ASIM(고급 보안 정보 모델) 공통 스키마 필드 참조(미리 보기)
일부 필드는 모든 ASIM 스키마에 공통입니다. 각 스키마는 특정 스키마의 컨텍스트에서 일부 공통 필드를 사용하기 위한 지침을 추가할 수 있습니다. 예를 들어 EventType 필드에 허용되는 값은 EventSchemaVersion 필드 값과 마찬가지로 스키마마다 다를 수 있습니다.
표준 Log Analytics 필드
다음 필드는 대부분의 경우 각 레코드에 대해 Log Analytics에서 생성됩니다. 사용자 지정 커넥터를 만들 때 재정의할 수 있습니다.
| 필드 | Type | 토론(Discussion) |
|---|---|---|
| TimeGenerated | 날짜/시간 | 보고 디바이스에서 이벤트를 생성한 시간입니다. |
| Type | 문자열 | 레코드를 가져온 원본 테이블입니다. 이 필드는 동일한 이벤트가 여러 채널을 통해 서로 다른 테이블로 수신될 수 있고 동일한 EventVendor 및 EventProduct 값을 가질 때 유용합니다. 예를 들어, Sysmon 이벤트는 Event 테이블 또는 WindowsEvent 테이블에 수집될 수 있습니다. |
참고 항목
Log Analytics는 보안 사용 사례와 관련성이 낮은 다른 필드도 추가합니다. 자세한 내용은 Azure Monitor 로그의 표준 열을 참조하세요.
일반적인 ASIM 필드
다음 필드는 모든 스키마에 대해 ASIM에 의해 정의됩니다.
이벤트 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| EventMessage | 선택 사항 | 문자열 | 레코드에 포함되거나 레코드에서 생성된 일반 메시지 또는 설명입니다. |
| EventCount | 필수 | 정수 | 레코드에서 설명하는 이벤트 수입니다. 이 값은 원본에서 집계를 지원할 때 사용되며, 단일 레코드에서 여러 이벤트를 나타낼 수 있습니다. 다른 원본의 경우 1로 설정합니다. |
| EventStartTime | 필수 | Date/time | 이벤트가 시작된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 첫 번째 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventEndTime | 필수 | Date/time | 이벤트가 종료된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 마지막 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventType | 필수 | 열거 | 레코드에서 보고하는 작업을 설명합니다. 각 스키마는 이 필드에 유효한 값 목록을 문서화합니다. 원본의 원본별 값은 EventOriginalType 필드에 저장됩니다. |
| EventSubType | 선택 사항 | 열거 | EventType 필드에 보고된 작업의 세분화를 설명합니다. 각 스키마는 이 필드에 유효한 값 목록을 문서화합니다. 원본의 원본별 값은 EventOriginalSubType 필드에 저장됩니다. |
| EventResult | 필수 | 열거 | 성공, 부분, 실패, NA(해당 없음) 값 중 하나입니다. 값은 이러한 값으로 정규화되어야 하는 다른 조건을 사용하여 원본 레코드에 제공될 수 있습니다. 또는 원본에서 EventResultDetails 필드만 제공할 수 있습니다. 이 필드는 EventResult 값을 도출하기 위해 분석되어야 합니다. 예: Success |
| EventResultDetails | 권장 | 열거 | EventResult 필드에 보고된 결과에 대한 이유 또는 세부 정보입니다. 각 스키마는 이 필드에 유효한 값 목록을 문서화합니다. 원본의 원본별 값은 EventOriginalResultDetails 필드에 저장됩니다. 예: NXDOMAIN |
| EventUid | 권장 | 문자열 | Microsoft Sentinel에서 할당한 레코드의 고유 ID입니다. 이 필드는 일반적으로 Log Analytics 필드에 매핑 _ItemId 됩니다. |
| EventOriginalUid | 선택 사항 | 문자열 | 원본에서 제공하는 경우 원래 레코드의 고유 ID입니다. 예: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | 선택 사항 | 문자열 | 원본에서 제공하는 경우 원래 이벤트 유형 또는 ID입니다. 예를 들어 이 필드는 원래 Windows 이벤트 ID를 저장하는 데 사용됩니다. 이 값은 각 스키마에 대해 문서화된 값 중 하나만 있어야 하는 EventType을 파생하는 데 사용됩니다. 예: 4624 |
| EventOriginalSubType | 선택 사항 | 문자열 | 원본에서 제공한 경우 원래 이벤트 하위 형식 또는 ID입니다. 예를 들어 이 필드는 원래 Windows 로그온 형식을 저장하는 데 사용됩니다. 이 값은 각 스키마에 대해 문서화된 값 중 하나만 있어야 하는 EventSubType을 파생하는 데 사용됩니다. 예: 2 |
| EventOriginalResultDetails | 선택 사항 | 문자열 | 원본에서 제공한 원본 결과 세부 정보입니다. 이 값은 각 스키마에 대해 문서화된 값 중 하나만 있어야 하는 EventResultDetails를 파생하는 데 사용됩니다. |
| EventSeverity | 권장 | 열거 | 이벤트의 심각도입니다. 유효한 값은 Informational, Low, Medium 또는 High입니다. |
| EventOriginalSeverity | 선택 사항 | 문자열 | 보고 디바이스에서 제공한 원래 심각도입니다. 이 값은 EventSeverity를 파생하는 데 사용됩니다. |
| EventProduct | 필수 | 문자열 | 이벤트를 생성하는 제품 값은 공급업체 및 제품에 나열된 값 중 하나여야 합니다. 예: Sysmon |
| EventProductVersion | 선택 사항 | 문자열 | 이벤트를 생성하는 제품의 버전입니다. 예: 12.1 |
| EventVendor | 필수 | 문자열 | 이벤트를 생성하는 제품의 공급업체입니다. 값은 공급업체 및 제품에 나열된 값 중 하나여야 합니다. 예: Microsoft |
| EventSchema | 필수 | 문자열 | 이벤트가 정규화되는 스키마입니다. 각 스키마는 스키마 이름을 문서화합니다. |
| EventSchemaVersion | 필수 | 문자열 | 스키마의 버전입니다. 각 스키마는 현재 버전을 문서화합니다. |
| EventReportUrl | 선택 사항 | 문자열 | 이벤트에 대한 자세한 정보를 제공하는 리소스에 대해 이벤트에 제공된 URL입니다. |
| EventOwner | 선택 사항 | 문자열 | 이벤트의 소유자이며, 일반적으로 생성된 부서 또는 자회사입니다. |
디바이스 필드
디바이스 필드의 역할은 스키마 및 이벤트 유형에 따라 다릅니다. 예시:
- 네트워크 세션 이벤트의 경우 디바이스 필드는 일반적으로 이벤트를 생성한 디바이스에 대한 정보를 제공합니다.
- 프로세스 이벤트의 경우 디바이스 필드는 프로세스가 실행되는 디바이스에 대한 정보를 제공합니다.
각 스키마 문서는 스키마에 대한 디바이스의 역할을 지정합니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| Dvc | Alias | 문자열 | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 디바이스의 고유 식별자입니다. 이 필드는 DvcFQDN, DvcId, DvcHostname 또는 DvcIpAddr 필드의 별칭을 지정할 수 있습니다. 명백한 디바이스가 없는 클라우드 원본의 경우 이벤트 제품 필드와 동일한 값을 사용합니다. |
| DvcIpAddr | 권장 | IP 주소 | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 디바이스의 IP 주소입니다. 예: 45.21.42.12 |
| DvcHostname | 권장 | Hostname | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 디바이스의 호스트 이름입니다. 예: ContosoDc |
| DvcDomain | 권장 | 문자열 | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 디바이스의 도메인입니다. 예: Contoso |
| DvcDomainType | 조건부 | 열거 | DvcDomain 형식입니다. 허용되는 값 목록 및 자세한 내용은 Do기본Type을 참조하세요. 참고: 이 필드는 DvcDomain 필드가 사용되는 경우 필수입니다. |
| DvcFQDN | 선택 사항 | 문자열 | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 디바이스의 호스트 이름입니다. 예: Contoso\DESKTOP-1282V4D참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. DvcDomainType 필드는 사용된 형식을 반영합니다. |
| DvcDescription | 선택 사항 | 문자열 | 디바이스와 관련된 설명 텍스트입니다. 예: Primary Domain Controller |
| DvcId | 선택 사항 | 문자열 | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 디바이스의 고유 ID입니다. 예: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | 조건부 | 열거 | DvcId 형식입니다. 허용되는 값 목록 및 자세한 내용은 DvcIdType을 참조하세요. - MDEid여러 ID를 사용할 수 있는 경우 목록에서 첫 번째 ID를 사용하고 다른 ID는 각각 DvcAzureResourceId 및 DvcMDEid 필드 이름을 사용하여 저장합니다. 참고: 이 필드는 DvcId 필드가 사용되는 경우 필수입니다. |
| DvcMacAddr | 선택 사항 | MAC | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 MAC 주소입니다. 예: 00:1B:44:11:3A:B7 |
| DvcZone | 선택 사항 | 문자열 | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 네트워크입니다. 영역은 보고 디바이스에 의해 정의됩니다. 예: Dmz |
| DvcOs | 선택 사항 | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스에서 실행 중인 운영 체제입니다. 예: Windows |
| DvcOsVersion | 선택 사항 | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 운영 체제 버전입니다. 예: 10 |
| DvcAction | 권장 | 문자열 | 보고 보안 시스템의 경우 해당하는 경우 시스템에서 수행한 작업입니다. 예: Blocked |
| DvcOriginalAction | 선택 사항 | 문자열 | 보고 디바이스에서 제공한 원래 DvcAction입니다. |
| DvcInterface | 선택 사항 | 문자열 | 데이터가 캡처된 네트워크 인터페이스입니다. 이 필드는 일반적으로 중간 또는 탭 디바이스에서 캡처되는 네트워크 관련 활동과 관련이 있습니다. |
| DvcScopeId | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. DvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DvcScope | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위입니다. DvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
기타 필드
스키마 업데이트
EventOwner필드는 2022년 12월 1일에 공통 필드에 추가되었으므로 모든 스키마에 추가되었습니다.EventUid필드는 2022년 12월 26일에 공통 필드에 추가되었으므로 모든 스키마에 추가되었습니다.
공급업체 및 제품
일관성을 유지하기 위해 허용되는 공급업체 및 제품 목록은 ASIM의 일부로 설정되며 사용 가능한 경우 원본에서 보낸 값과 직접적으로 일치하지 않을 수 있습니다.
EventVendor 및 EventProduct 필드에 각각 사용되는 현재 지원되는 공급업체 및 제품 목록은 다음과 같습니다.
| Vendor | Products |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
여기에 나열되지 않은 공급업체 또는 제품에 대한 파서를 개발하는 경우 Microsoft Sentinel 팀에 문의하여 허용되는 새로운 공급업체 및 제품 지정자를 할당합니다.
다음 단계
자세한 내용은 다음을 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기