berikut memungkinkan dukungan varian yang berbeda di mana nama perangkat mungkin disediakan.
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Hostname | Direkomendasikan | Nama host | Nama host singkat dari perangkat. |
| Domain | Direkomendasikan | String | Domain perangkat tempat peristiwa terjadi, tanpa nama host. |
| DomainType | Direkomendasikan | Disebutkan | Jenis Domain. Nilai yang didukung mencakup FQDN dan Windows. Bidang ini diperlukan jika bidang Domain digunakan. |
| FQDN | Opsional | String | FQDN perangkat termasuk Nama Host dan Domain. Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang DomainType mencerminkan format yang digunakan. |
Contohnya:
| Bidang | Nilai untuk input appserver.contoso.com |
nilai untuk input appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| Domain | contoso.con |
<kosong> |
| DomainType | FQDN |
<kosong> |
| FQDN | appserver.contoso.com |
<kosong> |
Ketika nilai yang disediakan oleh sumber adalah FQDN, atau ketika nilainya mungkin baik dan FQDN atau nama host pendek, pengurai harus memperhitungkan 4 nilai. Gunakan fungsi pembantu ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN, dan _ASIM_ResolveDvcFQDN untuk mengatur keempat bidang dengan mudah berdasarkan satu nilai input. Untuk informasi selengkapnya lihat fungsi pembantu ASIM.
ID perangkat dan Cakupan
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| DvcId | Opsional | String | ID unik perangkat. Misalnya: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. Peta cakupan ke ID langganan di Azure dan ke ID akun di AWS. |
| Cakupan | Opsional | String | Cakupan platform cloud milik perangkat. Peta cakupan ke langganan di Azure dan ke akun di AWS. |
| DvcIdType | Opsional | Disebutkan | Jenis DvcId. Biasanya bidang ini juga akan mengidentifikasi jenis Cakupan dan ScopeId. Bidang ini diperlukan jika bidang DvcId digunakan. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opsional | String | Bidang yang digunakan untuk menyimpan ID perangkat tambahan, jika peristiwa asli menyertakan beberapa ID perangkat. Pilih ID perangkat yang paling terkait dengan peristiwa sebagai ID utama yang disimpan di DvcId. |
Perhatikan bahwa bidang bernama harus menambahkan awalan peran seperti Src atau Dst, tetapi tidak boleh menambahkan awalan Dvc kedua jika digunakan dalam peran tersebut.
Nilai yang diizinkan untuk jenis ID perangkat adalah:
| Tipe | Deskripsi |
|---|---|
| MDEid | ID sistem yang ditetapkan oleh Pertahanan Microsoft untuk Titik Akhir. |
| AzureResourceId | ID sumber daya Azure. |
| MD4IoTid | ID sumber daya Pertahanan Microsoft untuk IoT. |
| VMConnectionId | ID sumber daya solusi Insights mesin virtual Azure Monitor. |
| AwsVpcId | ID VPC AWS. |
| VectraId | ID sumber daya yang ditetapkan AI Vectra. |
| Lainnya | Jenis ID yang tidak tercantum di atas. |
Misalnya, solusi Insights mesin virtual Azure Monitor menyediakan informasi sesi jaringan di VMConnection. Tabel ini menyediakan ID Sumber Daya Azure di bidang _ResourceId dan ID perangkat khusus insight mesin virtual di bidang Machine. Gunakan pemetaan berikut untuk mewakili ID tersebut:
| Bidang | Petakan ke |
|---|---|
| DvcId | Bidang Machine dalam tabel VMConnection. |
| DvcIdType | Nilai VMConnectionId |
| DvcAzureResourceId | Bidang _ResourceId dalam tabel VMConnection. |
Bidang perangkat tambahan
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| IpAddr | Direkomendasikan | Alamat IP | Alamat IP publik perangkat ini. Contoh: 45.21.42.12 |
| DvcDescription | Opsional | String | Teks deskriptif yang terkait dengan perangkat. Misalnya: Primary Domain Controller. |
| MacAddr | Opsional | MAC | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 00:1B:44:11:3A:B7 |
| Zone | Opsional | String | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa, tergantung pada skemanya. Zona ini ditentukan oleh perangkat pelaporan. Contoh: Dmz |
| DvcOs | Opsional | String | Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. Contoh: Windows |
| DvcOsVersion | Opsional | String | Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 10 |
| DvcAction | Opsional | String | Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem, jika ada. Contoh: Blocked |
| DvcOriginalAction | Opsional | String | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| Interface | Opsional | String | Antarmuka jaringan tempat data diambil. Bidang ini biasanya relevan dengan aktivitas terkait jaringan yang diambil oleh perangkat perantara atau perangkat tap. |
Perhatikan bahwa bidang yang dinamai dalam daftar dengan awalan Dvc harus menambahkan awalan peran seperti Src atau Dst, tetapi tidak boleh menambahkan awalan Dvc kedua jika digunakan dalam peran tersebut.
Pemetaan entitas sampel
Bagian ini menggunakan peristiwa Windows 4624 sebagai contoh untuk menjelaskan cara data peristiwa dinormalisasi untuk Microsoft Azure Sentinel.
Acara ini memiliki entitas berikut:
| Terminologi Microsoft | Awalan bidang peristiwa asli | Awalan bidang ASIM | Deskripsi |
|---|---|---|---|
| Subjek | Subject |
Actor |
Pengguna yang melaporkan informasi tentang masuk yang sukses. |
| Log Masuk Baru | Target |
TargetUser |
Pengguna tempat masuk dilakukan. |
| Proses | - | ActingProcess |
Proses yang mencoba sign-in. |
| Informasi jaringan | - | Src |
Mesin dari mana upaya masuk dilakukan. |
Berdasarkan entitas ini, Windows peristiwa 4624 dinormalisasi sebagai berikut (beberapa bidang bersifat opsional):
| Bidang normalisasi | Bidang asli | Nilai dalam contoh | Catatan |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Dibangun dengan menggabungkan dua bidang |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Dibangun dengan menggabungkan dua bidang |
| Username | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Komputer | WIN-GG82ULGC9GO | |
| Hostname | Komputer | Alias |
Langkah berikutnya
Artikel ini memberikan ringkasan tentang normalisasi di Microsoft Sentinel dan ASIM.
Untuk informasi selengkapnya, lihat: