Condividi tramite


Schema di normalizzazione della rete di Microsoft Sentinel (versione legacy - Anteprima pubblica)

Lo schema di normalizzazione di rete viene usato per descrivere gli eventi di rete segnalati e viene usato da Microsoft Sentinel per abilitare l'analisi unificata.

Per altre informazioni, vedere Normalizzazione e Advanced Security Information Model (ASIM).

Importante

Questo articolo è correlato alla versione 0.1 dello schema di normalizzazione di rete, rilasciato come anteprima prima che ASIM fosse disponibile. La versione 0.2.x dello schema di normalizzazione di rete è allineata con ASIM e offre altri miglioramenti.

Per altre informazioni, vedere Differenze tra le versioni dello schema di normalizzazione di rete

Terminologia

La terminologia seguente viene usata negli schemi di Microsoft Sentinel:

Termine Definizione
Dispositivo per la creazione di report Il sistema invia i record a Microsoft Sentinel. Potrebbe non essere il sistema soggetto del record.
Record Unità di dati inviati dal dispositivo di segnalazione. Questa unità di dati viene spesso definita log, evento alert, ma può avere anche altri tipi.

Tipi di dati e formati

La tabella seguente fornisce indicazioni per la normalizzazione dei valori di dati, necessari per i campi normalizzati e consigliati per altri campi.

Tipo di dati Tipo fisico Formato e valore
Data/Ora Una delle opzioni seguenti, a seconda della funzionalità del metodo di inserimento usata, in priorità decrescente:
  • Tipo datetime predefinito di Log Analytics
  • Un campo integer che usa la rappresentazione numerica datetime di Log Analytics
  • Campo stringa che usa la rappresentazione numerica datetime di Log Analytics
Rappresentazione datetime di Log Analytics.

La rappresentazione di data e ora di Log Analytics è simile alla natura, ma diversa dalla rappresentazione dell'ora Unix. Fare riferimento a queste linee guida per la conversione.

La data e l'ora devono essere modificate per i fusi orari.
Indirizzo MAC String Notazione colon-esadecimale
Indirizzo IP Indirizzo IP Lo schema non dispone di indirizzi IPv4 e IPv6 separati. Qualsiasi campo indirizzo IP può includere un indirizzo IPv4 o un indirizzo IPv6:
  • IPv4 in una notazione dot-decimal
  • Notazione IPv6 in 8 hextets, consentendo le forme brevi descritte qui.
Utente String Sono disponibili i 3 campi utente seguenti:
  • Nome utente
  • UPN utente
  • Dominio utente
ID utente String Sono attualmente supportati i 2 ID utente seguenti:
  • SID utente
  • Microsoft Entra ID
Dispositivo String Sono supportate le 3 colonne di dispositivo/host seguenti:
  • ID
  • Nome
  • Un nome di dominio completo (FQDN)
Paese/area geografica String Stringa che usa ISO 3166-1, in base alle priorità seguenti:
  • Codici alfa-2, ad esempio US per il Stati Uniti
  • Codici alfa-3, ad esempio USA per il Stati Uniti
  • Nome breve
Area String Nome della suddivisione del paese con ISO 3166-2
Città String
Longitudine Double Rappresentazione delle coordinate ISO 6709 (decimale con segno)
Latitudine Double Rappresentazione delle coordinate ISO 6709 (decimale con segno)
Algoritmo hash String Sono supportate le 4 colonne hash seguenti:
  • MD5
  • SHA1
  • SHA256
  • SHA512
Tipo di file String Tipo di file:
  • Estensione
  • Classe
  • NamedType

Schema della tabella sessioni di rete

Di seguito è riportato lo schema della tabella delle sessioni di rete, con versione 1.0.0

Nome del campo Tipo di valore Esempio Descrizione Entità del sistema operativo associate edizione Standard M
EventType String Traffico Tipo di evento da raccogliere Evento
EventSubType String Autenticazione Descrizione aggiuntiva del tipo, se applicabile Evento
EventCount Intero 10 Numero di eventi aggregati, se applicabile. Evento
EventEndTime Data/ora Vedere "tipi di dati" Ora in cui l'evento è terminato Evento
EventMessage string accesso negato Messaggio o descrizione generale, incluso in o generato dal record Evento
DvcIpAddr Indirizzo IP 23.21.23.34 Indirizzo IP del dispositivo che genera il record Dispositivo
IP
DvcMacAddr String 06:10:9f:eb:8f:14 Indirizzo MAC dell'interfaccia di rete del dispositivo di report da cui è stato inviato l'evento. Dispositivo
Mac
DvcHostname Nome dispositivo (stringa) syslogserver1.contoso.com Nome del dispositivo che genera il messaggio. Dispositivo
EventProduct String OfficeSharepoint Prodotto che genera l'evento. Evento
EventProductVersion string 9.0 Versione del prodotto che genera l'evento. Evento
EventResourceId ID dispositivo (stringa) /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 ID risorsa del dispositivo che genera il messaggio. Evento
EventReportUrl String https://192.168.1.1/repoerts/ae3-56.htm Collegamento al report completo creato dal dispositivo di report Evento
EventVendor String Microsoft Fornitore del prodotto che genera l'evento. Evento
EventResult Multivalore: Success, Partial, Failure, [Empty] (String) Riuscita Risultato segnalato per l'attività. Valore vuoto se non applicabile. Evento
EventResultDetails String Password errata Motivo o dettagli per il risultato segnalato in EventResult Evento
EventSchemaVersion Reale 0,1 Versione dello schema di Microsoft Sentinel. Attualmente 0.1. Evento
EventSeverity String Ridotto Se l'attività segnalata ha un impatto sulla sicurezza, indica la gravità dell'impatto. Evento
EventOriginalUid String af6ae8fe-ff43-4a4c-b537-8635976a2b51 ID del record dal dispositivo di report. Evento
EventStartTime Data/ora Vedere "tipi di dati" Ora in cui l'evento ha dichiarato Evento
TimeGenerated Data/ora Vedere "tipi di dati" Ora in cui si è verificato l'evento, come segnalato dall'origine report. Campo personalizzato
EventTimeIngested Data/ora Vedere "tipi di dati" Ora in cui l'evento è stato inserito in Microsoft Sentinel. Verrà aggiunto da Microsoft Sentinel. Evento
EventUid Guid (string) 516a64e3-8360-4f1e-a67c-d96b3d52df54 Identificatore univoco usato da Microsoft Sentinel per contrassegnare una riga. Evento
NetworkApplicationProtocol String HTTPS Protocollo del livello applicazione usato dalla connessione o dalla sessione. Rete
DstBytes int 32455 Numero di byte inviati dalla destinazione all'origine per la connessione o la sessione. Destinazione
SrcBytes int 46536 Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. Origine
NetworkBytes int 78991 Numero di byte inviati in entrambe le direzioni. Se esistono sia BytesReceived che BytesSent, BytesTotal deve essere uguale alla somma. Rete
NetworkDirection Multivalore: in ingresso, in uscita (stringa) In entrata Direzione della connessione o della sessione, all'interno o all'esterno dell'organizzazione. Rete
DstGeoCity String Burlington Città associata all'indirizzo IP di destinazione Destinazione
Area geografica
DstGeoCountry Country (String) USA Paese associato all'indirizzo IP di origine Destinazione
Area geografica
DstDvcHostname Nome dispositivo (Stringa) victim_pc Nome del dispositivo di destinazione Destinazione
Dispositivo
DstDvcFqdn String victim_pc.contoso.local Nome di dominio completo dell'host in cui è stato creato il log Destinazione
Dispositivo
DstDomainHostname string CONTOSO Dominio della destinazione, Dominio dell'host di destinazione (sito Web, nome di dominio e così via), ad esempio per ricerche DNS o ricerche NS Destinazione
DstInterfaceName string Scheda di rete Microsoft Hyper-V Interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. Destinazione
DstInterfaceGuid string 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B GUID dell'interfaccia di rete usata per la richiesta di autenticazione Destinazione
DstIpAddr Indirizzo IP 2001:db8::ff00:42:8329 L'indirizzo IP della destinazione della connessione o della sessione, noto più comunemente come IP di destinazione nel pacchetto di rete Destinazione
IP
DstDvcIpAddr Indirizzo IP 75.22.12.2 Indirizzo IP di destinazione di un dispositivo non direttamente associato al pacchetto di rete Destinazione
Dispositivo
IP
DstGeoLatitude Latitudine (double) 44.475833 Latitudine della coordinata geografica associata all'indirizzo IP di destinazione Destinazione
Area geografica
DstMacAddr String 06:10:9f:eb:8f:14 L'indirizzo MAC dell'interfaccia di rete in cui la connessione o la sessione è stata terminata, in genere denominata MAC di destinazione nel pacchetto di rete Destinazione
MAC
DstDvcMacAddr String 06:10:9f:eb:8f:14 Indirizzo MAC di destinazione di un dispositivo non direttamente associato al pacchetto di rete. Destinazione
Dispositivo
MAC
DstDvcDomain String CONTOSO Dominio del dispositivo di destinazione. Destinazione
Dispositivo
DstPortNumber Intero 443 Porta IP di destinazione. Destinazione
Porta
DstGeoRegion Region (String) Vermont Area associata all'indirizzo IP di destinazione Destinazione
Area geografica
DstResourceId ID dispositivo (stringa) /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim ID risorsa del dispositivo di destinazione. Destinazione
DstNatIpAddr Indirizzo IP 2::1 Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con l'origine. NAT di destinazione,
IP
DstNatPortNumber int 443 Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta usata dal dispositivo NAT per la comunicazione con l'origine. NAT di destinazione,
Porta
DstUserSid SID utente S-12-1445 ID utente dell'identità associata alla destinazione della sessione. In genere, l'identità usata per autenticare un server. Per altre informazioni, vedere Tipi di dati e formati. Destinazione
User
DstUserAadId Stringa (guid) ae92b0b4-digitata-4b42-85a0-fbd862f4df54 ID oggetto dell'account Microsoft Entra dell'utente alla fine della sessione di destinazione Destinazione
User
DstUserName Nome utente (stringa) johnd Nome utente dell'identità associata alla destinazione della sessione. Destinazione
User
DstUserUpn string johnd@anon.com UPN dell'identità associata alla destinazione della sessione. Destinazione
User
DstUserDomain string GRUPPO DI LAVORO Nome di dominio o computer dell'account nella destinazione della sessione Destinazione
User
DstZone String Dmz Zona di rete della destinazione, come definito dal dispositivo di report. Destinazione
DstGeoLongitude Longitudine (double) -73.211944 Longitudine della coordinata geografica associata all'indirizzo IP di destinazione Destinazione
Area geografica
DvcAction Multivalore: Allow, Deny, Drop (string) Consenti Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'azione eseguita dal dispositivo. Dispositivo
DvcInboundInterface String eth0 Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di origine. Dispositivo
DvcOutboundInterface String Scheda Ethernet Ethernet 4 Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di destinazione. Dispositivo
NetworkDuration Intero 1500 Quantità di tempo, in millisecondo, per il completamento della sessione di rete o della connessione Rete
NetworkIcmpCode Intero 34 Per un messaggio ICMP, il valore numerico del tipo di messaggio ICMP (RFC 2780 o RFC 4443). Rete
NetworkIcmpType String Destinazione non raggiungibile Per un messaggio ICMP, rappresentazione testuale del tipo di messaggio ICMP (RFC 2780 o RFC 4443). Rete
DstPackets int 446 Numero di pacchetti inviati dalla destinazione all'origine per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Destinazione
SrcPackets int 6478 Numero di pacchetti inviati dall'origine alla destinazione per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Origine
NetworkPackets int 0 Numero di pacchetti inviati in entrambe le direzioni. Se sono presenti sia PacketsReceived che PacketsSent, BytesTotal deve essere uguale alla somma. Rete
HttpRequestTime Intero 700 Quantità di tempo necessaria per inviare la richiesta al server, se applicabile. Http
HttpResponseTime Intero 800 Quantità di tempo necessaria per ricevere una risposta nel server, se applicabile. Http
NetworkRuleName String AnyAnyDrop Nome o ID della regola in base al quale DeviceAction è stato deciso Rete
NetworkRuleNumber int 23 Numero di regola corrispondente Rete
NetworkSessionId string 172_12_53_32_4322__123_64_207_1_80 Identificatore di sessione segnalato dal dispositivo di report. Ad esempio, identificatore di sessione L7 per applicazioni specifiche che seguono l'autenticazione Rete
SrcGeoCity String Burlington Città associata all'indirizzo IP di origine Fonte
Area geografica
SrcGeoCountry Country (String) USA Paese associato all'indirizzo IP di origine Fonte
Area geografica
SrcDvcHostname Nome dispositivo (Stringa) Cattivo Nome del dispositivo di origine Fonte
Dispositivo
SrcDvcFqdn string Villain.malicious.com Nome di dominio completo dell'host in cui è stato creato il log Fonte
Dispositivo
SrcDvcDomain string EVILORG Dominio del dispositivo da cui è stata avviata la sessione Fonte
Dispositivo
SrcDvcOs String iOS Sistema operativo del dispositivo di origine Fonte
Dispositivo
SrcDvcModelName String Samsung Galaxy Note Nome del modello del dispositivo di origine Fonte
Dispositivo
SrcDvcModelNumber String 10.0 Numero di modello del dispositivo di origine Fonte
Dispositivo
SrcDvcType String Mobile Tipo del dispositivo di origine Fonte
Dispositivo
SrcIntefaceName String eth01 Interfaccia di rete usata per la connessione o la sessione dal dispositivo di origine. Origine
SrcInterfaceGuid String 46ad544b-eaf0-47ef-827c-266030f545a6 GUID dell'interfaccia di rete usata Origine
SrcIpAddr Indirizzo IP 77.138.103.108 Indirizzo IP da cui ha avuto origine la connessione o la sessione. Fonte
IP
SrcDvcIpAddr Indirizzo IP 77.138.103.108 L'indirizzo IP di origine di un dispositivo non direttamente associato al pacchetto di rete (raccolto da un provider o calcolato in modo esplicito). Fonte
Dispositivo
IP
SrcGeoLatitude Latitudine (double) 44.475833 Latitudine della coordinata geografica associata all'indirizzo IP di origine Fonte
Area geografica
SrcGeoLongitude Longitudine (double) -73.211944 Longitudine della coordinata geografica associata all'indirizzo IP di origine Fonte
Area geografica
SrcMacAddr String 06:10:9f:eb:8f:14 Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la sessione di connessione od. Fonte
Mac
SrcDvcMacAddr String 06:10:9f:eb:8f:14 Indirizzo MAC di origine di un dispositivo non direttamente associato al pacchetto di rete. Fonte
Dispositivo
Mac
SrcPortNumber Intero 2335 Porta IP da cui ha avuto origine la connessione. Potrebbe non essere rilevante per una sessione che comprende più connessioni. Fonte
Porta
SrcGeoRegion Region (String) Vermont L'area all'interno di un paese associato all'indirizzo IP di origine Fonte
Area geografica
SrcResourceId String /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 ID risorsa del dispositivo che genera il messaggio. Origine
SrcNatIpAddr Indirizzo IP 4.3.2.1 Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con la destinazione. NAT di origine,
IP
SrcNatPortNumber Intero 345 Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta usata dal dispositivo NAT per la comunicazione con la destinazione. NAT di origine,
Porta
SrcUserSid ID utente (stringa) S-15-1445 ID utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. Per altre informazioni, vedere Tipi di dati e formati. Fonte
User
SrcUserAadId Stringa (guid) 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 ID oggetto dell'account Microsoft Entra dell'utente alla fine della sessione Fonte
User
SrcUserName Nome utente (stringa) bob Nome utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. Per altre informazioni, vedere Tipi di dati e formati. Origine
User
SrcUserUpn string bob@alice.com UPN dell'account che avvia la sessione Fonte
User
SrcUserDomain string DESKTOP Dominio per l'account che avvia la sessione Fonte
User
SrcZone String Tocco Zona di rete dell'origine, come definito dal dispositivo di report. Origine
NetworkProtocol String TCP Protocollo IP utilizzato dalla connessione o dalla sessione. In genere, TCP, UDP o ICMP Rete
CloudAppName String Facebook Nome dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. Cloud
CloudAppId String 124 ID dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. Cloud
CloudAppOperation String DeleteFile Operazione eseguita dall'utente nel contesto dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. Cloud
CloudAppRiskLevel String 3 Livello di rischio associato a un'applicazione HTTP identificato da un proxy. Questo valore è in genere specifico del proxy usato. Cloud
FileName String ImNotMalicious.exe Nome file trasmesso sulle connessioni di rete per i protocolli, ad esempio FTP e HTTP, che forniscono le informazioni sul nome file. file
Filepath String C:\Malware\ImNotMalicious.exe Percorso completo, incluso il nome file, del file file
FileHashMd5 String 51BC68715FC7C109DCEA406B42D9D78F Valore hash MD5 del file trasmesso tramite le connessioni di rete per i protocolli. file
FileHashSha1 String 491AE3... C299821476F4 Valore hash SHA1 del file trasmesso tramite le connessioni di rete per i protocolli. file
FileHashSha256 String 9B8F8EDB... C129976F03 Valore hash SHA256 del file trasmesso tramite le connessioni di rete per i protocolli. file
FileHashSha512 String 5E127D... F69F73F01F361 Valore hash SHA512 del file trasmesso tramite le connessioni di rete per i protocolli. file
FileExtension String exe Tipo del file trasmesso tramite le connessioni di rete per protocolli come FTP e HTTP. file
FileMimeType String application/msword Tipo MIME del file trasmesso tramite le connessioni di rete per protocolli quali FTP e HTTP file
Dimensione Intero 23500 Dimensioni del file, in byte, del file trasmesso tramite le connessioni di rete per i protocolli. file
HttpVersion String 2.0 Versione della richiesta HTTP per le connessioni di rete HTTP/HTTPS. Http
HttpRequestMethod String GET Metodo HTTP per le sessioni di rete HTTP/HTTPS. Http
HttpStatusCode String 404 Codice di stato HTTP per le sessioni di rete HTTP/HTTPS. Http
HttpContentType String multipart/form-data; boundary=something Intestazione del tipo di contenuto risposta HTTP per le sessioni di rete HTTP/HTTPS. Http
HttpReferrerOriginal String https://developer.mozilla.org/en-US/docs/Web/JavaScript Intestazione del referrer HTTP per le sessioni di rete HTTP/HTTPS. Http
HttpUserAgentOriginal String Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/83.0.4103.97 Safari/537.36 Intestazione dell'agente utente HTTP per le sessioni di rete HTTP/HTTPS. Http
HttpRequestXff String 120.12.41.1 Intestazione HTTP X-Forwarded-For per le sessioni di rete HTTP/HTTPS. Http
UrlCategory String Motori di ricerca Raggruppamento definito di un URL, possibilmente basato sul dominio nell'URL, correlato al contenuto. Ad esempio: adulti, notizie, pubblicità, domini parcheggiati e così via. URL.
UrlOriginal String https:// contoso.com/fo/?k=v&q=u#f URL della richiesta HTTP per le sessioni di rete HTTP/HTTPS. Url
UrlHostname String contoso.com Parte del dominio di un URL di richiesta HTTP per le sessioni di rete HTTP/HTTPS. Url
ThreatCategory String Trojan La categoria di una minaccia identificata da un sistema di sicurezza, ad esempio gateway di sicurezza Web di un IPS, è associata a questa sessione di rete. Minaccia
ThreatId String Tr.124 L'ID di una minaccia identificata da un sistema di sicurezza, ad esempio il gateway di sicurezza Web di un IPS, ed è associato a questa sessione di rete. Minaccia
ThreatName String EICAR Test File Nome della minaccia o del malware identificato Minaccia
Campi aggiuntivi Dinamico (contenitore JSON) {
Property1: "val1",
Property2: "val2"
}
Quando nessuna colonna corrispondente nello schema corrisponde, è possibile archiviare altri campi in un contenitore JSON.
Per l'analisi in fase di query, è consigliabile promuovere colonne aggiuntive anziché usare un contenitore JSON come compressione dei dati nel codice JSON consentirà di ridurre le prestazioni delle query.
Campo personalizzato

Differenze tra la versione 0.1 e la versione 0.2

La versione originale dello schema di normalizzazione della sessione di rete di Microsoft Sentinel, versione 0.1, è stata rilasciata come anteprima prima che ASIM fosse disponibile.

Le differenze tra la versione 0.1, documentata in questo articolo e la versione 0.2.x includono:

  • Nella versione 0.2, i nomi di parser specifici dell'origine e unificati sono stati modificati in modo che siano conformi a una convenzione di denominazione ASIM standard.
  • La versione 0.2 aggiunge linee guida specifiche e parser unificanti per supportare tipi di dispositivi specifici.

Le sezioni seguenti descrivono le differenze tra la versione 0.2.x e i campi specifici.

Aggiunta di campi nella versione 0.2

I campi seguenti sono stati aggiunti nella versione 0.2.x e non esistono nella versione 0.1:

  • DstAppType
  • DstDeviceType
  • DstDomainType
  • DstDvcId
  • DstDvcIdType
  • DstOriginalUserType
  • DstUserIdType
  • DstUsernameType
  • DstUserType
  • DvcActionOriginal
  • DvcDomain
  • DvcDomainType
  • DvcFQDN
  • DvcId
  • DvcIdType
  • DvcIdType
  • EventOriginalSeverity
  • EventOriginalType
  • SrcAppId
  • SrcAppName
  • SrcAppType
  • SrcDeviceType
  • SrcDomainType
  • SrcDvcId
  • SrcDvcIdType
  • SrcOriginalUserType
  • SrcUserIdType
  • SrcUsernameType
  • SrcUserType
  • ThreatRiskLevelOriginal
  • Url

Nuovi campi con alias nella versione 0.2

I campi seguenti sono ora alias nella versione 0.2.x con l'introduzione di ASIM:

Campo nella versione 0.1 Alias nella versione 0.2
SessionId NetworkSessionId
Durata NetworkDuration
IpAddr SrcIpAddr
User DstUsername
Hostname (Nome host) DstHostname
UserAgent HttpUserAgent

Campi modificati nella versione 0.2

I campi seguenti vengono enumerati nella versione 0.2.x e richiedono un valore specifico da un elenco fornito.

  • EventType
  • EventResultDetails
  • EventSeverity

Campi rinominati nella versione 0.2

I campi seguenti sono stati rinominati nella versione 0.2.x:

  • Nella versione 0.2 usare i campi predefiniti di Log Analytics:

    Si noti che ingestion_time() è una funzione KQL e non un nome di campo.

    Campo nella versione 0.1 Rinominato nella versione 0.2
    EventResourceId _ResourceId
    EventUid _Itemid
    EventTimeIngested ingestion_time()
  • Rinominato per allinearsi ai miglioramenti in ASIM e sistema operativo edizione Standard M:

    Campo nella versione 0.1 Rinominato nella versione 0.2
    HttpReferrerOriginal HttpReferrer
    HttpUserAgentOriginal HttpUserAgent
  • Rinominato in modo da riflettere che la destinazione della sessione di rete non deve essere un servizio cloud:

    Campo nella versione 0.1 Rinominato nella versione 0.2
    CloudAppId DstAppId
    CloudAppName DstAppName
    CloudAppRiskLevel ThreatRiskLevel
  • Rinominato per modificare il caso e allinearlo alla gestione ASIM dell'entità utente:

    Campo nella versione 0.1 Rinominato nella versione 0.2
    DstUserName DstUsername
    SrcUserName SrcUsername
  • Rinominato in modo da allinearsi meglio all'entità dispositivo ASIM e consentire id risorsa diversi da quelli di Azure:

    Campo nella versione 0.1 Rinominato nella versione 0.2
    DstResourceId SrcDvcAzureRerouceId
    SrcResourceId SrcDvcAzureRerouceId
  • Rinominata per rimuovere la stringa dai nomi dei campi, poiché la Dvc gestione nella versione 0.1 non è coerente:

    Campo nella versione 0.1 Rinominato nella versione 0.2
    DstDvcDomain DstDomain
    DstDvcFqdn DstFqdn
    DstDvcHostname DstHostname
    SrcDvcDomain SrcDomain
    SrcDvcFqdn SrcFqdn
    SrcDvcHostname SrcHostname
  • Rinominato in allineamento con le linee guida per la rappresentazione dei file ASIM:

    Campo nella versione 0.1 Rinominato nella versione 0.2
    FileHashMd5 FileMD5
    FileHashSha1 FileSHA1
    FileHashSha256 FileSHA256
    FileHashSha512 FileSHA512
    FileMimeType FileContentType

Campi rimossi nella versione 0.2

I campi seguenti esistono solo nella versione 0.1 e sono stati rimossi nella versione 0.2.x:

Motivo Campi rimossi
Rimosso perché esistono duplicati, senza la Dvc stringa nel nome del campo - DstDvcIpAddr
- DstDvcMacAddr
- SrcDvcIpAddr
- SrcDvcMacAddr
Rimosso per allinearsi alla gestione ASIM degli URL - UrlHostname
Rimosso perché questi campi non vengono in genere forniti come parte degli eventi della sessione di rete.

Se un evento include questi campi, usare lo schema process event per comprendere come descrivere le proprietà del dispositivo.
- SrcDvcOs
- SrcDvcModelName
- SrcDvcModelNumber
- DvcMacAddr
- DvcOs
Rimosso per allinearsi alle linee guida per la rappresentazione dei file ASIM -Filepath
-Fileextension
Rimosso come questo campo indica che deve essere usato uno schema diverso, ad esempio lo schema di autenticazione. - CloudAppOperation
Rimosso come duplicato DstHostname - DstDomainHostname

Passaggi successivi

Per altre informazioni, vedi: