Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
Schemat zaawansowanego modelu informacji o zabezpieczeniach (ASIM) to zestaw pól reprezentujących działanie. Użycie pól ze znormalizowanego schematu w zapytaniu gwarantuje, że zapytanie będzie działać z każdym znormalizowanym źródłem.
Aby zrozumieć, jak schematy mieszczą się w architekturze ASIM, zapoznaj się z diagramem architektury ASIM.
Odwołania do schematu przedstawiają pola, które składają się na każdy schemat. Obecnie usługa ASIM definiuje następujące schematy:
| Schemat | Wersja | Status |
|---|---|---|
| Zdarzenie inspekcji | 0.1 | Wersja Preview |
| Zdarzenie uwierzytelniania | 0.1.3 | Wersja Preview |
| Działanie DNS | 0.1.7 | Wersja Preview |
| Działanie DHCP | 0.1 | Wersja Preview |
| Działanie pliku | 0.2.1 | Wersja Preview |
| Sesja sieciowa | 0.2.6 | Wersja Preview |
| Zdarzenie procesu | 0.1.4 | Wersja Preview |
| Zdarzenie rejestru | 0.1.2 | Wersja Preview |
| Zarządzanie użytkownikami | 0.1 | Wersja Preview |
| Sesja sieci Web | 0.2.6 | Wersja Preview |
Ważne
Schematy i analizatory ASIM są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Pojęcia dotyczące schematu
Poniższe pojęcia pomagają zrozumieć dokumenty referencyjne schematu i rozszerzyć schemat w znormalizowany sposób, jeśli dane zawierają informacje, których schemat nie obejmuje.
| Koncepcja | opis |
|---|---|
| Nazwy pól | Rdzeniem każdego schematu są jego nazwy pól. Nazwy pól należą do następujących grup: — Pola wspólne dla wszystkich schematów. - Pola specyficzne dla schematu. — Pola reprezentujące jednostki, takie jak użytkownicy, którzy biorą udział w schemacie. Pola reprezentujące jednostki są podobne w schematach. Gdy źródła mają pola, które nie są prezentowane w udokumentowanym schemacie, są znormalizowane w celu zachowania spójności. Jeśli dodatkowe pola reprezentują jednostkę, zostaną znormalizowane na podstawie wytycznych dotyczących pól jednostki. W przeciwnym razie schematy starają się zachować spójność we wszystkich schematach. Na przykład, gdy dzienniki aktywności serwera DNS nie udostępniają informacji o użytkowniku, dzienniki aktywności DNS z punktu końcowego mogą zawierać informacje o użytkowniku, które można znormalizować zgodnie z wytycznymi jednostki użytkownika. |
| Typy pól | Każde pole schematu ma typ. Obszar roboczy usługi Log Analytics ma ograniczony zestaw typów danych. Z tego powodu usługa Microsoft Sentinel używa typu logicznego dla wielu pól schematu, które usługa Log Analytics nie wymusza, ale jest wymagana w celu zachowania zgodności schematu. Typy pól logicznych zapewniają, że zarówno wartości, jak i nazwy pól są spójne między źródłami. Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| Field, klasa | Pola mogą mieć kilka klas, które definiują, kiedy pola powinny być implementowane przez analizator: - Obowiązkowe pola muszą być wyświetlane w każdym analizatorze. Jeśli źródło nie udostępnia informacji dla tej wartości lub nie można dodać danych w inny sposób, nie będzie obsługiwać większości elementów zawartości odwołujących się do znormalizowanego schematu. - Zalecane pola powinny być znormalizowane, jeśli są dostępne. Jednak mogą one nie być dostępne w każdym źródle. Każdy element zawartości odwołujący się do znormalizowanego schematu powinien uwzględniać dostępność. - Opcjonalne pola, jeśli są dostępne, mogą być znormalizowane lub pozostawione w oryginalnym formularzu. Zazwyczaj analizator minimalny nie normalizuje ich ze względów wydajności. - Pola warunkowe są obowiązkowe, jeśli pole, które następuje, jest wypełniane. Pola warunkowe są zwykle używane do opisywania wartości w innym polu. Na przykład typowe pole DvcIdType opisuje wartość int wspólnego pola DvcId i dlatego jest obowiązkowe, jeśli ten ostatni zostanie wypełniony. - Alias jest specjalnym typem pola warunkowego i jest obowiązkowy, jeśli pole aliasu zostanie wypełnione. |
| Typowe pola | Niektóre pola są wspólne dla wszystkich schematów ASIM. Każdy schemat może dodawać wskazówki dotyczące używania niektórych typowych pól w kontekście określonego schematu. Na przykład dozwolone wartości pola EventType mogą się różnić w zależności od schematu, ponieważ może to być wartość pola EventSchemaVersion. |
| Encje | Zdarzenia ewoluują wokół jednostek, takich jak użytkownicy, hosty, procesy lub pliki. Każda jednostka może wymagać kilku pól, aby je opisać. Na przykład host może mieć nazwę i adres IP. Pojedynczy rekord może zawierać wiele jednostek tego samego typu, takich jak host źródłowy i docelowy. Usługa ASIM definiuje sposób spójnego opisywania jednostek, a jednostki umożliwiają rozszerzanie schematów. Na przykład schemat sesji sieciowej nie zawiera informacji o procesie, niektóre źródła zdarzeń udostępniają informacje o procesie, które można dodać. Aby uzyskać więcej informacji, zobacz Jednostki. |
| Aliasy | Aliasy zezwalają na wiele nazw dla określonej wartości. W niektórych przypadkach różni użytkownicy oczekują, że pole będzie miało różne nazwy. Na przykład w terminologii DNS można oczekiwać pola o nazwie DnsQuery, podczas gdy ogólniej, zawiera nazwę domeny. Domena aliasu pomaga użytkownikowi, zezwalając na używanie obu nazw. W niektórych przypadkach alias może mieć wartość jednego z kilku pól, w zależności od tego, które wartości są dostępne w zdarzeniu. Na przykład alias dvc aliasy albo DvcFQDN, DvcId, DvcHostname lub DvcIpAddr lub Event Product . Gdy alias może mieć kilka wartości, jego typ musi być ciągiem, aby uwzględnić wszystkie możliwe wartości aliasu. W związku z tym podczas przypisywania wartości do takiego aliasu pamiętaj, aby przekonwertować typ na ciąg przy użyciu funkcji KQL tostring. Natywne znormalizowane tabele nie zawierają aliasów, ponieważ oznaczałyby one duplikowanie magazynu danych. Zamiast tego analizatory wycinków dodają aliasy. Aby zaimplementować aliasy w analizatorach, utwórz kopię oryginalnej wartości przy użyciu extend operatora . |
Typy logiczne
Każde pole schematu ma typ. Niektóre z nich mają wbudowane typy usługi Log Analytics, takie jak string, int, datetimelub dynamic. Inne pola mają typ logiczny, który reprezentuje sposób normalizacji wartości pól.
| Typ danych | Typ fizyczny | Formatowanie i wartość |
|---|---|---|
| Logiczny | Bool | Użyj wbudowanego typu danych KQL bool , a nie liczbowej lub ciągowej reprezentacji wartości logicznych. |
| Wyliczane | Ciąg | Lista wartości zdefiniowanych jawnie dla pola. Definicja schematu zawiera listę akceptowanych wartości. |
| Data/godzina | W zależności od możliwości metody pozyskiwania użyj dowolnej z następujących reprezentacji fizycznych w priorytetzie malejącym: - Wbudowany typ daty/godziny usługi Log Analytics — Pole liczby całkowitej używające reprezentacji liczbowej daty/godziny usługi Log Analytics. - Pole ciągu używające reprezentacji liczbowej daty/godziny usługi Log Analytics — Pole ciągu przechowujące obsługiwany format daty/godziny usługi Log Analytics. |
Reprezentacja daty i godziny usługi Log Analytics jest podobna, ale różni się od reprezentacji czasu systemu Unix. Aby uzyskać więcej informacji, zobacz wytyczne dotyczące konwersji. Uwaga: Jeśli ma to zastosowanie, czas powinien być dostosowany do strefy czasowej. |
| Adres MAC | Ciąg | Notacja dwukropkowa szesnastkowa. |
| Adres IP | Ciąg | Schematy usługi Microsoft Sentinel nie mają oddzielnych adresów IPv4 i IPv6. Dowolne pole adresu IP może zawierać adres IPv4 lub adres IPv6 w następujący sposób: - Protokół IPv4 w notacji kropkowej dziesiętnej. - Protokół IPv6 w notacji 8-hextets, co pozwala na krótką formę. Przykład: - Protokół IPv4: 192.168.10.10 - Protokół IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Krótka forma protokołu IPv6: 1080::8:800:200C:417A |
| FQDN | Ciąg | W pełni kwalifikowana nazwa domeny używająca notacji kropkowej, na przykład learn.microsoft.com. Aby uzyskać więcej informacji, zobacz Jednostka Urządzenie. |
| Nazwa hosta | Ciąg | Nazwa hosta, która nie jest nazwą FQDN, zawiera maksymalnie 63 znaki, w tym litery, cyfry i łączniki. Aby uzyskać więcej informacji, zobacz Jednostka Urządzenie. |
| Domaintype | Enumerated | Typ domeny przechowywanej w polach domeny i nazwy FQDN. Aby uzyskać listę wartości i więcej informacji, zobacz Jednostka Urządzenie. |
| DvcIdType | Enumerated | Typ identyfikatora urządzenia przechowywanego w polach DvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType. |
| Devicetype | Enumerated | Typ urządzenia przechowywanego w polach DeviceType. Możliwe wartości to: - Computer- Mobile Device- IOT Device- Other. Aby uzyskać więcej informacji, zobacz Jednostka Urządzenie. |
| Nazwa użytkownika | Ciąg | Prawidłowa nazwa użytkownika w jednym z obsługiwanych typów. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. |
| Typ nazwy użytkownika | Enumerated | Typ nazwy użytkownika przechowywany w polach nazwy użytkownika. Aby uzyskać więcej informacji i listę obsługiwanych wartości, zobacz Jednostka Użytkownik. |
| UserIdType | Enumerated | Typ identyfikatora przechowywanego w polach identyfikatora użytkownika. Obsługiwane wartości to SID, , UIS, OktaIdAADID, , AWSIdi PUID. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. |
| Usertype | Enumerated | Typ użytkownika. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz Jednostka Użytkownik. |
| Typ aplikacji | Enumerated | Typ aplikacji. Obsługiwane wartości to: Process, Service, ResourceURL, SaaS application, CSPi Other. |
| Kraj | Ciąg | Ciąg z normą ISO 3166-1 zgodnie z następującym priorytetem: - Kody alfa-2, takie jak US dla Stany Zjednoczone. - Kody alfa-3, takie jak USA dla Stany Zjednoczone. - Krótka nazwa. Listę kodów można znaleźć w witrynie internetowej Międzynarodowej Organizacji Standardów (ISO). |
| Region | Ciąg | Nazwa poddziału kraju przy użyciu iso 3166-2. Listę kodów można znaleźć w witrynie internetowej Międzynarodowej Organizacji Standardów (ISO). |
| Miasto | Ciąg | |
| Długość geograficzna | Liczba rzeczywista | Reprezentacja współrzędnych ISO 6709 (podpisana liczba dziesiętna). |
| Szerokość geograficzna | Liczba rzeczywista | Reprezentacja współrzędnych ISO 6709 (podpisana liczba dziesiętna). |
| MD5 | Ciąg | 32-szesnastkowy znak. |
| SHA1 | Ciąg | 40-szesnastkowy znak. |
| SHA256 | Ciąg | 64-szesnastkowy znak. |
| SHA512 | Ciąg | 128-szesnastkowy znak. |
Jednostki
Zdarzenia ewoluują wokół jednostek, takich jak użytkownicy, hosty, procesy lub pliki. Reprezentacja jednostki pozwala kilku jednostkom tego samego typu być częścią jednego rekordu i obsługuje wiele atrybutów dla tych samych jednostek.
Aby włączyć funkcje jednostki, reprezentacja jednostki ma następujące wytyczne:
| Wytyczna | opis |
|---|---|
| Deskryptory i aliasy | Ponieważ pojedyncze zdarzenie często zawiera więcej niż jedną jednostkę tego samego typu, taką jak hosty źródłowe i docelowe, deskryptory są używane jako prefiks do identyfikowania wszystkich pól skojarzonych z określoną jednostką. Aby zachować normalizację, usługa ASIM używa małego zestawu deskryptorów standardowych, wybierając najbardziej odpowiednie elementy dla określonej roli jednostek. Jeśli pojedyncza jednostka typu jest odpowiednia dla zdarzenia, nie ma potrzeby używania deskryptora. Ponadto zestaw pól bez aliasów deskryptora najczęściej używanych jednostek dla każdego typu. |
| Identyfikatory i typy | Znormalizowany schemat umożliwia utworzenie kilku identyfikatorów dla każdej jednostki, której oczekujemy współistnienia w zdarzeniach. Jeśli zdarzenie źródłowe ma inne identyfikatory jednostek, których nie można zamapować na znormalizowany schemat, zachowaj je w formularzu źródłowym lub użyj pola dynamicznego AdditionalFields . Aby zachować informacje o typie identyfikatorów, zapisz typ, jeśli ma to zastosowanie, w polu o tej samej nazwie i sufiksie Type. Na przykład UserIdType. |
| Atrybuty | Jednostki często mają inne atrybuty, które nie służą jako identyfikator i mogą być również kwalifikowane za pomocą deskryptora. Jeśli na przykład użytkownik źródłowy ma informacje o domenie, znormalizowane pole to SrcUserDomain. |
Każdy schemat jawnie definiuje centralne jednostki i pola jednostek. Poniższe wytyczne umożliwiają zrozumienie centralnych pól schematu oraz sposób rozszerzania schematów w znormalizowany sposób przy użyciu innych jednostek lub pól jednostek, które nie są jawnie zdefiniowane w schemacie.
Jednostka User
Użytkownicy są centralni do działań zgłaszanych przez zdarzenia. Pola wymienione w tej sekcji służą do opisywania użytkowników zaangażowanych w akcję. Prefiksy służą do wyznaczania roli użytkownika w działaniu. Prefiksy Src i Dst służą do wyznaczania roli użytkownika w zdarzeniach związanych z siecią, w których system źródłowy i system docelowy komunikują się. Prefiksy "Aktor" i "Target" są używane dla zdarzeń zorientowanych na system, takich jak zdarzenia procesu.
Identyfikator użytkownika i zakres
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| UserId | Opcjonalnie | Ciąg | Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika. |
| UserScope | Opcjonalnie | string | Zakres, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika . Na przykład nazwa domeny dzierżawy entra firmy Microsoft. Pole UserIdType reprezentuje również typ skojarzonego z tym polem. |
| UserScopeId | Opcjonalnie | string | Identyfikator zakresu, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika . Na przykład identyfikator katalogu dzierżawy entra firmy Microsoft. Pole UserIdType reprezentuje również typ skojarzonego z tym polem. |
| UserIdType | Opcjonalnie | UserIdType | Typ identyfikatora przechowywanego w polu UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Opcjonalnie | Ciąg | Pola używane do przechowywania określonych identyfikatorów użytkowników. Wybierz identyfikator najbardziej skojarzony ze zdarzeniem jako identyfikator podstawowy przechowywany w identyfikatorze UserId. Wypełnij odpowiednie pole określonego identyfikatora, oprócz identyfikatora UserId, nawet jeśli zdarzenie ma tylko jeden identyfikator. |
| UserAADTenant, UserAWSAccount | Opcjonalnie | Ciąg | Pola używane do przechowywania określonych zakresów. Użyj pola UserScope dla zakresu skojarzonego z identyfikatorem przechowywanym w polu UserId. Wypełnij odpowiednie pole określonego zakresu, oprócz UserScope, nawet jeśli zdarzenie ma tylko jeden identyfikator. |
Dozwolone wartości dla typu identyfikatora użytkownika to:
| Type | Opis | Przykład |
|---|---|---|
| SID | Identyfikator użytkownika systemu Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Identyfikator użytkownika systemu Linux. | 4578 |
| AADID | Identyfikator użytkownika entra firmy Microsoft. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
| OktaId | Identyfikator użytkownika usługi Okta. | 00urjk4znu3BcncfY0h7 |
| Identyfikator AWSId | Identyfikator użytkownika platformy AWS. | 72643944673 |
| IDENTYFIKATOR PUID | Identyfikator użytkownika platformy Microsoft 365. | 10032001582F435C |
| SalesforceId | Identyfikator użytkownika usługi Salesforce. | 00530000009M943 |
Nazwa użytkownika
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Nazwa użytkownika | Opcjonalnie | Ciąg | Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu UsernameType . |
| Typ nazwy użytkownika | Opcjonalnie | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu Nazwa użytkownika . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Opcjonalnie | Ciąg | Pola używane do przechowywania dodatkowych nazw użytkowników, jeśli oryginalne zdarzenie zawiera wiele nazw użytkowników. Wybierz nazwę użytkownika najbardziej skojarzona ze zdarzeniem jako podstawową nazwę użytkownika przechowywaną w polu Nazwa użytkownika. |
Dozwolone wartości typu nazwy użytkownika to:
| Type | Opis | Przykład |
|---|---|---|
| UPN | Wyznaczanie nazwy UPN lub adresu e-mail nazwy użytkownika. | johndow@contoso.com |
| Windows | Nazwa użytkownika systemu Windows obejmująca domenę. | Contoso\johndow |
| DN | Projektant nazw wyróżniających LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Prosty | Prosta nazwa użytkownika bez projektowania domeny. | johndow |
| Identyfikator AWSId | Identyfikator użytkownika platformy AWS. | 72643944673 |
Dodatkowe pola użytkownika
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Usertype | Opcjonalnie | UserType | Typ użytkownika źródłowego. Obsługiwane wartości to: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu OriginalUserType . |
| OriginalUserType | Opcjonalnie | Ciąg | Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania. |
Jednostka urządzenia
Urządzenia lub hosty są typowymi terminami używanymi dla systemów, które biorą udział w zdarzeniu. Prefiks Dvc służy do wyznaczania urządzenia podstawowego, na którym występuje zdarzenie. Niektóre zdarzenia, takie jak sesje sieciowe, mają urządzenia źródłowe i docelowe wyznaczone przez prefiks Src i Dst. W takim przypadku Dvc prefiks jest używany do raportowania zdarzenia przez urządzenie, które może być źródłem, miejscem docelowym lub urządzeniem monitora.
Aliasy urządzenia
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Dvc, Src, Dst | Obowiązkowy | Ciąg | Pola Dvc, "Src" lub "Dst" są używane jako unikatowy identyfikator urządzenia. Jest ona ustawiona na najlepszą dostępną zidentyfikowaną dla urządzenia. Te pola mogą aliasować pola FQDN, DvcId, Hostname lub IpAddr . W przypadku źródeł w chmurze, dla których nie ma widocznego urządzenia, użyj tej samej wartości co pole Produkt zdarzenia. |
Nazwa urządzenia
Zgłoszone nazwy urządzeń mogą zawierać tylko nazwę hosta lub w pełni kwalifikowaną nazwę domeny (FQDN), która zawiera nazwę hosta i nazwę domeny. Nazwa FQDN może być wyrażona przy użyciu kilku formatów. Poniższe pola umożliwiają obsługę różnych wariantów, w których można podać nazwę urządzenia.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Nazwa hosta | Zalecane | Hostname (Nazwa hosta) | Krótka nazwa hosta urządzenia. |
| Domeny | Zalecane | Ciąg | Domena urządzenia, na którym wystąpiło zdarzenie, bez nazwy hosta. |
| Domaintype | Zalecane | Enumerated | Typ domeny. Obsługiwane wartości to FQDN i Windows. To pole jest wymagane, jeśli jest używane pole Domena. |
| FQDN | Opcjonalnie | Ciąg | Nazwa FQDN urządzenia, w tym nazwa hosta i domena . To pole obsługuje zarówno tradycyjny format FQDN, jak i format domain\hostname systemu Windows. Pole DomainType odzwierciedla używany format. |
Przykład:
| Pole | Wartość dla danych wejściowych appserver.contoso.com |
wartość dla danych wejściowych appserver |
|---|---|---|
| Nazwa hosta | appserver |
appserver |
| Domeny | contoso.con |
<empty> |
| Domaintype | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
Jeśli wartość podana przez źródło jest nazwą FQDN lub gdy wartość może być nazwą FQDN lub krótką nazwą hosta, analizator powinien obliczyć 4 wartości. Użyj funkcji _ASIM_ResolveFQDNpomocnika ASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNi _ASIM_ResolveDvcFQDN , aby łatwo ustawić wszystkie cztery pola na podstawie pojedynczej wartości wejściowej. Aby uzyskać więcej informacji, zobacz Funkcje pomocnika ASIM.
Identyfikator urządzenia i zakres
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| DvcId | Opcjonalnie | Ciąg | Unikatowy identyfikator urządzenia . Na przykład: 41502da5-21b7-48ec-81c9-baeea8d7d669. |
| Idzakresu | Opcjonalnie | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. Zakres mapuje na identyfikator subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
| Scope | Opcjonalnie | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. Zakres mapuje na subskrypcję na platformie Azure i na konto na platformie AWS. |
| DvcIdType | Opcjonalnie | Enumerated | Typ DvcId. Zazwyczaj to pole będzie również identyfikować typ zakresu i identyfikator zakresu. To pole jest wymagane, jeśli jest używane pole DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVM Połączenie ionId, DvcVectraId, DvcAwsVpcId | Opcjonalnie | Ciąg | Pola używane do przechowywania dodatkowych identyfikatorów urządzeń, jeśli oryginalne zdarzenie zawiera wiele identyfikatorów urządzeń. Wybierz identyfikator urządzenia najbardziej skojarzony ze zdarzeniem jako identyfikator podstawowy przechowywany w identyfikatorze DvcId. |
Należy pamiętać, że pola o nazwie powinny poprzedzać prefiks roli, taki jak Src lub Dst, ale nie powinny poprzedzać drugiego Dvc prefiksu, jeśli jest używany w tej roli.
Dozwolone wartości dla typu identyfikatora urządzenia to:
| Type | Opis |
|---|---|
| Identyfikator MDEid | Identyfikator systemu przypisany przez Ochrona punktu końcowego w usłudze Microsoft Defender. |
| AzureResourceId | Identyfikator zasobu platformy Azure. |
| MD4IoTid | Identyfikator zasobu usługi Microsoft Defender dla IoT. |
| VM Połączenie ionId | Identyfikator zasobu rozwiązania Szczegółowe informacje maszyny wirtualnej usługi Azure Monitor. |
| AwsVpcId | Identyfikator VPC platformy AWS. |
| VectraId | Identyfikator zasobu przypisanego przez Vectra AI. |
| Inne | Typ identyfikatora, który nie został wymieniony powyżej. |
Na przykład rozwiązanie Szczegółowe informacje maszyny wirtualnej usługi Azure Monitor udostępnia informacje o sesjach sieciowych w pliku VMConnection. Tabela zawiera identyfikator zasobu platformy Azure w _ResourceId polu i szczegółowe informacje o maszynie wirtualnej określonego identyfikatora Machine urządzenia w polu. Użyj następującego mapowania, aby reprezentować te identyfikatory:
| Pole | Mapuj na |
|---|---|
| DvcId | Pole Machine w VMConnection tabeli. |
| DvcIdType | Wartość VMConnectionId |
| DvcAzureResourceId | Pole _ResourceId w VMConnection tabeli. |
Dodatkowe pola urządzenia
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| IpAddr | Zalecane | Adres IP | Adres IP urządzenia. Przykład: 45.21.42.12 |
| DvcDescription | Opcjonalnie | Ciąg | Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller. |
| MacAddr | Opcjonalnie | MAC | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 00:1B:44:11:3A:B7 |
| Strefa | Opcjonalnie | Ciąg | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Strefa jest definiowana przez urządzenie raportowania. Przykład: Dmz |
| DvcOs | Opcjonalnie | Ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: Windows |
| DvcOsVersion | Opcjonalnie | Ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 10 |
| DvcAction | Opcjonalnie | Ciąg | W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system, jeśli ma to zastosowanie. Przykład: Blocked |
| DvcOriginalAction | Opcjonalnie | Ciąg | Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
| Interfejs | Opcjonalnie | Ciąg | Interfejs sieciowy, na którym zostały przechwycone dane. To pole jest zwykle istotne dla działania związanego z siecią, które jest przechwytywane przez urządzenie pośrednie lub naciśnij. |
Należy pamiętać, że pola o nazwie na liście z prefiksem Dvc powinny poprzedzać prefiks roli, taki jak Src lub Dst, ale nie powinny poprzedzać drugiego Dvc prefiksu, jeśli jest używany w tej roli.
Przykładowe mapowanie jednostek
W tej sekcji użyto zdarzenia systemu Windows 4624 jako przykładu, aby opisać, jak dane zdarzenia są znormalizowane dla usługi Microsoft Sentinel.
To zdarzenie ma następujące jednostki:
| Terminologia firmy Microsoft | Oryginalny prefiks pola zdarzenia | Prefiks pola ASIM | opis |
|---|---|---|---|
| Temat | Subject |
Actor |
Użytkownik, który zgłosił informacje o pomyślnym zalogowaniu. |
| Nowe logowanie | Target |
TargetUser |
Użytkownik, dla którego wykonano logowanie. |
| Proces | - | ActingProcess |
Proces, który próbował się zalogować. |
| Informacje o sieci | - | Src |
Maszyna, z której wykonano próbę logowania. |
Na podstawie tych jednostek zdarzenie systemu Windows 4624 jest znormalizowane w następujący sposób (niektóre pola są opcjonalne):
| Znormalizowane pole | Oryginalne pole | Wartość w przykładzie | Uwagi |
|---|---|---|---|
| AktorUserId | SubjectUserSid | S-1-5-18 | |
| AktorUserIdType | - | SID | |
| AktorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Skompilowane przez łączenie dwóch pól |
| AktorUserNameType | - | Windows | |
| ActorsSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administracja istrator\WIN-GG82ULGC9GO$ | Skompilowane przez łączenie dwóch pól |
| Nazwa użytkownika | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | Identyfikator dziennika docelowego | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | Nazwa stacji roboczej | Windows | |
| SrcIpAddr | Ipaddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Komputer | Win-GG82ULGC9GO | |
| Nazwa hosta | Komputer | Alias |
Następne kroki
Ten artykuł zawiera omówienie normalizacji w usługach Microsoft Sentinel i ASIM.
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)