Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Beberapa bidang sudah umum untuk semua skema ASIM. Setiap skema mungkin menambahkan panduan untuk menggunakan beberapa bidang umum dalam konteks skema tertentu. Misalnya, nilai yang diizinkan untuk bidang EventType mungkin berbeda per skema, seperti halnya nilai bidang EventSchemaVersion.
Bidang Analisis Log Standar
Bidang berikut dihasilkan oleh Log Analytics, di sebagian besar kasus, untuk setiap rekaman. Bidang-bidang tersebut dapat diganti saat Anda membuat konektor khusus.
| Bidang | Jenis | Diskusi |
|---|---|---|
| Waktu yang Dihasilkan | Tanggal/Waktu | Waktu peristiwa dibuat oleh perangkat pelaporan. |
| Jenis | string | Tabel asli tempat catatan diambil. Bidang ini bermanfaat ketika kejadian yang sama dapat diterima melalui beberapa saluran ke tabel yang berbeda, dan memiliki nilai EventVendor dan EventProduct yang sama. Misalnya, peristiwa Sysmon dapat dikumpulkan ke tabel Event atau ke tabel WindowsEvent. |
Catatan
Log Analytics juga menambahkan bidang lain yang kurang relevan dengan kasus penggunaan keamanan. Untuk informasi lebih lanjut, lihat Kolom standar di Log Azure Monitor.
Bidang ASIM umum
Bidang berikut ditentukan oleh ASIM untuk semua skema:
Bidang acara
| Bidang | Kelas | Jenis | Deskripsi |
|---|---|---|---|
| Pesan Peristiwa | Opsional | string | Pesan atau deskripsi umum, baik yang disertakan atau dihasilkan dari rekaman. |
| Jumlah Peristiwa | Wajib | Bilangan bulat | Jumlah peristiwa yang dijelaskan oleh rekaman. Nilai ini digunakan saat sumber mendukung agregasi, dan satu catatan mungkin mewakili beberapa peristiwa. Untuk sumber lain, atur ke 1. |
| Waktu MulaiPeristiwa | Wajib | Tanggal/Waktu | Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| Waktu Akhir Peristiwa | Wajib | Tanggal/Waktu | Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| Jenis Peristiwa | Wajib | Disebutkan | Menggambarkan operasi yang dilaporkan oleh catatan. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalType. |
| Subtipe Peristiwa | Opsional | Disebutkan | Penjelasan operasi subdivisi telah di laporkan di bidang EventType. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalSubType. |
| Hasil Peristiwa | Wajib | Disebutkan | Satu dari nilai berikut: Sukses, Sebagian, Gagal, NA (Tidak berlaku). Nilai mungkin diberikan dalam catatan sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasikan ke nilai-nilai ini. Atau, sumber mungkin hanya menyediakan bidang EventResultDetails, yang harus dianalisis untuk memperoleh nilai EventResult. Contoh: Success |
| EventResultDetails | Direkomendasikan | Disebutkan | Alasan atau detail untuk hasil yang dilaporkan di bidang EventResult. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalResultDetails. Contoh: NXDOMAIN |
| Acara Uid | Direkomendasikan | string | ID unik rekaman, seperti yang ditetapkan oleh Microsoft Sentinel. Bidang ini biasanya dipetakan ke _ItemId bidang Analitik Log. |
| PeristiwaAsliUid | Opsional | string | ID unik dari rekaman asli, jika disediakan oleh sumbernya. Contoh: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Opsional | string | Jenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini digunakan untuk menyimpan ID peristiwa Windows asli. Nilai ini digunakan untuk mendapatkan EventType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: 4624 |
| PeristiwaAsliSubtipe | Opsional | string | Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini digunakan untuk menyimpan jenis log masuk Windows asli. Nilai ini digunakan untuk mendapatkan EventSubType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: 2 |
| EventOriginalResultDetails | Opsional | string | Detail hasil asli disediakan oleh sumber. Nilai ini digunakan untuk memperoleh EventResultDetails, yang seharusnya hanya memiliki satu nilai yang didokumentasikan untuk setiap skema. |
| Tingkat Keparahan Peristiwa | Direkomendasikan | Disebutkan | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informational, Low, Medium, atau High. |
| Tingkat Keparahan PeristiwaAsli | Opsional | string | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. Nilai ini digunakan untuk mendapatkan EventSeverity. |
| Produk Acara | Wajib | string | Produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: Sysmon |
| EventProductVersion | Opsional | string | Versi produk yang menghasilkan peristiwa. Contoh: 12.1 |
| Vendor Peristiwa | Wajib | string | Vendor dari produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: Microsoft |
| Skema Peristiwa | Wajib | Disebutkan | Skema acara dinormalisasi. Setiap skema mendokumentasikan nama skemanya. |
| EventSchemaVersion | Wajib | SchemaVersion (String) | Versi skema. Setiap skema mendokumentasikan versinya saat ini. |
| EventReportUrl | Opsional | URL (String) | URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut. |
| Pemilik Acara | Opsional | string | Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempat peristiwa tersebut dihasilkan. |
Bidang perangkat
Peran bidang perangkat berbeda untuk skema dan jenis peristiwa yang berbeda. Contohnya:
- Untuk peristiwa Sesi Jaringan, bidang perangkat biasanya memberikan informasi tentang perangkat yang menghasilkan peristiwa
- Untuk peristiwa Proses, bidang perangkat memberikan informasi tentang perangkat tentang proses tersebut dijalankan.
Setiap dokumen skema menentukan peran perangkat untuk skema tersebut.
| Bidang | Kelas | Jenis | Deskripsi |
|---|---|---|---|
| Dvc | Nama lain | string | Pengenal unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Bidang ini mungkin alias bidang DvcFQDN, DvcId, DvcHostname, atau DvcIpAddr. Untuk sumber cloud, yang tidak memiliki perangkat yang jelas, gunakan nilai yang sama dengan bidang Produk Peristiwa. |
| DvcIpAddr | Direkomendasikan | alamat IP | Alamat IP perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut, bergantung pada skema. Contoh: 45.21.42.12 |
| Nama Host Dvc | Direkomendasikan | Nama host | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: ContosoDc |
| Domain Dvc | Direkomendasikan | Domain (String) | Domain perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: Contoso |
| DvcDomainType | Kondisional | Disebutkan | Jenis DvcDomain. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType. Catatan: Bidang ini diperlukan jika bidang DvcDomain digunakan. |
| DvcFQDN | Opsional | FQDN (String) | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: Contoso\DESKTOP-1282V4DCatatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang DvcDomainType mencerminkan format yang digunakan. |
| Deskripsi Dvc | Opsional | string | Teks deskriptif yang terkait dengan perangkat. Misalnya: Primary Domain Controller. |
| DvcId | Opsional | string | ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: 41502da5-21b7-48ec-81c9-baeea8d7d669Jika beberapa ID tersedia, gunakan yang pertama dari daftar, dan simpan yang lain dengan menggunakan nama bidang DvcAzureResourceId, DvcMDEid, dll. |
| DvcIdType | Kondisional | Disebutkan | Jenis DvcId. Daftar nilai yang diizinkan adalah AzureResourceId, , MDEid, MD4IoTidVMConnectionId, AwsVpcId, VectraId, AppGateId, FQDN, dan Other. Menggunakan FQDN sebagai ID perangkat, menyiratkan penggunaan kembali nama host. Gunakan hanya sebagai upaya terakhir.Catatan: Bidang ini diperlukan jika bidang DvcId digunakan. |
| DvcMacAddr | Opsional | Alamat MAC | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 00:1B:44:11:3A:B7 |
| Zona Dvc | Opsional | string | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa, tergantung pada skemanya. Zona ini ditentukan oleh perangkat pelaporan. Contoh: Dmz |
| DvcOs | Opsional | string | Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. Contoh: Windows |
| Versi DvcOsVersi | Opsional | string | Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 10 |
| DvcAction | Opsional | string | Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem, jika ada. Contoh: Blocked |
| DvcTindakan Asli | Opsional | string | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| Antarmuka Dvc | Opsional | string | Antarmuka jaringan tempat data diambil. Bidang ini biasanya relevan dengan aktivitas terkait jaringan, yang ditangkap oleh perangkat perantara atau ketuk. |
| DvcScopeId | Opsional | string | ID cakupan platform cloud milik perangkat. DvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| Ruang lingkup Dvc | Opsional | string | Cakupan platform cloud milik perangkat. DvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
Bidang lainnya
Pembaruan skema
- Bidang
EventOwnertelah ditambahkan ke bidang umum pada 1 Des 2022, dan oleh karena itu ke semua skema. - Bidang
EventUidtelah ditambahkan ke bidang umum pada 26 Des 2022, dan oleh karena itu ke semua skema.
Vendor dan produk
Untuk menjaga konsistensi, daftar vendor dan produk yang diizinkan ditetapkan sebagai bagian dari ASIM, dan mungkin tidak secara langsung sesuai dengan nilai yang dikirim oleh sumber, jika tersedia.
Daftar vendor dan produk yang saat ini didukung yang digunakan di masing-masing bidang EventVendor dan EventProduct adalah:
| Penyedia | Produk |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- ID Microsoft Entra - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Jika Anda mengembangkan pengurai untuk vendor atau produk yang tidak tercantum di sini, hubungi tim Microsoft Sentinel untuk mengalokasikan vendor dan penunjuk produk baru yang diizinkan.
Langkah berikutnya
Untuk informasi selengkapnya, lihat: