Skema normalisasi jaringan Microsoft Azure Sentinel (versi Legacy - Pratinjau publik)
Skema normalisasi jaringan digunakan untuk menjelaskan peristiwa jaringan yang dilaporkan, dan digunakan oleh Microsoft Sentinel untuk mengaktifkan analitik pemersatu.
Untuk informasi selengkapnya, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Penting
Artikel ini berkaitan dengan skema normalisasi jaringan versi 0.1, yang dirilis sebagai pratinjau sebelum ASIM tersedia. Versi 0.2.x dari skema normalisasi jaringan selaras dengan ASIM dan menyediakan peningkatan lainnya.
Untuk informasi selengkapnya, lihat Perbedaan antara versi skema normalisasi jaringan
Terminologi
Terminologi berikut digunakan dalam skema Microsoft Azure Sentinel:
| Term | Definisi |
|---|---|
| Perangkat pelaporan | Sistem mengirimkan catatan ke Microsoft Azure Sentinel. Rekaman tersebut mungkin bukan sistem subjek catatan. |
| Rekaman | Satu unit data yang dikirim dari perangkat pelaporan. Unit data sering dirujuk sebagai log, event, atau alert, tetapi juga dapat memiliki jenis lain. |
Jenis dan format data
Tabel berikut memberikan panduan untuk menormalkan nilai data, yang diperlukan untuk bidang yang dinormalisasi, dan direkomendasikan untuk bidang lain.
| Jenis data | Jenis fisik | Format dan nilai |
|---|---|---|
| Tanggal/Waktu | Salah satu dari berikut, tergantung pada kemampuan metode ingest yang digunakan, dalam prioritas menurun:
|
Representasi tanggalwaktu Analitik Log. Representasi tanggal dan waktu Log Analytics bersifat mirip tetapi berbeda dari representasi waktu Unix. Lihat pedoman konversi ini. Tanggal dan waktu harus disesuaikan dengan zona waktu. |
| Alamat MAC | String | notasi colon-Hexadecimal |
| Alamat IP | Alamat IP | Skema ini tidak memiliki alamat IPv4 dan IPv6 terpisah. Setiap bidang alamat IP dapat mencakup alamat IPv4 atau alamat IPv6:
|
| Pengguna | String | 3 bidang pengguna berikut ini tersedia:
|
| ID Pengguna | String | 2 ID pengguna berikut saat ini didukung:
|
| Perangkat | String | 3 kolom perangkat/host berikut didukung:
|
| Negara | String | String menggunakan ISO 3166-1, sesuai dengan prioritas berikut:
|
| Wilayah | String | Nama sub-divisi negara menggunakan ISO 3166-2 |
| Kota | String | |
| Garis bujur | Laju | Representasi koordinat ISO 6709 (desimal yang ditandatangani) |
| Garis Lintang | Laju | Representasi koordinat ISO 6709 (desimal yang ditandatangani) |
| Algoritme Hash | String | 4 kolom hash berikut didukung:
|
| Jenis File | String | Jenis dari jenis file:
|
Skema tabel sesi jaringan
Di bawah ini adalah skema tabel sesi jaringan, versi 1.0.0
| Nama bidang | Jenis nilai | Contoh | Deskripsi | Entitas OSSEM terkait |
|---|---|---|---|---|
| EventType | String | Lalu lintas | Jenis acara yang sedang dikumpulkan | Aktivitas |
| EventSubType | String | Autentikasi | Deskripsi tambahan jenis jika berlaku | Aktivitas |
| EventCount | Bilangan bulat | 10 | Jumlah peristiwa yang dikumpulkan, jika berlaku. | Aktivitas |
| EventEndTime | Tanggal/Waktu | Lihat "jenis data" | Waktu saat peristiwa berakhir | Aktivitas |
| EventMessage | string | akses ditolak | Pesan atau deskripsi umum, baik yang disertakan, atau dihasilkan dari rekaman | Aktivitas |
| DvcIpAddr | Alamat IP | 23.21.23.34 | Alamat IP perangkat yang menghasilkan rekaman | Perangkat, IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | Alamat MAC antarmuka jaringan perangkat pelaporan asal peristiwa dikirim. | Perangkat, Mac |
| DvcHostname | Nama Perangkat (String) | syslogserver1.contoso.com | Nama perangkat dari perangkat yang menghasilkan pesan. | Perangkat |
| EventProduct | String | OfficeSharepoint | Produk yang menghasilkan peristiwa. | Aktivitas |
| EventProductVersion | string | 9.0 | Versi produk yang menghasilkan peristiwa. | Aktivitas |
| EventResourceId | ID Perangkat (Untai) | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | ID sumber daya dari perangkat yang menghasilkan pesan. | Aktivitas |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | Tautan ke laporan lengkap yang dibuat oleh perangkat pelaporan | Aktivitas |
| EventVendor | String | Microsoft | Vendor dari produk yang menghasilkan peristiwa. | Aktivitas |
| EventResult | Multinilai: Berhasil, Parsial, Gagal, [Kosong] (Untai) | Sukses | Hasilnya melaporkan untuk kegiatan tersebut. Nilai kosong saat tidak berlaku. | Aktivitas |
| EventResultDetails | String | Kata sandi salah | Alasan atau detail hasil yang dilaporkan di EventResult | Aktivitas |
| EventSchemaVersion | Riil | 0.1 | Versi Skema Microsoft Azure Sentinel. Saat ini 0.1. | Aktivitas |
| EventSeverity | String | Kurang Penting | Jika aktivitas yang dilaporkan memiliki dampak keamanan, Tunjukkan tingkat keparahan dampaknya. | Aktivitas |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | ID rekaman dari perangkat pelaporan. | Aktivitas |
| EventStartTime | Tanggal/Waktu | Lihat "jenis data" | Waktu saat peristiwa dinyatakan | Aktivitas |
| TimeGenerated | Tanggal/Waktu | Lihat "jenis data" | Waktu saat peristiwa terjadi, seperti yang dilaporkan oleh sumber pelaporan. | Bidang kustom |
| EventTimeIngested | Tanggal/Waktu | Lihat "jenis data" | Saat peristiwa tersebut terserap ke Microsoft Azure Sentinel. Akan ditambahkan oleh Microsoft Azure Sentinel. | Aktivitas |
| EventUid | Guid (Untai) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Pengidentifikasi unik yang digunakan oleh Microsoft Azure Sentinel untuk menandai baris. | Aktivitas |
| NetworkApplicationProtocol | String | HTTPS | Protokol lapisan aplikasi yang digunakan oleh sambungan atau sesi. | Jaringan |
| DstBytes | int | 32455 | Jumlah byte yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. | Tujuan |
| SrcBytes | int | 46536 | Jumlah byte yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. | Sumber |
| NetworkBytes | int | 78991 | Jumlah byte yang dikirim ke kedua arah. Jika BytesReceived dan BytesSent ada, BytesTotal harus sama dengan jumlahnya. | Jaringan |
| NetworkDirection | Multinilai: Masuk, Keluar (untai) | Masuk | Arah sambungan atau sesi, ke dalam atau ke luar organisasi. | Jaringan |
| DstGeoCity | String | Burlington | Kota yang terkait dengan alamat IP tujuan | Tujuan, Geo |
| DstGeoCountry | Negara (Untai) | AS | Negara yang terkait dengan alamat IP sumber | Tujuan, Geo |
| DstDvcHostname | Nama Perangkat (String) | victim_pc | Nama perangkat dari perangkat tujuan | Tujuan Perangkat |
| DstDvcFqdn | String | victim_pc.contoso.local | Nama domain host yang sepenuhnya memenuhi syarat tempat log dibuat | Tujuan, Perangkat |
| DstDomainHostname | string | CONTOSO | Domain tujuan, Domain host tujuan (situs web, nama domain, dll.), misalnya untuk pencarian DNS atau pencarian NS | Tujuan |
| DstInterfaceName | string | Adapter Jaringan Microsoft Hyper-V | Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat tujuan. | Tujuan |
| DstInterfaceGuid | string | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | GUID antarmuka jaringan yang digunakan untuk permintaan autentikasi | Tujuan |
| DstIpAddr | Alamat IP | 2001:db8::ff00:42:8329 | Alamat IP sambungan atau sesi tujuan, paling sering disebut sebagai IP tujuan dalam paket jaringan | Tujuan, IP |
| DstDvcIpAddr | Alamat IP | 75.22.12.2 | Alamat IP tujuan perangkat yang tidak terkait langsung dengan paket jaringan | Tujuan, Perangkat, IP |
| DstGeoLatitude | Garis lintang (Ganda) | 44.475833 | Garis lintang koordinat geografis yang terkait dengan alamat IP tujuan | Tujuan, Geo |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | Alamat MAC antarmuka jaringan tempat sambungan atau sesi dihentikan, paling sering dirujuk ke MAC tujuan dalam paket jaringan | Tujuan, MAC |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | Alamat MAC tujuan perangkat yang tidak terkait langsung dengan paket jaringan. | Tujuan, Perangkat, MAC |
| DstDvcDomain | String | CONTOSO | Domain perangkat tujuan. | Tujuan, Perangkat |
| DstPortNumber | Bilangan bulat | 443 | Port IP tujuan. | Tujuan, Port |
| DstGeoRegion | Wilayah (untai) | Vermont | Wilayah yang terkait dengan alamat IP tujuan | Tujuan, Geo |
| DstResourceId | ID Perangkat (Untai) | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | ID sumber daya perangkat tujuan. | Tujuan |
| DstNatIpAddr | Alamat IP | 2::1 | Jika dilaporkan oleh perangkat NAT perantara seperti firewall, alamat IP yang digunakan oleh perangkat NAT untuk komunikasi dengan sumber. | Tujuan NAT, IP |
| DstNatPortNumber | int | 443 | Jika dilaporkan oleh perangkat NAT perantara seperti firewall, port yang digunakan oleh perangkat NAT untuk komunikasi dengan sumber. | Tujuan NAT, Port |
| DstUserSid | Pengidentifikasi keamanan pengguna | S-12-1445 | ID Pengguna dari identitas yang terkait dengan tujuan sesi. Biasanya, identitas yang digunakan untuk mengautentikasi server. Untuk informasi selengkapnya, lihat Jenis dan format data. | Tujuan, User |
| DstUserAadId | Untai (Guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | ID objek akun Microsoft Entra pengguna di akhir sesi tujuan | Tujuan, User |
| DstUserName | Nama pengguna (Untai) | johnd | Nama pengguna dari identitas yang terkait dengan tujuan sesi. | Tujuan, User |
| DstUserUpn | string | johnd@anon.com | UPN dari identitas yang terkait dengan tujuan sesi. | Tujuan, User |
| DstUserDomain | string | WORKGROUP | Nama domain atau komputer akun di tujuan sesi | Tujuan, User |
| DstZone | String | Dmz | Zona jaringan dari tujuan, seperti yang didefinisikan oleh perangkat pelaporan. | Tujuan |
| DstGeoLongitude | Bujur (Ganda) | -73.211944 | Garis bujur koordinat geografis yang terkait dengan alamat IP tujuan | Tujuan, Geo |
| DvcAction | Multinilai: Izinkan, Tolak, Hilangkan (untai) | Bolehkan | Jika dilaporkan oleh perangkat perantara seperti firewall, tindakan diambil oleh perangkat. | Perangkat |
| DvcInboundInterface | String | eth0 | Jika dilaporkan oleh perangkat perantara seperti firewall, antarmuka jaringan yang digunakan oleh perangkat untuk sambungan ke perangkat sumber. | Perangkat |
| DvcOutboundInterface | String | Adapter Ethernet Ethernet 4 | Jika dilaporkan oleh perangkat perantara seperti firewall, antarmuka jaringan yang digunakan oleh perangkat untuk sambungan ke perangkat tujuan. | Perangkat |
| NetworkDuration | Bilangan bulat | 1500 | Jumlah waktu, dalam milidetik, untuk penyelesaian sesi jaringan atau sambungan | Jaringan |
| NetworkIcmpCode | Bilangan bulat | 34 | Untuk pesan ICMP, jenis pesan ICMP nilai numerik (RFC 2780 atau RFC 4443). | Jaringan |
| NetworkIcmpType | String | Tujuan Tak Bisa Dijangkau | Untuk pesan ICMP, representasi teks jenis pesan ICMP (RFC 2780 atau RFC 4443). | Jaringan |
| DstPackets | int | 446 | Jumlah paket yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. | Tujuan |
| SrcPackets | int | 6478 | Jumlah paket yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. | Sumber |
| NetworkPackets | int | 0 | Jumlah paket yang dikirim ke kedua arah. Jika PacketsReceived dan PacketsSent ada, BytesTotal harus sama dengan jumlahnya. | Jaringan |
| HttpRequestTime | Bilangan bulat | 700 | Jumlah waktu yang diperlukan untuk mengirim permintaan ke server, jika berlaku. | Http |
| HttpResponseTime | Bilangan bulat | 800 | Jumlah waktu yang diperlukan untuk menerima respons di server, jika berlaku. | Http |
| NetworkRuleName | String | AnyAnyDrop | Nama atau ID dari aturan tempat DeviceAction diputuskan | Jaringan |
| NetworkRuleNumber | int | 23 | Nomor aturan yang cocok | Jaringan |
| NetworkSessionId | string | 172_12_53_32_4322__123_64_207_1_80 | Pengidentifikasi sesi seperti yang dilaporkan oleh perangkat pelaporan. Misalnya, Pengidentifikasi sesi L7 untuk aplikasi tertentu setelah autentikasi | Jaringan |
| SrcGeoCity | String | Burlington | Kota yang terkait dengan alamat IP sumber | Sumber, Geo |
| SrcGeoCountry | Negara (Untai) | AS | Negara yang terkait dengan alamat IP sumber | Sumber, Geo |
| SrcDvcHostname | Nama Perangkat (String) | villain | Nama perangkat dari perangkat sumber | Sumber, Perangkat |
| SrcDvcFqdn | string | Villain.malicious.com | Nama domain host yang sepenuhnya memenuhi syarat tempat log dibuat | Sumber, Perangkat |
| SrcDvcDomain | string | EVILORG | Domain perangkat saat sesi yang dimulai | Sumber, Perangkat |
| SrcDvcOs | String | iOS | OS perangkat sumber | Sumber, Perangkat |
| SrcDvcModelName | String | Samsung Galaxy Note | Nama model perangkat sumber | Sumber, Perangkat |
| SrcDvcModelNumber | String | 10.0 | Nomor model perangkat sumber | Sumber, Perangkat |
| SrcDvcType | String | Seluler | Jenis perangkat sumber | Sumber, Perangkat |
| SrcIntefaceName | String | eth01 | Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat sumber. | Sumber |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | GUID dari antarmuka jaringan yang digunakan | Sumber |
| SrcIpAddr | Alamat IP | 77.138.103.108 | Alamat IP tempat koneksi atau sesi berasal. | Sumber, IP |
| SrcDvcIpAddr | Alamat IP | 77.138.103.108 | Alamat IP sumber dari perangkat yang tidak terkait langsung dengan paket jaringan (dikumpulkan oleh penyedia atau dihitung secara eksplisit). | Sumber, Perangkat, IP |
| SrcGeoLatitude | Garis lintang (Ganda) | 44.475833 | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber | Sumber, Geo |
| SrcGeoLongitude | Bujur (Ganda) | -73.211944 | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber | Sumber, Geo |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | Alamat MAC antarmuka jaringan tempat sesi atau koneksi berasal. | Sumber, Mac |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | Alamat MAC sumber perangkat yang tidak terkait langsung dengan paket jaringan. | Sumber, Perangkat, Mac |
| SrcPortNumber | Bilangan bulat | 2335 | Port IP tempat sambungan berasal. Mungkin tidak relevan untuk sesi yang terdiri dari beberapa sambungan. | Sumber, Port |
| SrcGeoRegion | Wilayah (untai) | Vermont | Wilayah dalam negara yang terkait dengan alamat IP sumber | Sumber, Geo |
| SrcResourceId | String | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | ID sumber daya dari perangkat yang menghasilkan pesan. | Sumber |
| SrcNatIpAddr | Alamat IP | 4.3.2.1 | Jika dilaporkan oleh perangkat NAT perantara seperti firewall, alamat IP yang digunakan oleh perangkat NAT untuk komunikasi dengan tujuan. | Sumber NAT, IP |
| SrcNatPortNumber | Bilangan bulat | 345 | Jika dilaporkan oleh perangkat NAT perantara seperti firewall, port yang digunakan oleh perangkat NAT untuk komunikasi dengan tujuan. | Sumber NAT, Port |
| SrcUserSid | ID Pengguna (Untai) | S-15-1445 | ID Pengguna dari identitas yang terkait dengan sumber sesi. Biasanya, pengguna melakukan tindakan pada klien. Untuk informasi selengkapnya, lihat Jenis dan format data. | Sumber, User |
| SrcUserAadId | Untai (Guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | ID objek akun Microsoft Entra pengguna di akhir sumber sesi | Sumber, User |
| SrcUserName | Nama pengguna (Untai) | bob | Nama pengguna dari identitas yang terkait dengan sumber sesi. Biasanya, pengguna melakukan tindakan pada klien. Untuk informasi selengkapnya, lihat Jenis dan format data. | Sumber User |
| SrcUserUpn | string | bob@alice.com | UPN dari akun yang menginisiasi sesi | Sumber, User |
| SrcUserDomain | string | DESKTOP | Domain untuk akun yang memulai sesi | Sumber, User |
| SrcZone | String | Ketuk | Zona jaringan dari sumber, seperti yang didefinisikan oleh perangkat pelaporan. | Sumber |
| NetworkProtocol | String | TCP | Protokol IP yang digunakan oleh sambungan atau sesi. Biasanya, TCP, UDP atau ICMP | Jaringan |
| CloudAppName | String | Nama dari aplikasi tujuan untuk aplikasi HTTP seperti yang diidentifikasi oleh proxy. | Cloud | |
| CloudAppId | String | 124 | ID aplikasi tujuan untuk aplikasi HTTP seperti yang diidentifikasi oleh proxy. Nilai ini biasanya spesifik untuk proksi yang digunakan. | Cloud |
| CloudAppOperation | String | DeleteFile | Operasi yang dilakukan pengguna dalam konteks aplikasi tujuan untuk aplikasi HTTP seperti yang diidentifikasi oleh proxy. Nilai ini biasanya spesifik untuk proksi yang digunakan. | Cloud |
| CloudAppRiskLevel | String | 3 | Tingkat risiko yang terkait dengan aplikasi HTTP seperti yang diidentifikasi oleh proxy. Nilai ini biasanya spesifik untuk proksi yang digunakan. | Cloud |
| FileName | String | ImNotMalicious.exe | Nama file dikirimkan melalui sambungan jaringan untuk protokol seperti FTP dan HTTP yang menyediakan informasi nama file. | File |
| FilePath | String | C:\Malicious\ImNotMalicious.exe | Jalur lengkap, termasuk nama file, dari file tersebut | File |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | Nilai hash MD5 dari file yang dikirimkan melalui sambungan jaringan untuk protokol. | File |
| FileHashSha1 | String | 491AE3…C299821476F4 | Nilai hash SHA1 dari file yang dikirimkan melalui sambungan jaringan untuk protokol. | File |
| FileHashSha256 | String | 9B8F8EDB…C129976F03 | Nilai hash SHA256 dari file yang dikirimkan melalui sambungan jaringan untuk protokol. | File |
| FileHashSha512 | String | 5E127D…F69F73F01F361 | Nilai hash SHA512 dari file yang dikirimkan melalui sambungan jaringan untuk protokol. | File |
| FileExtension | String | exe | Jenis file yang dikirimkan melalui sambungan jaringan untuk protokol seperti FTP dan HTTP. | File |
| FileMimeType | String | application/msword | Jenis file MIME yang dikirimkan melalui sambungan jaringan untuk protokol seperti FTP dan HTTP | File |
| Filesize | Bilangan bulat | 23500 | Ukuran file, dalam byte, dari file yang dikirimkan melalui sambungan jaringan untuk protokol. | File |
| HttpVersion | String | 2.0 | Versi Permintaan HTTP untuk sambungan jaringan HTTP/HTTPS. | Http |
| HttpRequestMethod | String | GET | Metode HTTP untuk sesi jaringan HTTP/HTTPS. | Http |
| HttpStatusCode | String | 404 | Kode Status HTTP untuk sesi jaringan HTTP/HTTPS. | Http |
| HttpContentType | String | multipart/form-data; boundary=something | Header tipe konten Respons HTTP untuk sesi jaringan HTTP/HTTPS. | Http |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | Header referen HTTP untuk sesi jaringan HTTP/HTTPS. | Http |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/83.0.4103.97 Safari/537.36 | Header agen pengguna HTTP untuk sesi jaringan HTTP/HTTPS. | Http |
| HttpRequestXff | String | 120.12.41.1 | Header X-Forwarded-For HTTP untuk sesi jaringan HTTP/HTTPS. | Http |
| UrlCategory | String | Mesin cari | Pengelompokan URL yang ditentukan, mungkin berdasarkan domain di URL, terkait dengan apa kontennya. Misalnya: dewasa, berita, iklan, domain yang diparkir, dan sebagainya.) | url |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | URL permintaan HTTP untuk sesi jaringan HTTP/HTTPS. | URL |
| Nama UrlHost | String | contoso.com | Bagian domain dari URL permintaan HTTP untuk sesi jaringan HTTP/HTTPS. | URL |
| ThreatCategory | String | Trojan | Kategori ancaman yang diidentifikasi oleh sistem keamanan seperti Gateway Keamanan Web dari IPS dan dikaitkan dengan sesi jaringan ini. | Ancaman |
| ThreatId | String | Tr.124 | ID ancaman yang diidentifikasi oleh sistem keamanan seperti Gateway Keamanan Web dari IPS dan dikaitkan dengan sesi jaringan ini. | Ancaman |
| ThreatName | String | EICAR Test File | Nama ancaman atau malware yang diidentifikasi | Ancaman |
| AdditionalFields | Dynamic (JSON bag) | { Property1: “val1”, Property2: “val2” } |
Ketika tidak ada kolom masing-masing dalam skema yang cocok, bidang tambahan dapat disimpan dalam tas JSON. Untuk penguraian waktu kueri, kami sarankan untuk mempromosikan kolom tambahan alih-alih menggunakan tas JSON karena mengemas data ke dalam kode JSON akan menurunkan kinerja kueri. |
Bidang kustom |
Perbedaan antara versi 0.1 dan versi 0.2
Versi asli dari skema normalisasi sesi jaringan Microsoft Azure Sentinel, versi 0.1, dirilis sebagai pratinjau sebelum ASIM tersedia.
Perbedaan antara versi 0.1, yang didokumenkan dalam artikel ini, dan versi 0.2.x meliputi:
- Dalam versi 0.2, nama parser pemersatu dan sumber-spesifik telah diubah agar sesuai dengan konvensi penamaan ASIM standar.
- Versi 0.2 menambahkan pedoman khusus dan parser pemersatu untuk mengakomodasi jenis perangkat tertentu.
Bagian berikut menjelaskan bagaimana versi 0.2.x berbeda untuk bidang tertentu.
Menambahkan bidang di versi 0.2
Bidang berikut ditambahkan dalam versi 0.2.x dan tidak ada di versi 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- URL
Bidang alias baru di versi 0.2
Bidang berikut sekarang diberi alias dalam versi 0.2.x dengan pengenalan ASIM:
| Bidang dalam versi 0.1 | Alias dalam versi 0.2 |
|---|---|
| SessionId | NetworkSessionId |
| Durasi | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | DstUsername |
| Nama host | DstHostname |
| UserAgent | HttpUserAgent |
Bidang yang diubah dalam versi 0.2
Bidang berikut dijumlahkan dalam versi 0.2.x, dan memerlukan nilai tertentu dari daftar yang disediakan.
- EventType
- EventResultDetails
- EventSeverity
Nama bidang diganti dalam versi 0.2
Bidang berikut diganti namanya dalam versi 0.2.x:
Di versi 0.2, gunakan bidang Analitik Log bawaan:
Perhatikan bahwa
ingestion_time()adalah fungsi KQL dan bukan nama bidang.Bidang dalam versi 0.1 Nama diganti di versi 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Diganti nama agar selaras dengan peningkatan di ASIM dan OSSEM:
Bidang dalam versi 0.1 Nama diganti di versi 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Diganti nama untuk mencerminkan bahwa tujuan sesi jaringan tidak harus berupa layanan cloud:
Bidang dalam versi 0.1 Nama diganti di versi 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Diganti nama untuk mengubah kasus dan menyelaraskan dengan penanganan ASIM entitas pengguna:
Bidang dalam versi 0.1 Nama diganti di versi 0.2 DstUserName DstUsername SrcUserName SrcUsername Diganti nama agar lebih selaras dengan entitas perangkat ASIM, dan memungkinkan ID sumber daya selain dari Azure:
Bidang dalam versi 0.1 Nama diganti di versi 0.2 DstResourceId SrcDvcAzureRerouceId SrcResourceId SrcDvcAzureRerouceId Diganti nama untuk menghapus string
Dvcdari nama bidang, karena penanganan di versi 0.1 tidak konsisten:Bidang dalam versi 0.1 Nama diganti di versi 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Diganti nama agar selaras dengan panduan representasi file ASIM:
Bidang dalam versi 0.1 Nama diganti di versi 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Bidang yang dihapus dalam versi 0.2
Bidang berikut ini hanya ada di versi 0.1, dan dihapus dalam versi 0.2.x:
| Alasan | Bidang yang dihapus |
|---|---|
Dihapus karena ada duplikat, tanpa string Dvc di nama bidang |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Dihapus untuk menyelaraskan dengan penanganan ASIM atas URL | - UrlHostname |
| Dihapus karena bidang ini biasanya tidak disediakan sebagai bagian dari peristiwa Sesi Jaringan. Jika suatu peristiwa menyertakan bidang ini, gunakan Skema Peristiwa Proses untuk memahami cara menjelaskan properti perangkat. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| Dihapus untuk menyelaraskan dengan panduan representasi file ASIM | - FilePath - FileExtension |
| Dihapus karena bidang ini menunjukkan bahwa skema yang berbeda harus digunakan, seperti Skema autentikasi. | - CloudAppOperation |
Dihapus karena duplikat DstHostname |
- DstDomainHostname |
Langkah berikutnya
Untuk informasi selengkapnya, lihat:
- Normalisasi di Microsoft Sentinel
- Referensi skema normalisasi autentikasi Microsoft Azure Sentinel (Pratinjau publik)
- Referensi skema normalisasi peristiwa file Microsoft Azure Sentinel (Pratinjau publik)
- Referensi skema normalisasi DNS Microsoft Azure Sentinel
- Referensi skema normalisasi peristiwa proses Microsoft Azure Sentinel
- Referensi skema normalisasi peristiwa registri Microsoft Azure Sentinel (Pratinjau publik)