Referensi bidang skema umum Model Informasi Keamanan Lanjutan (ASIM) (pratinjau)

Beberapa bidang sudah umum untuk semua skema ASIM. Setiap skema mungkin menambahkan panduan untuk menggunakan beberapa bidang umum dalam konteks skema tertentu. Misalnya, nilai yang diizinkan untuk bidang EventType mungkin berbeda per skema, seperti halnya nilai bidang EventSchemaVersion.

Bidang Analisis Log Standar

Bidang berikut dihasilkan oleh Log Analytics, di sebagian besar kasus, untuk setiap rekaman. Bidang-bidang tersebut dapat diganti saat Anda membuat konektor khusus.

Bidang	Jenis	Diskusi
TimeGenerated	datetime	Waktu peristiwa dibuat oleh perangkat pelaporan.
Jenis	String	Tabel asli tempat catatan diambil. Bidang ini bermanfaat ketika kejadian yang sama dapat diterima melalui beberapa saluran ke tabel yang berbeda, dan memiliki nilai EventVendor dan EventProduct yang sama. Misalnya, peristiwa Sysmon dapat dikumpulkan ke tabel Event atau ke tabel WindowsEvent.

Catatan

Log Analytics juga menambahkan bidang lain yang kurang relevan dengan kasus penggunaan keamanan. Untuk informasi lebih lanjut, lihat Kolom standar di Log Azure Monitor.

Bidang ASIM umum

Bidang berikut ditentukan oleh ASIM untuk semua skema:

Bidang acara

Bidang	Kelas	Tipe	Deskripsi
EventMessage	Opsional	String	Pesan atau deskripsi umum, baik yang disertakan atau dihasilkan dari rekaman.
EventCount	Wajib	Bilangan bulat	Jumlah peristiwa yang dijelaskan oleh rekaman. Nilai ini digunakan saat sumber mendukung agregasi, dan satu catatan mungkin mewakili beberapa peristiwa. Untuk sumber lain, atur ke 1.
EventStartTime	Wajib	Tanggal/Waktu	Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated.
EventEndTime	Wajib	Tanggal/Waktu	Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated.
EventType	Wajib	Disebutkan	Menggambarkan operasi yang dilaporkan oleh catatan. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalType.
EventSubType	Opsional	Disebutkan	Penjelasan operasi subdivisi telah di laporkan di bidang EventType. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalSubType.
EventResult	Wajib	Disebutkan	Satu dari nilai berikut: Sukses, Sebagian, Gagal, NA (Tidak berlaku). Nilai mungkin diberikan dalam catatan sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasikan ke nilai-nilai ini. Atau, sumber mungkin hanya menyediakan bidang EventResultDetails, yang harus dianalisis untuk memperoleh nilai EventResult. Contoh: Success
EventResultDetails	Disarankan	Disebutkan	Alasan atau detail untuk hasil yang dilaporkan di bidang EventResult. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalResultDetails. Contoh: NXDOMAIN
EventUid	Disarankan	String	ID unik rekaman, seperti yang ditetapkan oleh Microsoft Sentinel. Bidang ini biasanya dipetakan ke _ItemId bidang Analitik Log.
EventOriginalUid	Opsional	String	ID unik dari rekaman asli, jika disediakan oleh sumbernya. Contoh: 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType	Opsional	String	Jenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini digunakan untuk menyimpan ID peristiwa Windows asli. Nilai ini digunakan untuk mendapatkan EventType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: 4624
EventOriginalSubType	Opsional	String	Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini digunakan untuk menyimpan jenis log masuk Windows asli. Nilai ini digunakan untuk mendapatkan EventSubType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: 2
EventOriginalResultDetails	Opsional	String	Detail hasil asli disediakan oleh sumber. Nilai ini digunakan untuk memperoleh EventResultDetails, yang seharusnya hanya memiliki satu nilai yang didokumentasikan untuk setiap skema.
EventSeverity	Disarankan	Disebutkan	Tingkat keparahan peristiwa. Nilai yang valid adalah: Informational, Low, Medium, atau High.
EventOriginalSeverity	Opsional	String	Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. Nilai ini digunakan untuk mendapatkan EventSeverity.
EventProduct	Wajib	String	Produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: Sysmon
EventProductVersion	Opsional	String	Versi produk yang menghasilkan peristiwa. Contoh: 12.1
EventVendor	Wajib	String	Vendor dari produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: Microsoft
EventSchema	Wajib	String	Skema acara dinormalisasi. Setiap skema mendokumentasikan nama skemanya.
EventSchemaVersion	Wajib	String	Versi skema. Setiap skema mendokumentasikan versinya saat ini.
EventReportUrl	Opsional	String	URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut.
EventOwner	Opsional	String	Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempat peristiwa tersebut dihasilkan.

Bidang perangkat

Peran bidang perangkat berbeda untuk skema dan jenis peristiwa yang berbeda. Contohnya:

• Untuk peristiwa Sesi Jaringan, bidang perangkat biasanya memberikan informasi tentang perangkat yang menghasilkan peristiwa
• Untuk peristiwa Proses, bidang perangkat memberikan informasi tentang perangkat tentang proses tersebut dijalankan.

Setiap dokumen skema menentukan peran perangkat untuk skema tersebut.

Bidang	Kelas	Tipe	Deskripsi
Dvc	Alias	String	Pengenal unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Bidang ini mungkin alias bidang DvcFQDN, DvcId, DvcHostname, atau DvcIpAddr. Untuk sumber cloud, yang tidak memiliki perangkat yang jelas, gunakan nilai yang sama dengan bidang Produk Peristiwa.
DvcIpAddr	Disarankan	Alamat IP	Alamat IP perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut, bergantung pada skema. Contoh: 45.21.42.12
DvcHostname	Disarankan	Nama host	Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: ContosoDc
DvcDomain	Disarankan	String	Domain perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: Contoso
DvcDomainType	Kondisional	Disebutkan	Jenis DvcDomain. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType. Catatan: Bidang ini diperlukan jika bidang DvcDomain digunakan.
DvcFQDN	Opsional	String	Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: Contoso\DESKTOP-1282V4D Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang DvcDomainType mencerminkan format yang digunakan.
DvcDescription	Opsional	String	Teks deskriptif yang terkait dengan perangkat. Sebagai contoh: Primary Domain Controller.
DvcId	Opsional	String	ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: 41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType	Kondisional	Disebutkan	Jenis DvcId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType. - MDEid Jika beberapa ID tersedia, gunakan yang pertama dari daftar, dan simpan yang lain dengan menggunakan nama bidang masing-masing DvcAzureResourceId dan DvcMDEid. Catatan: Bidang ini diperlukan jika bidang DvcId digunakan.
DvcMacAddr	Opsional	MAC	Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 00:1B:44:11:3A:B7
DvcZone	Opsional	String	Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa, tergantung pada skemanya. Zona ini ditentukan oleh perangkat pelaporan. Contoh: Dmz
DvcOs	Opsional	String	Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. Contoh: Windows
DvcOsVersion	Opsional	String	Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 10
DvcAction	Disarankan	String	Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem, jika ada. Contoh: Blocked
DvcOriginalAction	Opsional	String	DvcAction asli seperti yang disediakan oleh perangkat pelaporan.
DvcInterface	Opsional	String	Antarmuka jaringan tempat data diambil. Bidang ini biasanya relevan dengan aktivitas terkait jaringan, yang ditangkap oleh perangkat perantara atau ketuk.
DvcScopeId	Opsional	String	ID cakupan platform cloud milik perangkat. DvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS.
DvcScope	Opsional	String	Cakupan platform cloud milik perangkat. DvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS.

Bidang lainnya

Bidang	Kelas	Tipe	Deskripsi
AdditionalFields	Opsional	Dinamis	Jika sumber Anda memberikan informasi tambahan yang layak dipertahankan, simpan dengan nama bidang asli atau buat bidang AdditionalFields dinamis, dan tambahkan informasi tambahan sebagai pasangan kunci/nilai.
ASimMatchingIpAddr	Disarankan	String	Saat pengurai menggunakan parameter pemfilteran ipaddr_has_any_prefix, bidang ini diatur dengan salah satu nilai SrcIpAddr, DstIpAddr, atau Both untuk merefleksikan bidang yang cocok.
ASimMatchingHostname	Disarankan	String	Saat pengurai menggunakan parameter pemfilteran hostname_has_any, bidang ini diatur dengan salah satu nilai SrcHostname, DstHostname, atau Both untuk merefleksikan bidang yang cocok.

Pembaruan skema

• Bidang EventOwner telah ditambahkan ke bidang umum pada 1 Des 2022, dan oleh karena itu ke semua skema.
• Bidang EventUid telah ditambahkan ke bidang umum pada 26 Des 2022, dan oleh karena itu ke semua skema.

Vendor dan produk

Untuk menjaga konsistensi, daftar vendor dan produk yang diizinkan ditetapkan sebagai bagian dari ASIM, dan mungkin tidak secara langsung sesuai dengan nilai yang dikirim oleh sumber, jika tersedia.

Daftar vendor dan produk yang saat ini didukung yang digunakan di masing-masing bidang EventVendor dan EventProduct adalah:

Vendor	Produk
AWS	- CloudTrail - VPC
Cisco	- ASA - Umbrella - IOS - Meraki
Corelight	Zeek
Cynerio	Cynerio
Dataminr	Dataminr Pulse
GCP	Cloud DNS
Infoblox	NIOS
Microsoft	- ID Microsoft Entra - Azure - Azure Firewall - Azure Blob Storage - Azure File Storage - Azure NSG flows - Azure Queue Storage - Azure Table Storage - DNS Server - Microsoft Defender XDR for Endpoint - Microsoft Defender for IoT - Security Events - SharePoint - OneDrive - Sysmon - Sysmon for LinuX - VMConnection - Windows Firewall - WireData
Linux	- su - sudo
Okta	- Okta - Auth0
OpenBSD	OpenSSH
Palo Alto	- PanOS - CDL
PostgreSQL	PostgreSQL
Squid	Squid Proxy
Vectra AI	Vectra Steam
WatchGuard	Fireware
Zscaler	- ZIA DNS - ZIA Firewall - ZIA Proxy

Jika Anda mengembangkan pengurai untuk vendor atau produk yang tidak tercantum di sini, hubungi tim Microsoft Azure Sentinel untuk mengalokasikan vendor dan penanda produk baru yang diizinkan.

Langkah berikutnya

Untuk informasi selengkapnya, lihat:

• Tonton Webinar ASIM atau tinjau slide
• Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Parser Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Konten Model Informasi Keamanan Tingkat Lanjut (ASIM)