Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Niektóre pola są wspólne dla wszystkich schematów ASIM. Każdy schemat może dodać wytyczne dotyczące używania niektórych typowych pól w kontekście określonego schematu. Na przykład dozwolone wartości pola EventType mogą się różnić w zależności od schematu, podobnie jak wartość pola EventSchemaVersion .
Pola usługi Log Analytics w warstwie Standardowa
Usługa Log Analytics generuje następujące pola w większości przypadków dla każdego rekordu. Można je zastąpić podczas tworzenia łącznika niestandardowego.
| Pole | Wpisać | Dyskusji |
|---|---|---|
| TimeGenerated | Data/godzina | Czas wygenerowania zdarzenia przez urządzenie raportowania. |
| Type | Ciąg | Oryginalna tabela, z której pobrano rekord. To pole jest przydatne, gdy to samo zdarzenie może być odbierane za pośrednictwem wielu kanałów do różnych tabel i ma te same wartości EventVendor i EventProduct . Na przykład zdarzenie Sysmon można zebrać do Event tabeli lub do WindowsEvent tabeli. |
Uwaga
Usługa Log Analytics dodaje również inne pola, które są mniej istotne dla przypadków użycia zabezpieczeń. Aby uzyskać więcej informacji, zobacz Kolumny standardowe w Azure Monitoruj dzienniki.
Typowe pola usługi ASIM
Następujące pola są definiowane przez usługę ASIM dla wszystkich schematów:
Pola zdarzeń
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| EventMessage | Opcjonalny | Ciąg | Ogólny komunikat lub opis, dołączony do rekordu lub wygenerowany na podstawie rekordu. |
| EventCount | Obowiązkowe | Liczba całkowita | Liczba zdarzeń opisanych przez rekord. Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. W przypadku innych źródeł ustaw wartość 1. |
| EventStartTime | Obowiązkowe | Data/godzina | Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie jest on dostarczany przez rekord źródłowy, to pole aliasuje pole TimeGenerated . |
| EventEndTime | Obowiązkowe | Data/godzina | Czas zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie jest on dostarczany przez rekord źródłowy, to pole aliasuje pole TimeGenerated . |
| Eventtype | Obowiązkowe | Wyliczane | Opisuje operację zgłoszoną przez rekord. Każdy schemat dokumentuje listę wartości prawidłowych dla tego pola. Oryginalna wartość specyficzna dla źródła jest przechowywana w polu EventOriginalType . |
| EventSubType | Opcjonalny | Wyliczane | Opis podpodziału operacji zgłoszonej w polu EventType . Każdy schemat dokumentuje listę wartości prawidłowych dla tego pola. Oryginalna wartość specyficzna dla źródła jest przechowywana w polu EventOriginalSubType . |
| EventResult | Obowiązkowe | Wyliczane | Jedna z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Alternatywnie źródło może udostępnić tylko pole EventResultDetails , które powinno zostać przeanalizowane w celu uzyskania wartości EventResult. Przykład: Success |
| EventResultDetails | Zalecane | Wyliczane | Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult . Każdy schemat dokumentuje listę wartości prawidłowych dla tego pola. Oryginalna wartość specyficzna dla źródła jest przechowywana w polu EventOriginalResultDetails . Przykład: NXDOMAIN |
| EventUid | Zalecane | Ciąg | Unikatowy identyfikator rekordu przypisany przez Microsoft Sentinel. To pole jest zwykle mapowane na _ItemId pole usługi Log Analytics. |
| EventOriginalUid | Opcjonalny | Ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło. Przykład: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Opcjonalny | Ciąg | Oryginalny typ lub identyfikator zdarzenia, jeśli jest podany przez źródło. Na przykład to pole jest używane do przechowywania oryginalnego identyfikatora zdarzenia systemu Windows. Ta wartość jest używana do generowania elementu EventType, który powinien zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. Przykład: 4624 |
| EventOriginalSubType | Opcjonalny | Ciąg | Oryginalny podtyp zdarzenia lub identyfikator, jeśli jest podany przez źródło. Na przykład to pole służy do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość jest używana do generowania elementu EventSubType, który powinien zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. Przykład: 2 |
| EventOriginalResultDetails | Opcjonalny | Ciąg | Oryginalne szczegóły wyniku podane przez źródło. Ta wartość służy do generowania elementów EventResultDetails, które powinny zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
| EventSeverity | Zalecane | Wyliczane | Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Mediumlub High. |
| EventOriginalSeverity | Opcjonalny | Ciąg | Oryginalna ważność podana przez urządzenie raportowania. Ta wartość jest używana do generowania wartości EventSeverity. |
| EventProduct | Obowiązkowe | Ciąg | Produkt generujący zdarzenie. Wartość powinna być jedną z wartości wymienionych w artykule Dostawcy i produkty. Przykład: Sysmon |
| EventProductVersion | Opcjonalny | Ciąg | Wersja produktu generującego zdarzenie. Przykład: 12.1 |
| EventVendor | Obowiązkowe | Ciąg | Dostawca produktu generującego zdarzenie. Wartość powinna być jedną z wartości wymienionych w artykule Dostawcy i produkty. Przykład: Microsoft |
| EventSchema | Obowiązkowe | Wyliczane | Schemat zdarzenia jest znormalizowany. Każdy schemat dokumentuje swoją nazwę schematu. |
| EventSchemaVersion | Obowiązkowe | SchemaVersion (ciąg) | Wersja schematu. Każdy schemat dokumentuje bieżącą wersję. |
| EventReportUrl | Opcjonalny | Adres URL (ciąg) | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
| EventOwner | Opcjonalny | Ciąg | Właściciel zdarzenia, czyli zwykle działu lub jednostki zależnej, w którym zostało ono wygenerowane. |
Pola urządzenia
Rola pól urządzenia różni się w przypadku różnych schematów i typów zdarzeń. Przykład:
- W przypadku zdarzeń sesji sieciowej pola urządzenia zwykle zawierają informacje o urządzeniu, które wygenerowało zdarzenie
- W przypadku zdarzeń procesu pola urządzenia zawierają informacje na urządzeniu o tym, że proces jest wykonywany.
Każdy dokument schematu określa rolę urządzenia dla schematu.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Dvc | Alias | Ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. To pole może zawierać aliasy pól DvcFQDN, DvcId, DvcHostname lub DvcIpAddr . W przypadku źródeł w chmurze, dla których nie ma widocznego urządzenia, użyj tej samej wartości co pole Produkt zdarzenia . |
| DvcIpAddr | Zalecane | Adres IP | Adres IP urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: 45.21.42.12 |
| DvcHostname | Zalecane | Nazwa hosta | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: ContosoDc |
| DvcDomain | Zalecane | Domena (ciąg) | Domena urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: Contoso |
| DvcDomainType | Warunkowe | Wyliczane | Typ DvcDomain. Aby uzyskać listę dozwolonych wartości i więcej informacji, zapoznaj się z tematem DomainType. Uwaga: to pole jest wymagane, jeśli jest używane pole DvcDomain . |
| DvcFQDN | Opcjonalny | FQDN (ciąg) | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: Contoso\DESKTOP-1282V4DUwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. Pole DvcDomainType odzwierciedla używany format. |
| DvcDescription | Opcjonalny | Ciąg | Opisowy tekst skojarzony z urządzeniem. Przykład: Primary Domain Controller. |
| DvcId | Opcjonalny | Ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Przykład: 41502da5-21b7-48ec-81c9-baeea8d7d669Jeśli dostępnych jest wiele identyfikatorów, użyj pierwszego z listy i zapisz inne przy użyciu nazw pól DvcAzureResourceId, DvcMDEid itp. |
| DvcIdType | Warunkowe | Wyliczane | Typ DvcId. Lista dozwolonych wartości to AzureResourceId, MDEid, MD4IoTid, VMConnectionId, AwsVpcId, VectraId, AppGateId, FQDN, i Other. Użycie FQDN jako identyfikatora urządzenia oznacza ponowne użycie nazwy hosta. Użyj go tylko w ostateczności.Uwaga: to pole jest wymagane, jeśli jest używane pole DvcId . |
| DvcMacAddr | Opcjonalny | Adres MAC | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 00:1B:44:11:3A:B7 |
| DvcZone | Opcjonalny | Ciąg | Sieć, w której wystąpiło zdarzenie lub która zgłosiła zdarzenie, w zależności od schematu. Strefa jest definiowana przez urządzenie raportowania. Przykład: Dmz |
| DvcOs | Opcjonalny | Ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: Windows |
| DvcOsVersion | Opcjonalny | Ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub która zgłosiła zdarzenie. Przykład: 10 |
| DvcAction | Opcjonalny | Ciąg | W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system, jeśli ma zastosowanie. Przykład: Blocked |
| DvcOriginalAction | Opcjonalny | Ciąg | Oryginalna dvcAction dostarczona przez urządzenie raportowania. |
| DvcInterface | Opcjonalny | Ciąg | Interfejs sieciowy, na którym przechwycono dane. To pole jest zwykle istotne dla działania związanego z siecią, które jest przechwytywane przez urządzenie pośrednie lub naciśnij. |
| DvcScopeId | Opcjonalny | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| DvcScope | Opcjonalny | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
Inne pola
Aktualizacje schematu
- Pole
EventOwnerzostało dodane do typowych pól 1 grudnia 2022 r., a zatem do wszystkich schematów. - Pole
EventUidzostało dodane do typowych pól 26 grudnia 2022 r., a zatem do wszystkich schematów.
Dostawcy i produkty
Aby zachować spójność, lista dozwolonych dostawców i produktów jest ustawiana jako część karty ASIM i może nie odpowiadać bezpośrednio wartości wysyłanej przez źródło, jeśli jest dostępna.
Obecnie obsługiwana lista dostawców i produktów używanych odpowiednio w polach EventVendor i EventProduct to:
| Dostawcy | Produkty |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Jeśli tworzysz analizator dla dostawcy lub produktu, który nie jest wymieniony tutaj, skontaktuj się z zespołem Microsoft Sentinel, aby przydzielić nowych dozwolonych dostawców i desygnatorów produktów.
Następne kroki
Więcej informacji można znaleźć w następujących artykułach:
- Obejrzyj seminarium internetowe usługi ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)