Condividi tramite

Informazioni di riferimento sui campi dello schema comuni di Advanced Security Information Model (ASIM) (anteprima)

  • Articolo

Alcuni campi sono comuni a tutti gli schemi ASIM. Ogni schema può aggiungere linee guida per l'uso di alcuni dei campi comuni nel contesto dello schema specifico. Ad esempio, i valori consentiti per il campo EventType possono variare in base allo schema, come potrebbe essere il valore del campo EventSchemaVersion .

Campi standard di Log Analytics

I campi seguenti vengono generati da Log Analytics, nella maggior parte dei casi, per ogni record. Possono essere sottoposti a override quando si crea un connettore personalizzato.

Campo Type Discussione
TimeGenerated datetime Ora in cui l'evento è stato generato dal dispositivo di report.
Type String Tabella originale da cui è stato recuperato il record. Questo campo è utile quando lo stesso evento può essere ricevuto tramite più canali in tabelle diverse e ha gli stessi valori EventVendor e EventProduct .

Ad esempio, un evento Sysmon può essere raccolto nella Event tabella o nella WindowsEvent tabella.

Nota

Log Analytics aggiunge anche altri campi meno rilevanti per i casi d'uso della sicurezza. Per altre informazioni, vedere Colonne standard nei log di Monitoraggio di Azure.

Campi comuni di ASIM

I campi seguenti sono definiti da ASIM per tutti gli schemi:

Campi dell'evento

Campo Classe Tipo Descrizione
EventMessage Facoltativo String Messaggio o descrizione generale, incluso o generato dal record.
EventCount Obbligatorio Intero Numero di eventi descritti dal record.

Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi.

Per altre origini, impostare su 1.
EventStartTime Obbligatorio Data/ora Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated .
EventEndTime Obbligatorio Data/ora Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated .
EventType Obbligatorio Enumerated Descrive l'operazione segnalata dal record. Ogni schema documenta l'elenco di valori validi per questo campo. Il valore originale, specifico dell'origine, viene archiviato nel campo EventOriginalType .
EventSubType Facoltativo Enumerated Descrive una suddivisione dell'operazione segnalata nel campo EventType . Ogni schema documenta l'elenco di valori validi per questo campo. Il valore originale, specifico dell'origine, viene archiviato nel campo EventOriginalSubType .
EventResult Obbligatorio Enumerated Uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicable).

Il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. In alternativa, l'origine potrebbe fornire solo il campo EventResultDetails , che deve essere analizzato per derivare il valore EventResult.

Esempio: Success
EventResultDetails Consigliato Enumerated Motivo o dettagli per il risultato segnalato nel campo EventResult . Ogni schema documenta l'elenco di valori validi per questo campo. Il valore originale, specifico dell'origine , viene archiviato nel campo EventOriginalResultDetails .

Esempio: NXDOMAIN
EventUid Consigliato String ID univoco del record, assegnato da Microsoft Sentinel. Questo campo viene in genere mappato al _ItemId campo Log Analytics.
EventOriginalUid Facoltativo String ID univoco del record originale, se specificato dall'origine.

Esempio: 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType Facoltativo String Tipo di evento o ID originale, se specificato dall'origine. Ad esempio, questo campo viene usato per archiviare l'ID evento di Windows originale. Questo valore viene usato per derivare EventType, che deve avere solo uno dei valori documentati per ogni schema.

Esempio: 4624
EventOriginalSubType Facoltativo String Sottotipo o ID dell'evento originale, se specificato dall'origine. Ad esempio, questo campo viene usato per archiviare il tipo di accesso di Windows originale. Questo valore viene usato per derivare EventSubType, che deve avere solo uno dei valori documentati per ogni schema.

Esempio: 2
EventOriginalResultDetails Facoltativo String Dettagli del risultato originale forniti dall'origine. Questo valore viene usato per derivare EventResultDetails, che deve avere solo uno dei valori documentati per ogni schema.
EventSeverity Consigliato Enumerated Gravità dell'evento. I valori validi sono: Informational, Low, Mediumo High.
EventOriginalSeverity Facoltativo String Gravità originale fornita dal dispositivo di report. Questo valore viene usato per derivare EventSeverity.
EventProduct Obbligatorio String Prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e prodotti.

Esempio: Sysmon
EventProductVersion Facoltativo String Versione del prodotto che genera l'evento.

Esempio: 12.1
EventVendor Obbligatorio String Fornitore del prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e prodotti.

Esempio: Microsoft

EventSchema Obbligatorio String Lo schema in cui viene normalizzato l'evento. Ogni schema documenta il nome dello schema.
EventSchemaVersion Obbligatorio String La versione dello schema. Ogni schema documenta la versione corrente.
EventReportUrl Facoltativo String URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento.
EventOwner Facoltativo String Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato.

Campi dispositivo

Il ruolo dei campi del dispositivo è diverso per schemi e tipi di evento diversi. Ad esempio:

  • Per gli eventi della sessione di rete, i campi dispositivo in genere forniscono informazioni sul dispositivo che ha generato l'evento
  • Per gli eventi process, i campi del dispositivo forniscono informazioni sul dispositivo in cui viene eseguito il processo.

Ogni documento dello schema specifica il ruolo del dispositivo per lo schema.

Campo Classe Tipo Descrizione
Dvc Alias String Identificatore univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema.

Questo campo potrebbe eseguire l'alias dei campi DvcFQDN, DvcId, DvcHostname o DvcIpAddr . Per le origini cloud, per cui non è presente alcun dispositivo apparente, usare lo stesso valore del campo Prodotto evento .
DvcIpAddr Consigliato Indirizzo IP Indirizzo IP del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema.

Esempio: 45.21.42.12
DvcHostname Consigliato Hostname (Nome host) Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema.

Esempio: ContosoDc
DvcDomain Consigliato String Dominio del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema.

Esempio: Contoso
DvcDomainType Condizionale Enumerated Tipo di DvcDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType.

Nota: questo campo è obbligatorio se viene usato il campo DvcDomain .
DvcFQDN Facoltativo String Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema.

Esempio: Contoso\DESKTOP-1282V4D

Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. Il campo DvcDomainType riflette il formato usato.
DvcDescription Facoltativo String Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller.
DvcId Facoltativo String ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema.

Esempio: 41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType Condizionale Enumerated Tipo di DvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType.
- MDEid

Se sono disponibili più ID, usare il primo dall'elenco e archiviare gli altri usando rispettivamente i nomi di campo DvcAzureResourceId e DvcMDEid.

Nota: questo campo è obbligatorio se viene usato il campo DvcId .
DvcMacAddr Facoltativo MAC Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento.

Esempio: 00:1B:44:11:3A:B7
DvcZone Facoltativo String Rete in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. La zona è definita dal dispositivo di report.

Esempio: Dmz
DvcOs Facoltativo String Sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento.

Esempio: Windows
DvcOsVersion Facoltativo String Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento.

Esempio: 10
DvcAction Consigliato String Per la creazione di report sui sistemi di sicurezza, l'azione intrapresa dal sistema, se applicabile.

Esempio: Blocked
DvcOriginalAction Facoltativo String DvcAction originale fornito dal dispositivo di creazione report.
DvcInterface Facoltativo String Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete, acquisita da un dispositivo intermedio o di tocco.
DvcScopeId Facoltativo String ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
DvcScope Facoltativo String L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.

Altri campi

Campo Classe Tipo Descrizione
Campi aggiuntivi Facoltativo Dinamico Se l'origine fornisce informazioni aggiuntive da conservare, mantenerle con i nomi dei campi originali o creare il campo AdditionalFields dinamico e aggiungerle alle informazioni aggiuntive come coppie chiave/valore.
ASimMatchingIpAddr Consigliato String Quando un parser usa i ipaddr_has_any_prefix parametri di filtro, questo campo viene impostato con uno dei valori SrcIpAddr, DstIpAddro Both per riflettere i campi o i campi corrispondenti.
ASimMatchingHostname Consigliato String Quando un parser usa i hostname_has_any parametri di filtro, questo campo viene impostato con uno dei valori SrcHostname, DstHostnameo Both per riflettere i campi o i campi corrispondenti.

Aggiornamenti dello schema

  • Il EventOwner campo è stato aggiunto ai campi comuni il 1° dicembre 2022 e quindi a tutti gli schemi.
  • Il EventUid campo è stato aggiunto ai campi comuni il 26 dicembre 2022 e quindi a tutti gli schemi.

Fornitori e prodotti

Per mantenere la coerenza, l'elenco di fornitori e prodotti consentiti viene impostato come parte di ASIM e potrebbe non corrispondere direttamente al valore inviato dall'origine, se disponibile.

L'elenco attualmente supportato di fornitori e prodotti usati rispettivamente nei campi EventVendor e EventProduct è:

Fornitore Prodotti
AWS - CloudTrail
- VPC
Cisco - ASA
- Umbrella
- IOS
- Meraki
Corelight Zeek
Cynerio Cynerio
Dataminr Dataminr Pulse
GCP Cloud DNS
Infoblox NIOS
Microsoft - Microsoft Entra ID
- Azure
- Azure Firewall
- Azure Blob Storage
- Azure File Storage
- Azure NSG flows
- Azure Queue Storage
- Azure Table Storage
- DNS Server
- Microsoft Defender XDR for Endpoint
- Microsoft Defender for IoT
- Security Events
- SharePoint
- OneDrive
- Sysmon
- Sysmon for Linux
- VMConnection
- Windows Firewall
- WireData
Linux - su
- sudo
Okta - Okta
- Auth0
OpenBSD OpenSSH
Palo Alto - PanOS
- CDL
PostgreSQL PostgreSQL
Squid Squid Proxy
Vectra AI Vectra Steam
WatchGuard Fireware
Zscaler - ZIA DNS
- ZIA Firewall
- ZIA Proxy

Se si sta sviluppando un parser per un fornitore o un prodotto, che non sono elencati qui, contattare il team di Microsoft Sentinel per allocare un nuovo fornitore e designatori di prodotti consentiti.

Passaggi successivi

Per altre informazioni, vedi: