Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Alguns campos são comuns a todos os esquemas ASIM. Cada esquema pode adicionar diretrizes para utilizar alguns dos campos comuns no contexto do esquema específico. Por exemplo, os valores permitidos para o campo EventType podem variar por esquema, tal como o valor do campo EventSchemaVersion .
Standard campos do Log Analytics
O Log Analytics gera os seguintes campos, na maioria dos casos, para cada registo. Podem ser substituídas quando cria um conector personalizado.
| Campo | Tipo | Discussão |
|---|---|---|
| TimeGenerated | Data/Hora | A hora em que o evento foi gerado pelo dispositivo de relatório. |
| Tipo | Cadeia de caracteres | A tabela original a partir da qual o registo foi obtido. Este campo é útil quando o mesmo evento pode ser recebido através de vários canais para tabelas diferentes e tem os mesmos valores EventVendor e EventProduct . Por exemplo, um evento Sysmon pode ser recolhido para a Event tabela ou para a WindowsEvent tabela. |
Observação
O Log Analytics também adiciona outros campos menos relevantes para casos de utilização de segurança. Para obter mais informações, veja Standard colunas nos Registos do Azure Monitor.
Campos ASIM comuns
Os seguintes campos são definidos pelo ASIM para todos os esquemas:
Campos de eventos
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventMessage | Opcional | Cadeia de caracteres | Uma mensagem ou descrição geral, incluída ou gerada a partir do registo. |
| EventCount | Obrigatório | Número inteiro | O número de eventos descritos pelo registo. Este valor é utilizado quando a origem suporta a agregação e um único registo pode representar vários eventos. Para outras origens, defina como 1. |
| EventStartTime | Obrigatório | Data/hora | A hora em que o evento começou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registo de origem, este campo aliases o campo TimeGenerated . |
| EventEndTime | Obrigatório | Data/hora | A hora em que o evento terminou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registo de origem, este campo aliases o campo TimeGenerated . |
| EventType | Obrigatório | Enumerado | Descreve a operação comunicada pelo registo. Cada esquema documenta a lista de valores válidos para este campo. O valor original, específico da origem, é armazenado no campo EventOriginalType . |
| EventSubType | Opcional | Enumerado | Descreve uma subdivisão da operação reportada no campo EventType . Cada esquema documenta a lista de valores válidos para este campo. O valor original, específico da origem, é armazenado no campo EventOriginalSubType . |
| EventResult | Obrigatório | Enumerado | Um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados com estes valores. Em alternativa, a origem pode fornecer apenas o campo EventResultDetails , que deve ser analisado para derivar o valor EventResult. Exemplo: Success |
| EventResultDetails | Recomendado | Enumerado | Motivo ou detalhes do resultado comunicado no campo EventResult . Cada esquema documenta a lista de valores válidos para este campo. O valor original, específico da origem, é armazenado no campo EventOriginalResultDetails . Exemplo: NXDOMAIN |
| EventUid | Recomendado | Cadeia de caracteres | O ID exclusivo do registo, atribuído por Microsoft Sentinel. Normalmente, este campo é mapeado para o campo Do _ItemId Log Analytics. |
| EventOriginalUid | Opcional | Cadeia de caracteres | Um ID exclusivo do registo original, se for fornecido pela origem. Exemplo: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Opcional | Cadeia de caracteres | O tipo ou ID de evento original, se for fornecido pela origem. Por exemplo, este campo é utilizado para armazenar o ID de evento original do Windows. Este valor é utilizado para derivar EventType, que deve ter apenas um dos valores documentados para cada esquema. Exemplo: 4624 |
| EventOriginalSubType | Opcional | Cadeia de caracteres | O subtipo ou ID do evento original, se for fornecido pela origem. Por exemplo, este campo é utilizado para armazenar o tipo de início de sessão original do Windows. Este valor é utilizado para derivar EventSubType, que deve ter apenas um dos valores documentados para cada esquema. Exemplo: 2 |
| EventOriginalResultDetails | Opcional | Cadeia de caracteres | Os detalhes do resultado original fornecidos pela origem. Este valor é utilizado para derivar EventResultDetails, que deve ter apenas um dos valores documentados para cada esquema. |
| EventoSeverity | Recomendado | Enumerado | A gravidade do evento. Os valores válidos são: Informational, Low, Mediumou High. |
| EventOriginalSeverity | Opcional | Cadeia de caracteres | A gravidade original, conforme fornecido pelo dispositivo de relatório. Este valor é utilizado para derivar EventSeverity. |
| EventProduct | Obrigatório | Cadeia de caracteres | O produto que está a gerar o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. Exemplo: Sysmon |
| EventProductVersion | Opcional | Cadeia de caracteres | A versão do produto que gera o evento. Exemplo: 12.1 |
| EventVendor | Obrigatório | Cadeia de caracteres | O fornecedor do produto que está a gerar o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. Exemplo: Microsoft |
| EventSchema | Obrigatório | Enumerado | O esquema para o que o evento está normalizado. Cada esquema documenta o nome do esquema. |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema. Cada esquema documenta a versão atual. |
| EventReportUrl | Opcional | URL (Cadeia) | Um URL fornecido no evento para um recurso que fornece mais informações sobre o evento. |
| EventOwner | Opcional | Cadeia de caracteres | O proprietário do evento, que é normalmente o departamento ou subsidiária em que foi gerado. |
Campos do dispositivo
A função dos campos do dispositivo é diferente para diferentes esquemas e tipos de eventos. Por exemplo:
- Para os eventos de Sessão de Rede, os campos do dispositivo geralmente fornecem informações sobre o dispositivo que gerou o evento
- Para os Eventos de processo, os campos do dispositivo fornecem informações sobre o dispositivo no qual o processo é executado.
Cada documento de esquema especifica a função do dispositivo para o esquema.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dvc | Alias | Cadeia de caracteres | Um identificador exclusivo do dispositivo no qual ocorreu o evento ou que comunicou o evento, dependendo do esquema. Este campo pode alias os campos DvcFQDN, DvcId, DvcHostname ou DvcIpAddr . Para origens da cloud, para as quais não existe nenhum dispositivo aparente, utilize o mesmo valor que o campo Produto de Evento . |
| DvcIpAddr | Recomendado | Endereço IP | O endereço IP do dispositivo no qual ocorreu o evento ou que reportou o evento, dependendo do esquema. Exemplo: 45.21.42.12 |
| DvcHostname | Recomendado | Nome do host | O nome do anfitrião do dispositivo no qual o evento ocorreu ou que reportou o evento, dependendo do esquema. Exemplo: ContosoDc |
| DvcDomain | Recomendado | Domínio (Cadeia) | O domínio do dispositivo no qual o evento ocorreu ou que reportou o evento, dependendo do esquema. Exemplo: Contoso |
| DvcDomainType | Condicional | Enumerado | O tipo de DvcDomain. Para obter uma lista de valores permitidos e mais informações, veja DomainType. Nota: este campo é necessário se o campo DvcDomain for utilizado. |
| DvcFQDN | Opcional | FQDN (Cadeia) | O nome do anfitrião do dispositivo no qual o evento ocorreu ou que reportou o evento, dependendo do esquema. Exemplo: Contoso\DESKTOP-1282V4DNota: este campo suporta o formato FQDN tradicional e o formato de domínio/nome do anfitrião do Windows. O campo DvcDomainType reflete o formato utilizado. |
| DvcDescription | Opcional | Cadeia de caracteres | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| DvcId | Opcional | Cadeia de caracteres | O ID exclusivo do dispositivo no qual ocorreu o evento ou que reportou o evento, dependendo do esquema. Exemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669Se estiverem disponíveis vários IDs, utilize o primeiro da lista e armazene os outros com os nomes de campo DvcAzureResourceId, DvcMDEid, etc. |
| DvcIdType | Condicional | Enumerado | O tipo de DvcId. A lista de valores permitidos é AzureResourceId, MDEid, MD4IoTid, VMConnectionId, AwsVpcId, VectraId, AppGateId, FQDNe Other. Utilizar FQDN como ID de dispositivo implica reutilizar o nome do anfitrião. Utilize-o apenas como último recurso.Nota: este campo é necessário se o campo DvcId for utilizado. |
| DvcMacAddr | Opcional | Endereço MAC | O endereço MAC do dispositivo no qual ocorreu o evento ou que comunicou o evento. Exemplo: 00:1B:44:11:3A:B7 |
| DvcZone | Opcional | Cadeia de caracteres | A rede na qual o evento ocorreu ou que reportou o evento, dependendo do esquema. A zona é definida pelo dispositivo de relatório. Exemplo: Dmz |
| DvcOs | Opcional | Cadeia de caracteres | O sistema operativo em execução no dispositivo no qual ocorreu o evento ou que reportou o evento. Exemplo: Windows |
| DvcOsVersion | Opcional | Cadeia de caracteres | A versão do sistema operativo no dispositivo em que ocorreu o evento ou que reportou o evento. Exemplo: 10 |
| DvcAction | Opcional | Cadeia de caracteres | Para os sistemas de segurança de relatórios, a ação tomada pelo sistema, se aplicável. Exemplo: Blocked |
| DvcOriginalAction | Opcional | Cadeia de caracteres | O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| DvcInterface | Opcional | Cadeia de caracteres | A interface de rede na qual os dados foram capturados. Normalmente, este campo é relevante para a atividade relacionada com a rede, que é capturada por um dispositivo intermédio ou toque. |
| DvcScopeId | Opcional | Cadeia de caracteres | O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. DvcScopeId mapeie para um ID de subscrição no Azure e para um ID de conta no AWS. |
| DvcScope | Opcional | Cadeia de caracteres | O âmbito da plataforma na cloud ao qual o dispositivo pertence. O DvcScope mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
Outros campos
Atualizações de esquema
- O
EventOwnercampo foi adicionado aos campos comuns a 1 de dezembro de 2022 e, portanto, a todos os esquemas. - O
EventUidcampo foi adicionado aos campos comuns a 26 de dezembro de 2022 e, portanto, a todos os esquemas.
Fornecedores e produtos
Para manter a consistência, a lista de fornecedores e produtos permitidos é definida como parte do ASIM e pode não corresponder diretamente ao valor enviado pela origem, quando disponível.
A lista atualmente suportada de fornecedores e produtos utilizados nos campos EventVendor e EventProduct , respetivamente, é:
| Fornecedor | Produtos |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Se estiver a desenvolver um analisador para um fornecedor ou produto não listado aqui, contacte a equipa do Microsoft Sentinel para alocar novos fornecedores e designadores de produtos permitidos.
Próximas etapas
Para saber mais, confira:
- Ver o Webinar do ASIM ou rever os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)