De algemene schemaveldenverwijzing (Advanced Security Information Model) (ASIM) (preview)

  • Artikel

Sommige velden zijn gebruikelijk voor alle ASIM-schema's. Elk schema kan richtlijnen toevoegen voor het gebruik van enkele algemene velden in de context van het specifieke schema. Toegestane waarden voor het veld EventType kunnen bijvoorbeeld per schema verschillen, zoals de waarde van het veld EventSchemaVersion .

Standaard-Log Analytics-velden

De volgende velden worden gegenereerd door Log Analytics, in de meeste gevallen, voor elke record. Ze kunnen worden overschreven wanneer u een aangepaste connector maakt.

Veld Type Discussie
TimeGenerated datum/tijd Het tijdstip waarop de gebeurtenis is gegenereerd door het rapportageapparaat.
Type String De oorspronkelijke tabel waaruit de record is opgehaald. Dit veld is handig wanneer dezelfde gebeurtenis kan worden ontvangen via meerdere kanalen naar verschillende tabellen en dezelfde Waarden voor EventVendor en EventProduct hebben.

Een Sysmon-gebeurtenis kan bijvoorbeeld worden verzameld aan de Event tabel of aan de WindowsEvent tabel.

Notitie

Log Analytics voegt ook andere velden toe die minder relevant zijn voor beveiligingsgebruiksscenario's. Zie Standaardkolommen in Azure Monitor-logboeken voor meer informatie.

Algemene ASIM-velden

De volgende velden worden gedefinieerd door ASIM voor alle schema's:

Gebeurtenisvelden

Veld Klasse Type Omschrijving
EventMessage Optioneel String Een algemeen bericht of een algemene beschrijving, opgenomen in of gegenereerd op basis van de record.
EventCount Verplicht Geheel getal Het aantal gebeurtenissen dat door de record wordt beschreven.

Deze waarde wordt gebruikt wanneer de bron aggregatie ondersteunt en één record meerdere gebeurtenissen kan vertegenwoordigen.

Voor andere bronnen, ingesteld op 1.
EventStartTime Verplicht Datum/tijd De tijd waarin de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, wordt het tijdstip waarop de eerste gebeurtenis is gegenereerd. Als dit niet is opgegeven door de bronrecord, wordt in dit veld het veld TimeGenerated opgevraagd .
EventEndTime Verplicht Datum/tijd De tijd waarin de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, is het tijdstip waarop de laatste gebeurtenis is gegenereerd. Als dit niet is opgegeven door de bronrecord, wordt in dit veld het veld TimeGenerated opgevraagd .
EventType Verplicht Enumerated Beschrijft de bewerking die door de record is gerapporteerd. Elk schema documentert de lijst met waarden die geldig zijn voor dit veld. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalType .
EventSubType Optioneel Enumerated Beschrijft een onderverdeling van de bewerking die is gerapporteerd in het veld EventType . Elk schema documentert de lijst met waarden die geldig zijn voor dit veld. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalSubType .
EventResult Verplicht Enumerated Een van de volgende waarden: Success, Partial, Failure, NA (Not Applicable).

De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. De bron kan ook alleen het veld EventResultDetails opgeven, dat moet worden geanalyseerd om de Waarde EventResult af te leiden.

Voorbeeld: Success
EventResultDetails Aanbevolen Enumerated Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult . Elk schema documentert de lijst met waarden die geldig zijn voor dit veld. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalResultDetails .

Voorbeeld: NXDOMAIN
EventUid Aanbevolen String De unieke id van de record, zoals toegewezen door Microsoft Sentinel. Dit veld wordt doorgaans toegewezen aan het _ItemId Log Analytics-veld.
EventOriginalUid Optioneel String Een unieke id van de oorspronkelijke record, indien opgegeven door de bron.

Voorbeeld: 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType Optioneel String Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt om de oorspronkelijke Windows-gebeurtenis-id op te slaan. Deze waarde wordt gebruikt om EventType af te leiden. Deze moet slechts één van de waarden bevatten die voor elk schema zijn gedocumenteerd.

Voorbeeld: 4624
EventOriginalSubType Optioneel String Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke gebeurtenis-id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt voor het opslaan van het oorspronkelijke Windows-aanmeldingstype. Deze waarde wordt gebruikt om EventSubType af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd.

Voorbeeld: 2
EventOriginalResultDetails Optioneel String De oorspronkelijke resultaatdetails van de bron. Deze waarde wordt gebruikt om EventResultDetails af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd.
EventSeverity Aanbevolen Enumerated De ernst van de gebeurtenis. Geldige waarden zijn: Informational, Low, Mediumof High.
EventOriginalSeverity Optioneel String De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. Deze waarde wordt gebruikt om EventSeverity af te leiden.
EventProduct Verplicht String Het product dat de gebeurtenis genereert. De waarde moet een van de waarden zijn die worden vermeld in Leveranciers en Producten.

Voorbeeld: Sysmon
EventProductVersion Optioneel String De versie van het product die de gebeurtenis genereert.

Voorbeeld: 12.1
EventVendor Verplicht String De leverancier van het product dat de gebeurtenis genereert. De waarde moet een van de waarden zijn die worden vermeld in Leveranciers en Producten.

Voorbeeld: Microsoft

EventSchema Verplicht String Het schema waaraan de gebeurtenis wordt genormaliseerd. Elk schema documentt de naam van het schema.
EventSchemaVersion Verplicht String De versie van het schema. Elk schema documentt de huidige versie.
EventReportUrl Optioneel String Een URL in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt.
EventOwner Optioneel String De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd.

Apparaatvelden

De rol van de apparaatvelden verschilt voor verschillende schema's en gebeurtenistypen. Bijvoorbeeld:

  • Voor de netwerksessie-gebeurtenissen bevatten apparaatvelden meestal informatie over het apparaat dat de gebeurtenis heeft gegenereerd
  • Voor de procesgebeurtenissen bevatten de apparaatvelden informatie op het apparaat waarop het proces wordt uitgevoerd.

Elk schemadocument specificeert de rol van het apparaat voor het schema.

Veld Klasse Type Omschrijving
Dvc Alias String Een unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema.

Dit veld kan een alias zijn voor de velden DvcFQDN, DvcId, DvcHostname of DvcIpAddr . Gebruik voor cloudbronnen waarvoor geen duidelijk apparaat is, dezelfde waarde als het veld Gebeurtenisproduct .
DvcIpAddr Aanbevolen IP-adres Het IP-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema.

Voorbeeld: 45.21.42.12
DvcHostname Aanbevolen Hostnaam De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema.

Voorbeeld: ContosoDc
DvcDomain Aanbevolen String Het domein van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd, afhankelijk van het schema.

Voorbeeld: Contoso
DvcDomainType Voorwaardelijk Enumerated Het type DvcDomain. Raadpleeg DomainType voor een lijst met toegestane waarden en meer informatie.

Opmerking: dit veld is vereist als het veld DvcDomain wordt gebruikt.
DvcFQDN Optioneel String De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema.

Voorbeeld: Contoso\DESKTOP-1282V4D

Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld DvcDomainType weerspiegelt de gebruikte indeling.
DvcDescription Optioneel String Een beschrijvende tekst die aan het apparaat is gekoppeld. Bijvoorbeeld: Primary Domain Controller.
DvcId Optioneel String De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema.

Voorbeeld: 41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType Voorwaardelijk Enumerated Het type DvcId. Raadpleeg DvcIdType voor een lijst met toegestane waarden en meer informatie.
- MDEid

Als er meerdere id's beschikbaar zijn, gebruikt u de eerste id uit de lijst en slaat u de andere id's op met respectievelijk de veldnamen DvcAzureResourceId en DvcMDEid.

Opmerking: dit veld is vereist als het veld DvcId wordt gebruikt.
DvcMacAddr Optioneel MAC Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd.

Voorbeeld: 00:1B:44:11:3A:B7
DvcZone Optioneel String Het netwerk waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd, afhankelijk van het schema. De zone wordt gedefinieerd door het rapportageapparaat.

Voorbeeld: Dmz
DvcOs Optioneel String Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd.

Voorbeeld: Windows
DvcOsVersion Optioneel String De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd.

Voorbeeld: 10
DvcAction Aanbevolen String Voor het rapporteren van beveiligingssystemen, indien van toepassing, de door het systeem uitgevoerde actie.

Voorbeeld: Blocked
DvcOriginalAction Optioneel String De oorspronkelijke DvcAction zoals geleverd door het rapportageapparaat.
DvcInterface Optioneel String De netwerkinterface waarop gegevens zijn vastgelegd. Dit veld is doorgaans relevant voor netwerkgerelateerde activiteit, die wordt vastgelegd door een tussenliggend apparaat of tik op het apparaat.
DvcScopeId Optioneel String De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS.
DvcScope Optioneel String Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS.

Andere velden

Veld Klasse Type Omschrijving
AdditionalFields Optioneel Dynamisch Als uw bron aanvullende informatie bevat die u wilt behouden, houdt u deze bij de oorspronkelijke veldnamen of maakt u het dynamische AdditionalFields-veld en voegt u er de extra informatie als sleutel-waardeparen aan toe.
ASimMatchingIpAddr Aanbevolen String Wanneer een parser gebruikmaakt van de ipaddr_has_any_prefix filterparameters, wordt dit veld ingesteld met een van de waarden SrcIpAddr, DstIpAddrof Both om de overeenkomende velden of velden weer te geven.
ASimMatchingHostname Aanbevolen String Wanneer een parser gebruikmaakt van de hostname_has_any filterparameters, wordt dit veld ingesteld met een van de waarden SrcHostname, DstHostnameof Both om de overeenkomende velden of velden weer te geven.

Schema-updates

  • Het EventOwner veld is toegevoegd aan de algemene velden op 1 december 2022 en daarom aan alle schema's.
  • Het EventUid veld is toegevoegd aan de algemene velden op 26 december 2022 en daarom aan alle schema's.

Leveranciers en producten

Om consistentie te behouden, wordt de lijst met toegestane leveranciers en producten ingesteld als onderdeel van ASIM en komt deze mogelijk niet rechtstreeks overeen met de waarde die door de bron wordt verzonden, indien beschikbaar.

De momenteel ondersteunde lijst met leveranciers en producten die worden gebruikt in respectievelijk de velden EventVendor en EventProduct is:

Vendor Producten
AWS - CloudTrail
- VPC
Cisco - ASA
- Umbrella
- IOS
- Meraki
Corelight Zeek
Cynerio Cynerio
Dataminr Dataminr Pulse
GCP Cloud DNS
Infoblox NIOS
Microsoft - Microsoft Entra-id
- Azure
- Azure Firewall
- Azure Blob Storage
- Azure File Storage
- Azure NSG flows
- Azure Queue Storage
- Azure Table Storage
- DNS Server
- Microsoft Defender XDR for Endpoint
- Microsoft Defender for IoT
- Security Events
- SharePoint
- OneDrive
- Sysmon
- Sysmon for Linu x
- VMConnection
- Windows Firewall
- WireData
Linux - su
- sudo
Okta - Okta
- Auth0
OpenBSD OpenSSH
Palo Alto - PanOS
- CDL
PostgreSQL PostgreSQL
Squid Squid Proxy
Vectra AI Vectra Steam
WatchGuard Fireware
Zscaler - ZIA DNS
- ZIA Firewall
- ZIA Proxy

Als u een parser ontwikkelt voor een leverancier of een product dat hier niet wordt vermeld, neemt u contact op met het Microsoft Sentinel-team om een nieuwe toegestane leverancier en productontwerpen toe te wijzen.

Volgende stappen

Zie voor meer informatie: