Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Sommige velden zijn gebruikelijk voor alle ASIM-schema's. Elk schema kan richtlijnen toevoegen voor het gebruik van enkele algemene velden in de context van het specifieke schema. Toegestane waarden voor het veld EventType kunnen bijvoorbeeld per schema verschillen, zoals de waarde van het veld EventSchemaVersion .
Standaard-Log Analytics-velden
De volgende velden worden gegenereerd door Log Analytics, in de meeste gevallen, voor elke record. Ze kunnen worden overschreven wanneer u een aangepaste connector maakt.
| Veld | Typologie | Discussie |
|---|---|---|
| Tijd gegenereerd | Datum/tijd | Het tijdstip waarop de gebeurtenis is gegenereerd door het rapportageapparaat. |
| Typ | Snaar / Touwtje | De oorspronkelijke tabel waaruit de record is opgehaald. Dit veld is handig wanneer dezelfde gebeurtenis kan worden ontvangen via meerdere kanalen naar verschillende tabellen en dezelfde Waarden voor EventVendor en EventProduct hebben. Een Sysmon-gebeurtenis kan bijvoorbeeld worden verzameld aan de Event tabel of aan de WindowsEvent tabel. |
Notitie
Log Analytics voegt ook andere velden toe die minder relevant zijn voor beveiligingsgebruiksscenario's. Zie Standaardkolommen in Azure Monitor-logboeken voor meer informatie.
Algemene ASIM-velden
De volgende velden worden gedefinieerd door ASIM voor alle schema's:
Gebeurtenisvelden
| Veld | Klas | Typologie | Beschrijving |
|---|---|---|---|
| Evenement Bericht | Optioneel | Snaar / Touwtje | Een algemeen bericht of een algemene beschrijving, opgenomen in of gegenereerd op basis van de record. |
| Aantal gebeurtenissen | Verplicht | Geheel getal | Het aantal gebeurtenissen dat door de record wordt beschreven. Deze waarde wordt gebruikt wanneer de bron aggregatie ondersteunt en één record meerdere gebeurtenissen kan vertegenwoordigen. Voor andere bronnen, ingesteld op 1. |
| Starttijd van het evenement | Verplicht | Datum/tijd | De tijd waarin de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, wordt het tijdstip waarop de eerste gebeurtenis is gegenereerd. Als dit niet is opgegeven door de bronrecord, wordt in dit veld het veld TimeGenerated opgevraagd . |
| EventEndTime | Verplicht | Datum/tijd | De tijd waarin de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, is het tijdstip waarop de laatste gebeurtenis is gegenereerd. Als dit niet is opgegeven door de bronrecord, wordt in dit veld het veld TimeGenerated opgevraagd . |
| Soort gebeurtenis | Verplicht | Opgelijst | Beschrijft de bewerking die door de record is gerapporteerd. Elk schema documentert de lijst met waarden die geldig zijn voor dit veld. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalType . |
| GebeurtenisSubType | Optioneel | Opgelijst | Beschrijft een onderverdeling van de bewerking die is gerapporteerd in het veld EventType . Elk schema documentert de lijst met waarden die geldig zijn voor dit veld. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalSubType . |
| Resultaat van evenement | Verplicht | Opgelijst | Een van de volgende waarden: Success, Partial, Failure, NA (Not Applicable). De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. De bron kan ook alleen het veld EventResultDetails opgeven, dat moet worden geanalyseerd om de Waarde EventResult af te leiden. Voorbeeld: Success |
| EvenementResultaatDetails | Aanbevolen | Opgelijst | Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult . Elk schema documentert de lijst met waarden die geldig zijn voor dit veld. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalResultDetails . Voorbeeld: NXDOMAIN |
| Uiteindelijke gebeurtenis | Aanbevolen | Snaar / Touwtje | De unieke id van de record, zoals toegewezen door Microsoft Sentinel. Dit veld wordt doorgaans toegewezen aan het _ItemId Log Analytics-veld. |
| EvenementOriginalUid | Optioneel | Snaar / Touwtje | Een unieke id van de oorspronkelijke record, indien opgegeven door de bron. Voorbeeld: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| GebeurtenisOrigineelType | Optioneel | Snaar / Touwtje | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt om de oorspronkelijke Windows-gebeurtenis-id op te slaan. Deze waarde wordt gebruikt om EventType af te leiden. Deze moet slechts één van de waarden bevatten die voor elk schema zijn gedocumenteerd. Voorbeeld: 4624 |
| EventOriginalSubType | Optioneel | Snaar / Touwtje | Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke gebeurtenis-id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt voor het opslaan van het oorspronkelijke Windows-aanmeldingstype. Deze waarde wordt gebruikt om EventSubType af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd. Voorbeeld: 2 |
| EvenementOrigineelResultaatDetails | Optioneel | Snaar / Touwtje | De oorspronkelijke resultaatdetails van de bron. Deze waarde wordt gebruikt om EventResultDetails af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd. |
| Ernst van de gebeurtenis | Aanbevolen | Opgelijst | De ernst van de gebeurtenis. Geldige waarden zijn: Informational, Low, Mediumof High. |
| GebeurtenisOrigineelErnst | Optioneel | Snaar / Touwtje | De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. Deze waarde wordt gebruikt om EventSeverity af te leiden. |
| Evenement Product | Verplicht | Snaar / Touwtje | Het product dat de gebeurtenis genereert. De waarde moet een van de waarden zijn die worden vermeld in Leveranciers en Producten. Voorbeeld: Sysmon |
| EventProductVersie | Optioneel | Snaar / Touwtje | De versie van het product die de gebeurtenis genereert. Voorbeeld: 12.1 |
| Verkoper van evenementen | Verplicht | Snaar / Touwtje | De leverancier van het product dat de gebeurtenis genereert. De waarde moet een van de waarden zijn die worden vermeld in Leveranciers en Producten. Voorbeeld: Microsoft |
| EventSchema | Verplicht | Opgelijst | Het schema waaraan de gebeurtenis wordt genormaliseerd. Elk schema documentt de naam van het schema. |
| EventSchemaVersion | Verplicht | SchemaVersion (string) | De versie van het schema. Elk schema documentt de huidige versie. |
| GebeurtenisRapportUrl | Optioneel | URL (String) | Een URL in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
| Eigenaar van het evenement | Optioneel | Snaar / Touwtje | De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd. |
Apparaatvelden
De rol van de apparaatvelden verschilt voor verschillende schema's en gebeurtenistypen. Voorbeeld:
- Voor de netwerksessie-gebeurtenissen bevatten apparaatvelden meestal informatie over het apparaat dat de gebeurtenis heeft gegenereerd
- Voor de procesgebeurtenissen bevatten de apparaatvelden informatie op het apparaat waarop het proces wordt uitgevoerd.
Elk schemadocument specificeert de rol van het apparaat voor het schema.
| Veld | Klas | Typologie | Beschrijving |
|---|---|---|---|
| DVC | schuilnaam | Snaar / Touwtje | Een unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Dit veld kan een alias zijn voor de velden DvcFQDN, DvcId, DvcHostname of DvcIpAddr . Gebruik voor cloudbronnen waarvoor geen duidelijk apparaat is, dezelfde waarde als het veld Gebeurtenisproduct . |
| DvcIpAddr | Aanbevolen | IP-adres | Het IP-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Voorbeeld: 45.21.42.12 |
| DvcHostnaam | Aanbevolen | Hostnaam | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Voorbeeld: ContosoDc |
| DvcDomein | Aanbevolen | Domein (String) | Het domein van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd, afhankelijk van het schema. Voorbeeld: Contoso |
| DvcDomainType | Voorwaardelijk | Opgelijst | Het type DvcDomain. Raadpleeg DomainType voor een lijst met toegestane waarden en meer informatie. Opmerking: dit veld is vereist als het veld DvcDomain wordt gebruikt. |
| DvcFQDN | Optioneel | FQDN (String) | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Voorbeeld: Contoso\DESKTOP-1282V4DOpmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld DvcDomainType weerspiegelt de gebruikte indeling. |
| DvcBeschrijving | Optioneel | Snaar / Touwtje | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller. |
| DvcId | Optioneel | Snaar / Touwtje | De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Voorbeeld: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | Voorwaardelijk | Opgelijst | Het type DvcId. Raadpleeg DvcIdType voor een lijst met toegestane waarden en meer informatie. - MDEidAls er meerdere id's beschikbaar zijn, gebruikt u de eerste id uit de lijst en slaat u de andere id's op met respectievelijk de veldnamen DvcAzureResourceId en DvcMDEid. Opmerking: dit veld is vereist als het veld DvcId wordt gebruikt. |
| DvcMacAddr | Optioneel | MAC-adres | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: 00:1B:44:11:3A:B7 |
| DvcZone | Optioneel | Snaar / Touwtje | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd, afhankelijk van het schema. De zone wordt gedefinieerd door het rapportageapparaat. Voorbeeld: Dmz |
| DvcOs | Optioneel | Snaar / Touwtje | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: Windows |
| DvcOs-versie | Optioneel | Snaar / Touwtje | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: 10 |
| DvcActie | Optioneel | Snaar / Touwtje | Voor het rapporteren van beveiligingssystemen, indien van toepassing, de door het systeem uitgevoerde actie. Voorbeeld: Blocked |
| DvcOriginalActie | Optioneel | Snaar / Touwtje | De oorspronkelijke DvcAction zoals geleverd door het rapportageapparaat. |
| Dvc-koppeling | Optioneel | Snaar / Touwtje | De netwerkinterface waarop gegevens zijn vastgelegd. Dit veld is doorgaans relevant voor netwerkgerelateerde activiteit, die wordt vastgelegd door een tussenliggend apparaat of tik op het apparaat. |
| DvcScopeId | Optioneel | Snaar / Touwtje | De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| DvcScope | Optioneel | Snaar / Touwtje | Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
Andere velden
Schema-updates
- Het
EventOwnerveld is toegevoegd aan de algemene velden op 1 december 2022 en daarom aan alle schema's. - Het
EventUidveld is toegevoegd aan de algemene velden op 26 december 2022 en daarom aan alle schema's.
Leveranciers en producten
Om consistentie te behouden, wordt de lijst met toegestane leveranciers en producten ingesteld als onderdeel van ASIM en komt deze mogelijk niet rechtstreeks overeen met de waarde die door de bron wordt verzonden, indien beschikbaar.
De momenteel ondersteunde lijst met leveranciers en producten die worden gebruikt in respectievelijk de velden EventVendor en EventProduct is:
| Leverancier | Producten |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra-id - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linu x- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Als u een parser ontwikkelt voor een leverancier of product dat hier niet wordt vermeld, neemt u contact op met het Microsoft Sentinel-team om nieuwe toegestane leveranciers en productaanduidingen toe te wijzen.
Volgende stappen
Zie voor meer informatie: