ASIM(고급 보안 정보 모델) 스키마
ASIM(고급 보안 정보 모델) 스키마는 활동을 나타내는 필드 집합입니다. 쿼리에서 정규화된 스키마의 필드를 사용하면 쿼리가 정규화된 모든 원본에서 작동합니다.
스키마를 ASIM 아키텍처에 맞추는 방법을 이해하려면 ASIM 아키텍처 다이어그램을 참조하세요.
스키마 참조는 각 스키마를 구성하는 필드를 간략하게 설명합니다. ASIM은 현재 다음 스키마를 정의합니다.
스키마 | 버전 | 상태 |
---|---|---|
감사 이벤트 | 0.1 | 미리 보기를 |
인증 이벤트 | 0.1.3 | 미리 보기를 |
DNS 작업 | 0.1.7 | 미리 보기를 |
DHCP 작업 | 0.1 | 미리 보기를 |
파일 활동 | 0.2.1 | 미리 보기를 |
네트워크 세션 | 0.2.6 | 미리 보기를 |
프로세스 이벤트 | 0.1.4 | 미리 보기를 |
레지스트리 이벤트 | 0.1.2 | 미리 보기를 |
사용자 관리 | 0.1 | 미리 보기를 |
웹 세션 | 0.2.6 | 미리 보기를 |
Important
ASIM 스키마 및 파서는 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
스키마 개념
다음 개념은 데이터가 스키마에서 다루지 않는 정보를 포함하는 경우 스키마 참조 문서를 이해하고 정규화된 방식으로 스키마를 확장하는 데 도움이 됩니다.
개념 | 설명 |
---|---|
필드 이름 | 각 스키마의 핵심은 필드 이름입니다. 필드 이름은 다음 그룹에 속합니다. - 모든 스키마에 공통된 필드 - 특정 스키마에 국한된 필드 - 스키마에 참여하는 사용자와 같은 엔터티를 나타내는 필드 엔터티를 나타내는 필드는 스키마 간에 유사합니다. 문서화된 스키마에 없는 필드가 원본에 있는 경우 일관성을 유지하기 위해 정규화됩니다. 추가 필드가 엔터티를 나타내는 경우 엔터티 필드 지침에 따라 정규화됩니다. 그렇지 않으면 스키마는 모든 스키마에서 일관성을 유지하려고 합니다. 예를 들어 DNS 서버 활동 로그는 사용자 정보를 제공하지 않지만 엔드포인트의 DNS 활동 로그에는 사용자 엔터티 지침에 따라 정규화할 수 있는 사용자 정보가 포함될 수 있습니다. |
필드 형식 | 각 데이터 필드에는 형식이 있습니다. Log Analytics 작업 영역에는 제한된 데이터 형식 세트가 집합이 있습니다. 이런 이유로, Microsoft Sentinel은 Log Analytics에서 적용하지 않지만 스키마 호환성을 위해 필요한 논리적 형식을 많은 스키마 필드에 사용합니다. 논리적 필드 형식은 값과 필드 이름이 원본 간에 일관되도록 합니다. 자세한 내용은 논리적 형식을 참조하세요. |
필드 클래스 | 필드에는 파서에서 필드를 구현해야 하는 경우를 정의하는 여러 클래스가 있을 수 있습니다. - 필수 필드는 모든 파서에 나타나야 합니다. 원본에서 이 값에 대한 정보를 제공하지 않거나 데이터를 추가할 수 없는 경우 정규화된 스키마를 참조하는 대부분의 콘텐츠 항목이 지원되지 않습니다. - 권장 필드는 사용 가능한 경우 정규화해야 합니다. 그러나 모든 원본에서 사용할 수 있는 것은 아닙니다. 정규화된 스키마를 참조하는 콘텐츠 항목은 가용성을 고려해야 합니다. - 선택적 필드(사용 가능한 경우)는 정규화되거나 원래 형식을 유지할 수 있습니다. 일반적으로 최소 파서는 성능상의 이유로 이 필드를 정규화하지 않습니다. - 조건부 필드는 팔로우하는 필드가 채워진 경우 필수입니다. 조건부 필드는 일반적으로 다른 필드의 값을 설명하는 데 사용됩니다. 예를 들어, 공통 필드 DvcIdType은 공통 필드 DvcId의 int 값을 설명하므로 후자가 채워진 경우 필수입니다. - 별칭은 조건부 필드의 특수한 형식이며 별칭이 지정된 필드가 채워진 경우 필수입니다. |
공용 필드 | 일부 필드는 모든 ASIM 스키마에 공통입니다. 각 스키마는 특정 스키마의 컨텍스트에서 일부 공통 필드를 사용하기 위한 지침을 추가할 수 있습니다. 예를 들어 EventType 필드에 허용되는 값은 EventSchemaVersion 필드 값과 마찬가지로 스키마마다 다를 수 있습니다. |
엔터티 | 이벤트는 사용자, 호스트, 프로세스 또는 파일과 같은 엔터티를 중심으로 진행됩니다. 각 엔터티를 설명하기 위해 여러 필드가 필요할 수 있습니다. 예를 들어 호스트에 이름과 IP 주소가 있을 수 있습니다. 단일 레코드에 원본 및 대상 호스트와 같이 동일한 형식의 엔터티가 여러 개 포함된 경우도 있습니다. ASIM은 엔터티를 일관되게 설명하는 방법을 정의하고, 엔터티는 스키마 확장을 허용합니다. 예를 들어 네트워크 세션 스키마에는 프로세스 정보가 포함되지 않지만 일부 이벤트 원본에서 추가할 수 있는 프로세스 정보를 제공합니다. 자세한 내용은 엔터티를 참조하세요. |
별칭 | 별칭은 지정된 값에 대해 여러 이름을 허용합니다. 경우에 따라 사용자마다 필드에 다른 이름을 지정하려고 할 수 있습니다. 예를 들어 DNS 용어에서는 DnsQuery라는 필드가 예상될 수 있지만, 도메인 이름이 포함되는 경우가 더 일반적입니다. 별칭 도메인은 두 이름을 모두 사용할 수 있도록 하여 사용자에게 도움이 됩니다. 경우에 따라 별칭은 이벤트에서 사용할 수 있는 값에 따라 여러 필드 중 하나의 값을 가질 수 있습니다. 예를 들어 Dvc 별칭은 DvcFQDN, DvcId, DvcHostname 또는 DvcIpAddr 또는 이벤트 제품 필드를 별칭으로 지정합니다. 별칭에 여러 값이 있을 수 있는 경우 가능한 모든 별칭 값을 수용하려면 해당 형식이 문자열이어야 합니다. 따라서 이러한 별칭에 값을 할당할 때 KQL 함수 tostring을 사용하여 형식을 문자열로 변환해야 합니다. 네이티브 정규화된 테이블에는 데이터 스토리지가 중복됨을 의미하는 별칭이 포함되지 않습니다. 대신 스텁 파서는 별칭을 추가합니다. 파서에서 별칭을 구현하려면 extend 연산자를 사용하여 원래 값의 복사본을 만듭니다. |
논리적 형식
각 데이터 필드에는 형식이 있습니다. 일부 필드에는 기본 제공 Log Analytics 형식(예: string
, int
, datetime
또는 dynamic
)이 있습니다. 필드 값을 정규화하는 방법을 나타내는 논리적 형식이 있는 필드도 있습니다.
데이터 형식 | 실제 형식 | 서식과 값 |
---|---|---|
부울 | Bool | 부울 값의 숫자 또는 문자열 표현 대신 기본 제공 KQL bool 데이터 형식을 사용합니다. |
Enumerated | 문자열 | 필드에 대해 명시적으로 정의된 값 목록입니다. 스키마 정의에는 허용되는 값이 나열됩니다. |
날짜/시간 | 수집 방법 기능에 따라 다음 물리적 표현을 내림차순으로 사용합니다. - Log Analytics 기본 제공 날짜/시간 형식 - Log Analytics 날짜/시간 숫자 표현을 사용하는 정수 필드 - Log Analytics 날짜/시간 숫자 표현을 사용하는 문자열 필드 - 지원되는 Log Analytics 날짜/시간 형식을 저장하는 문자열 필드 |
Log Analytics 날짜/시간 표현은 Unix 시간 표현과 비슷하지만 다른 점도 있습니다. 자세한 내용은 변환 지침을 참조하세요. 참고: 해당하는 경우 시간을 표준 시간대로 조정해야 합니다. |
MAC 주소 | 문자열 | 콜론으로 구분된 16진수 표기법입니다. |
IP 주소 | 문자열 | Microsoft Sentinel 스키마에는 별도의 IPv4 및 IPv6 주소가 없습니다. 모든 IP 주소 필드에 다음과 같이 IPv4 주소 또는 IPv6 주소가 포함될 수 있습니다. - 점으로 구분된 10진수 표기법의 IPv4 - 8헥스텟 표기법의 IPv6(약식 허용) 예시: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210 - IPv6 약식: 1080::8:800:200C:417A |
FQDN | 문자열 | 점 표기법을 사용하는 정규화된 도메인 이름입니다(예: learn.microsoft.com ). 자세한 내용은 디바이스 엔터티를 참조하세요. |
Hostname | 문자열 | FQDN이 아닌 호스트 이름에는 문자, 숫자, 하이픈을 포함하여 최대 63자가 포함됩니다. 자세한 내용은 디바이스 엔터티를 참조하세요. |
DomainType | Enumerated | 도메인 및 FQDN 필드에 저장된 도메인의 유형입니다. 값 목록 및 자세한 내용은 디바이스 엔터티를 참조하세요. |
DvcIdType | Enumerated | DvcId 필드에 저장된 디바이스 ID의 유형입니다. 허용되는 값 목록 및 추가 정보는 DvcIdType을 참조하세요. |
DeviceType | Enumerated | DeviceType 필드에 저장된 디바이스 유형입니다. 가능한 값은 다음을 포함합니다. - Computer - Mobile Device - IOT Device - Other . 자세한 내용은 디바이스 엔터티를 참조하세요. |
사용자 이름 | 문자열 | 지원되는 형식 중 하나의 유효한 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. |
UsernameType | Enumerated | 사용자 이름 필드에 저장된 사용자 이름의 유형입니다. 자세한 내용과 지원되는 값 목록은 사용자 엔터티를 참조하세요. |
UserIdType | Enumerated | 사용자 ID 필드에 저장된 ID의 유형입니다. 지원되는 값은 SID , UIS , AADID , OktaId , AWSId 및 PUID 입니다. 자세한 내용은 사용자 엔터티를 참조하세요. |
UserType | Enumerated | 사용자의 유형입니다. 자세한 내용과 허용되는 값 목록은 사용자 엔터티를 참조하세요. |
AppType | Enumerated | 애플리케이션의 유형입니다. 지원되는 값은 Process ,Service , Resource , URL , SaaS application , CSP , Other 입니다. |
국가 | 문자열 | 다음 우선 순위에 따라 ISO 3166-1을 사용하는 문자열입니다. - 알파-2 코드(예: 미국의 경우 US ) - 알파-3 코드(예: 미국의 경우 USA ) - 짧은 이름 코드 목록은 ISO(국제 표준화 기구) 웹 사이트에서 찾을 수 있습니다. |
지역 | 문자열 | ISO 3166-2를 사용하는 국가 지역 이름입니다. 코드 목록은 ISO(국제 표준화 기구) 웹 사이트에서 찾을 수 있습니다. |
구/군/시 | 문자열 | |
경도 | 두 배 | ISO 6709 좌표 표현(부호 있는 10진수)입니다. |
위도 | 두 배 | ISO 6709 좌표 표현(부호 있는 10진수)입니다. |
MD5 | 문자열 | 32개의 16진수 문자입니다. |
SHA1 | 문자열 | 40개의 16진수 문자입니다. |
SHA256 | 문자열 | 64개의 16진수 문자입니다. |
SHA512 | 문자열 | 128개의 16진수 문자입니다. |
엔터티
이벤트는 사용자, 호스트, 프로세스 또는 파일과 같은 엔터티를 중심으로 진행됩니다. 엔터티 표현을 사용하면 동일한 형식의 여러 엔터티가 단일 레코드의 일부가 될 수 있으며 동일한 엔터티에 대해 여러 특성을 지원할 수 있습니다.
엔터티 기능을 사용하려면 다음 지침에 따라 엔터티를 나타내야 합니다.
지침 | 설명 |
---|---|
설명자 및 앨리어싱 | 단일 이벤트에는 원본 및 대상 호스트와 같이 동일한 형식의 엔터티가 둘 이상 포함되어 있기 때문에 특정 엔터티와 연결된 모든 필드를 식별하기 위한 접두사로 설명자가 사용됩니다. 정규화를 유지 관리하기 위해 ASIM은 작은 표준 설명자 집합을 사용하여 엔터티의 특정 역할에 가장 적합한 설명자를 선택합니다. 형식의 단일 엔터티가 이벤트와 관련된 경우에는 설명자를 사용할 필요가 없습니다. 또한 설명자가 없는 필드 집합은 각 형식에 대해 가장 많이 사용되는 엔터티를 별칭으로 사용합니다. |
식별자 및 형식 | 정규화된 스키마를 사용하면 이벤트에 공존하게 하려는 각 엔터티에 대해 여러 식별자를 사용할 수 있습니다. 원본 이벤트에 정규화된 스키마에 매핑할 수 없는 다른 엔터티 식별자가 있는 경우 해당 식별자를 원본 양식에 유지하거나 AdditionalFields 동적 필드를 사용합니다. 식별자의 형식 정보를 유지 관리하려면 해당하는 경우 동일한 이름에 Type 접미사를 추가하여 필드에 형식을 저장합니다. 예를 들면 UserIdType입니다. |
특성 | 엔터티에는 식별자로 사용되지 않아 설명자로 정규화할 수도 있는 다른 특성도 있습니다. 예를 들어 원본 사용자에게 도메인 정보가 있는 경우 정규화된 필드는 SrcUserDomain입니다. |
각 스키마는 중앙 엔터티 및 엔터티 필드를 명시적으로 정의합니다. 다음 지침을 사용하면 중앙 스키마 필드 및 스키마에서 명시적으로 정의되지 않은 다른 엔터티 또는 엔터티 필드를 사용하여 정규화된 방식으로 스키마를 확장하는 방법을 이해할 수 있습니다.
User 엔터티
사용자는 이벤트에서 보고되는 활동의 중심입니다. 이 섹션에 나열된 필드는 작업에 관련된 사용자를 설명하는 데 사용됩니다. 접두사는 활동에서 사용자의 역할을 지정하는 데 사용됩니다. 접두사 Src
및 Dst
는 원본 시스템과 대상 시스템이 통신하는 네트워크 관련 이벤트에서 사용자 역할을 지정하는 데 사용됩니다. 'Actor' 및 'Target' 접두사는 프로세스 이벤트와 같은 시스템 지향 이벤트에 사용됩니다.
사용자 ID 및 범위
필드 | 클래스 | Type | 설명 |
---|---|---|---|
UserId | 선택 사항 | 문자열 | 컴퓨터에서 읽을 수 있는 영숫자의 사용자에 대한 고유한 표현입니다. |
UserScope | 선택 사항 | string | UserId 및 Username이 정의된 범위입니다. 예를 들어 Microsoft Entra 테넌트 도메인 이름입니다. UserIdType 필드는 이 필드와 관련된 유형도 나타냅니다. |
UserScopeId | 선택 사항 | string | UserId 및 Username이 정의된 범위의 ID입니다. 예를 들어 Microsoft Entra 테넌트 디렉터리 ID입니다. UserIdType 필드는 이 필드와 관련된 유형도 나타냅니다. |
UserIdType | 선택 사항 | UserIdType | UserId 필드에 저장된 ID 형식입니다. |
UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | 선택 사항 | 문자열 | 특정 사용자 ID를 저장하는 데 사용되는 필드입니다. 이벤트와 가장 연결된 ID를 UserId에 저장된 기본 ID로 선택합니다. 이벤트에 ID가 하나만 있는 경우에도 UserId 외에 관련 특정 ID 필드를 채웁니다. |
UserAADTenant, UserAWSAccount | 선택 사항 | 문자열 | 특정 범위를 저장하는 데 사용되는 필드입니다. UserId 필드에 저장된 ID와 연결된 범위에 UserScope 필드를 사용합니다. 이벤트에 ID가 하나만 있는 경우에도 UserScope 외에 관련 특정 범위 필드를 채웁니다. |
사용자 ID 유형에 허용되는 값은 다음과 같습니다.
Type | Description | 예시 |
---|---|---|
SID | Windows 사용자 ID. | S-1-5-21-1377283216-344919071-3415362939-500 |
UID | Linux 사용자 ID. | 4578 |
AADID | Microsoft Entra 사용자 ID입니다. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
OktaId | OKTA 사용자 ID. | 00urjk4znu3BcncfY0h7 |
AWSId | AWS 사용자 ID. | 72643944673 |
PUID | Microsoft 365 사용자 ID입니다. | 10032001582F435C |
SalesforceId | Salesforce 사용자 ID입니다. | 00530000009M943 |
사용자 이름입니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
사용자 이름 | 선택 사항 | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 원본 사용자 이름입니다. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다. UsernameType 필드에 사용자 이름 유형을 저장합니다. |
UsernameType | 선택 사항 | UsernameType | Username 필드에 저장된 사용자 이름 형식을 지정합니다. |
UserUPN, WindowsUsername, DNUsername, SimpleUsername | 선택 사항 | 문자열 | 원래 이벤트에 여러 사용자 이름이 포함된 경우 추가 사용자 이름을 저장하는 데 사용되는 필드입니다. 사용자 이름에 저장된 기본 사용자 이름으로 이벤트와 가장 연결된 사용자 이름을 선택합니다. |
사용자 이름 유형에 허용되는 값은 다음과 같습니다.
Type | Description | 예시 |
---|---|---|
UPN | UPN 또는 이메일 주소 사용자 이름 지정자. | johndow@contoso.com |
Windows | 도메인을 포함한 Windows 사용자 이름. | Contoso\johndow |
DN | LDAP 고유 이름 지정자. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
단순 모드 | 도메인 지정자가 없는 간단한 사용자 이름. | johndow |
AWSId | AWS 사용자 ID. | 72643944673 |
추가 사용자 필드
필드 | 클래스 | Type | 설명 |
---|---|---|---|
UserType | 선택 사항 | UserType | 원본 사용자의 형식입니다. 지원되는 값은 다음과 같습니다. - Regular - Machine - Admin - System - Application - Service Principal - Service - Anonymous - Other .값은 이러한 값으로 정규화되어야 하는 다른 조건을 사용하여 원본 레코드에 제공될 수 있습니다. OriginalUserType 필드에 원래 값을 저장합니다. |
OriginalUserType | 선택 사항 | 문자열 | 보고 디바이스에서 제공한 경우 원래 대상 사용자 유형입니다. |
디바이스 엔터티
디바이스 또는 호스트는 이벤트에 참여하는 시스템에 사용되는 일반적인 용어입니다. Dvc
접두사는 이벤트가 발생하는 기본 디바이스를 지정하는 데 사용됩니다. 네트워크 세션과 같은 일부 이벤트에는 접두사 Src
및 Dst
로 지정된 원본 및 대상 디바이스가 있습니다. 이러한 경우 Dvc
접두사는 원본, 대상 또는 모니터링 디바이스일 수 있는 이벤트를 보고하는 디바이스에 사용됩니다.
디바이스 별칭
필드 | 클래스 | Type | 설명 |
---|---|---|---|
Dvc, Src, Dst | 필수 | 문자열 | Dvc , 'Src' 또는 'Dst' 필드는 디바이스의 고유 식별자로 사용됩니다. 디바이스에 대해 식별할 수 있는 최상의 값으로 설정됩니다. 이러한 필드는 FQDN, DvcId, Hostname 또는 IpAddr 필드의 별칭을 지정할 수 있습니다. 명백한 디바이스가 없는 클라우드 원본의 경우 이벤트 제품 필드와 동일한 값을 사용하세요. |
디바이스 이름
보고된 디바이스 이름에는 호스트 이름만 포함되거나 호스트 이름과 도메인 이름을 포함하는 FQDN(정규화된 도메인 이름)이 포함될 수 있습니다. FQDN은 여러 형식으로 표현될 수 있습니다. 다음 필드를 사용하면 디바이스 이름을 제공할 수 있는 다양한 변형을 지원할 수 있습니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
Hostname | 권장 | Hostname | 디바이스의 짧은 호스트 이름입니다. |
도메인 | 권장 | 문자열 | 호스트 이름 없이 이벤트가 발생한 디바이스의 도메인입니다. |
DomainType | 권장 | Enumerated | 도메인의 유형입니다. 지원되는 값은 FQDN 및 Windows 입니다. 이 필드는 Domain 필드가 사용되는 경우 필수입니다. |
FQDN | 선택 사항 | 문자열 | 호스트 이름과 도메인을 모두 포함하는 디바이스의 FQDN입니다. 이 필드는 기존 FQDN 형식과 Windows domain\hostname 형식을 모두 지원합니다. DomainType 필드는 사용된 형식을 반영합니다. |
예시:
필드 | 입력 값 appserver.contoso.com |
입력 값 appserver |
---|---|---|
Hostname | appserver |
appserver |
도메인 | contoso.con |
<empty> |
DomainType | FQDN |
<empty> |
FQDN | appserver.contoso.com |
<empty> |
원본에서 제공하는 값이 FQDN이거나 값이 FQDN 또는 짧은 호스트 이름일 수 있는 경우 파서는 4개 값을 계산해야 합니다. ASIM 도우미 함수 _ASIM_ResolveFQDN
, _ASIM_ResolveSrcFQDN
, _ASIM_ResolveDstFQDN
및 _ASIM_ResolveDvcFQDN
을 사용하고 단일 입력 값에 따라 4개의 필드를 모두 쉽게 설정할 수 있습니다. 자세한 내용은 ASIM 도우미 함수를 참조하세요.
디바이스 ID 및 범위
필드 | 클래스 | Type | 설명 |
---|---|---|---|
DvcId | 선택 사항 | 문자열 | 디바이스의 고유 ID입니다. 예: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
ScopeId | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. 범위는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
범위 | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위입니다. 범위는 Azure의 구독과 AWS의 계정에 매핑됩니다. |
DvcIdType | 선택 사항 | Enumerated | DvcId 형식입니다. 일반적으로 이 필드는 Scope 및 ScopeId의 형식도 식별합니다. 이 필드는 DvcId 필드가 사용되는 경우 필수입니다. |
DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | 선택 사항 | 문자열 | 원래 이벤트에 여러 디바이스 ID가 포함된 경우 추가 디바이스 ID를 저장하는 데 사용되는 필드입니다. 이벤트와 가장 관련이 있는 디바이스 ID를 DvcId에 저장된 기본 ID로 선택합니다. |
명명된 필드에는 역할 접두사(예: Src
또는 Dst
)가 앞에 추가되어야 하지만 해당 역할에 사용되는 경우 두 번째 Dvc
접두사 앞에 추가하면 안 됩니다.
디바이스 ID 유형에 허용되는 값은 다음과 같습니다.
Type | 설명 |
---|---|
MDEid | 엔드포인트용 Microsoft Defender 할당된 시스템 ID입니다. |
AzureResourceId | Azure 리소스 ID. |
MD4IoTid | Microsoft Defender for IoT 리소스 ID. |
VMConnectionId | Azure Monitor VM Insights 솔루션 리소스 ID. |
AwsVpcId | AWS VPC ID. |
VectraId | Vectra AI 할당 리소스 ID. |
기타 | 위에 나열되지 않은 ID 유형입니다. |
예를 들어 Azure Monitor VM Insights 솔루션은 VMConnection
에서 네트워크 세션 정보를 제공합니다. 이 표에서는 _ResourceId
필드의 Azure 리소스 ID와 Machine
필드의 VM 인사이트 특정 디바이스 ID를 제공합니다. 다음 매핑을 사용하여 해당 ID를 나타냅니다.
필드 | 맵 대상 |
---|---|
DvcId | VMConnection 테이블의 Machine 필드입니다. |
DvcIdType | 값 VMConnectionId |
DvcAzureResourceId | VMConnection 테이블의 _ResourceId 필드입니다. |
추가 디바이스 필드
필드 | 클래스 | Type | 설명 |
---|---|---|---|
IpAddr | 권장 | IP 주소 | 디바이스의 IP 주소입니다. 예: 45.21.42.12 |
DvcDescription | 선택 사항 | 문자열 | 디바이스와 관련된 설명 텍스트입니다. 예: Primary Domain Controller |
MacAddr | 선택 사항 | MAC | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 MAC 주소입니다. 예: 00:1B:44:11:3A:B7 |
영역 | 선택 사항 | 문자열 | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 네트워크입니다. 영역은 보고 디바이스에 의해 정의됩니다. 예: Dmz |
DvcOs | 선택 사항 | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스에서 실행 중인 운영 체제입니다. 예: Windows |
DvcOsVersion | 선택 사항 | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 운영 체제 버전입니다. 예: 10 |
DvcAction | 선택 사항 | 문자열 | 보고 보안 시스템의 경우 해당하는 경우 시스템에서 수행한 작업입니다. 예: Blocked |
DvcOriginalAction | 선택 사항 | 문자열 | 보고 디바이스에서 제공한 원래 DvcAction입니다. |
인터페이스 | 선택 사항 | 문자열 | 데이터가 캡처된 네트워크 인터페이스입니다. 이 필드는 일반적으로 중간 또는 탭 디바이스에 의해 캡처되는 네트워크 관련 작업과 관련이 있습니다. |
Dvc 접두사가 있는 목록에 이름이 지정된 필드에는 역할 접두사(예: Src
또는 Dst
)가 앞에 추가되어야 하지만 해당 역할에 사용되는 경우 두 번째 Dvc
접두사 앞에 추가하면 안 됩니다.
샘플 엔터티 매핑
이 섹션에서는 Microsoft Sentinel을 위해 이벤트 데이터를 정규화하는 방법을 설명하는 예제로 Windows 이벤트 4624를 사용합니다.
이 이벤트에는 다음과 같은 엔터티가 있습니다.
Microsoft 용어 | 원래 이벤트 필드 접두사 | ASIM 필드 접두사 | 설명 |
---|---|---|---|
주제 | Subject |
Actor |
성공적인 로그인에 대한 정보를 보고한 사용자입니다. |
새 로그온 | Target |
TargetUser |
로그인이 수행된 사용자입니다. |
처리 | - | ActingProcess |
로그인을 시도한 프로세스입니다. |
네트워크 정보 | - | Src |
로그인 시도가 수행된 머신입니다. |
이러한 엔터티를 기준으로 Windows 이벤트 4624는 다음과 같이 정규화됩니다(일부 필드는 선택 사항).
정규화된 필드 | 원본 필드 | 예제의 값 | 주의 |
---|---|---|---|
ActorUserId | SubjectUserSid | S-1-5-18 | |
ActorUserIdType | - | SID | |
ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | 두 필드를 연결하여 빌드 |
ActorUserNameType | - | Windows | |
ActorSessionId | SubjectLogonId | 0x3e7 | |
TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
UserId | TargetUserSid | Alias | |
TargetUserIdType | - | SID | |
TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | 두 필드를 연결하여 빌드 |
사용자 이름 | TargetDomainName\ TargetUserName | Alias | |
TargetUserNameType | - | Windows | |
TargetSessionId | TargetLogonId | 0x8dcdc | |
ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
ActingProcessId | ProcessId | 0x44c | |
SrcHostname | WorkstationName | Windows | |
SrcIpAddr | IpAddress | 127.0.0.1 | |
SrcPortNumber | IpPort | 0 | |
TargetHostname | 컴퓨터 | WIN-GG82ULGC9GO | |
Hostname | 컴퓨터 | Alias |
다음 단계
이 문서에서는 Microsoft Sentinel 및 ASIM의 정규화에 대해 간략하게 설명합니다.
자세한 내용은 다음을 참조하세요.