Partilhar via


Referência de campos de esquema comum ASIM (Advanced Security Information Model) (visualização)

Alguns campos são comuns a todos os esquemas ASIM. Cada esquema pode adicionar diretrizes para usar alguns dos campos comuns no contexto do esquema específico. Por exemplo, os valores permitidos para o campo EventType podem variar de acordo com o esquema, assim como o valor do campo EventSchemaVersion.

Campos padrão do Log Analytics

Os campos a seguir são gerados pelo Log Analytics, na maioria dos casos, para cada registro. Eles podem ser substituídos quando você cria um conector personalizado.

Campo Tipo Debate
Gerado por tempo datetime A hora em que o evento foi gerado pelo dispositivo de relatório.
Tipo String A tabela original a partir da qual o registro foi obtido. Este campo é útil quando o mesmo evento pode ser recebido através de vários canais para tabelas diferentes e tem os mesmos valores EventVendor e EventProduct .

Por exemplo, um evento Sysmon pode ser coletado para a tabela ou para a Event WindowsEvent tabela.

Nota

O Log Analytics também adiciona outros campos que são menos relevantes para casos de uso de segurança. Para obter mais informações, consulte Colunas padrão nos Logs do Azure Monitor.

Campos ASIM comuns

Os seguintes campos são definidos pela ASIM para todos os esquemas:

Campos do evento

Campo Classe Tipo Descrição
EventMessage Opcional String Uma mensagem ou descrição geral, incluída ou gerada a partir do registo.
EventCount Obrigatório Integer O número de eventos descritos pelo registro.

Esse valor é usado quando a fonte oferece suporte à agregação e um único registro pode representar vários eventos.

Para outras fontes, defina como 1.
EventStartTime Obrigatório Data/hora A hora em que o evento começou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado .
EventEndTime Obrigatório Data/hora A hora em que o evento terminou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado .
Tipo de Evento Obrigatório Enumerated Descreve a operação relatada pelo registro. Cada esquema documenta a lista de valores válidos para este campo. O valor original, específico da fonte, é armazenado no campo EventOriginalType .
EventSubType Opcional Enumerated Descreve uma subdivisão da operação relatada no campo EventType . Cada esquema documenta a lista de valores válidos para este campo. O valor original, específico da fonte, é armazenado no campo EventOriginalSubType .
EventResult Obrigatório Enumerated Um dos seguintes valores: Sucesso, Parcial, Fracasso, NA (Não aplicável).

O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Como alternativa, a fonte pode fornecer apenas o campo EventResultDetails, que deve ser analisado para derivar o valor EventResult.

Exemplo: Success
EventResultDetails Recomendado Enumerated Motivo ou detalhes do resultado relatado no campo EventResult . Cada esquema documenta a lista de valores válidos para este campo. O valor original, específico da fonte, é armazenado no campo EventOriginalResultDetails .

Exemplo: NXDOMAIN
EventUid Recomendado String A ID exclusiva do registro, conforme atribuído pelo Microsoft Sentinel. Este campo é normalmente mapeado para o _ItemId campo Log Analytics.
EventOriginalUid Opcional String Um ID exclusivo do registro original, se fornecido pela fonte.

Exemplo: 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType Opcional String O tipo de evento ou ID original, se fornecido pela fonte. Por exemplo, este campo é usado para armazenar a ID de evento original do Windows. Esse valor é usado para derivar EventType, que deve ter apenas um dos valores documentados para cada esquema.

Exemplo: 4624
EventOriginalSubType Opcional String O subtipo ou ID do evento original, se fornecido pela fonte. Por exemplo, este campo é usado para armazenar o tipo de logon original do Windows. Esse valor é usado para derivar EventSubType, que deve ter apenas um dos valores documentados para cada esquema.

Exemplo: 2
EventOriginalResultDetails Opcional String Os detalhes do resultado original fornecidos pela fonte. Esse valor é usado para derivar EventResultDetails, que deve ter apenas um dos valores documentados para cada esquema.
EventSeverity Recomendado Enumerated A gravidade do evento. Os valores válidos são: Informational, , LowMedium, ou High.
EventOriginalSeverity Opcional String A gravidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity.
EventoProduto Obrigatório String O produto gerador do evento. O valor deve ser um dos valores listados em Fornecedores e Produtos.

Exemplo: Sysmon
EventProductVersion Opcional String A versão do produto que gera o evento.

Exemplo: 12.1
EventVendor Obrigatório String O fornecedor do produto que gera o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos.

Exemplo: Microsoft

EventSchema Obrigatório String O esquema para o qual o evento é normalizado. Cada esquema documenta seu nome de esquema.
EventSchemaVersion Obrigatório String A versão do esquema. Cada esquema documenta sua versão atual.
EventReportUrl Opcional String Uma URL fornecida no evento para um recurso que fornece mais informações sobre o evento.
Proprietário do Evento Opcional String O proprietário do evento, que geralmente é o departamento ou subsidiária em que foi gerado.

Campos do dispositivo

A função dos campos de dispositivo é diferente para diferentes esquemas e tipos de eventos. Por exemplo:

  • Para os eventos de Sessão de Rede, os campos de dispositivo geralmente fornecem informações sobre o dispositivo que gerou o evento
  • Para os eventos Process, os campos device fornecem informações sobre o dispositivo em que o processo é executado.

Cada documento de esquema especifica a função do dispositivo para o esquema.

Campo Classe Tipo Descrição
DVC Alias String Um identificador exclusivo do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema.

Este campo pode usar o alias dos campos DvcFQDN, DvcId, DvcHostname ou DvcIpAddr. Para fontes de nuvem, para as quais não há um dispositivo aparente, use o mesmo valor que o campo Produto do evento.
DvcIpAddr Recomendado Endereço IP O endereço IP do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema.

Exemplo: 45.21.42.12
DvcNome do host Recomendado Hostname (Nome do anfitrião) O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema.

Exemplo: ContosoDc
DvcDomínio Recomendado String O domínio do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema.

Exemplo: Contoso
DvcDomainType Condicional Enumerated O tipo de DvcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType.

Nota: Este campo é obrigatório se o campo DvcDomain for usado.
DvcFQDN Opcional String O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema.

Exemplo: Contoso\DESKTOP-1282V4D

Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo DvcDomainType reflete o formato usado.
DvcDescrição Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
DvcId Opcional String A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema.

Exemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType Condicional Enumerated O tipo de DvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType.
- MDEid

Se várias IDs estiverem disponíveis, use a primeira da lista e armazene as outras usando os nomes de campo DvcAzureResourceId e DvcMDEid, respectivamente.

Nota: Este campo é obrigatório se o campo DvcId for usado.
DvcMacAddr Opcional MAC O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento.

Exemplo: 00:1B:44:11:3A:B7
DvcZona Opcional String A rede na qual o evento ocorreu ou que relatou o evento, dependendo do esquema. A zona é definida pelo dispositivo de relatório.

Exemplo: Dmz
DvcOs Opcional String O sistema operacional em execução no dispositivo no qual o evento ocorreu ou que relatou o evento.

Exemplo: Windows
DvcOsVersion Opcional String A versão do sistema operacional no dispositivo no qual o evento ocorreu ou que relatou o evento.

Exemplo: 10
DvcAction Recomendado String Para comunicar sistemas de segurança, a ação tomada pelo sistema, se aplicável.

Exemplo: Blocked
DvcOriginalAction Opcional String O DvcAction original conforme fornecido pelo dispositivo de relatório.
DvcInterface Opcional String A interface de rede na qual os dados foram capturados. Este campo é normalmente relevante para a atividade relacionada com a rede, que é capturada por um dispositivo intermediário ou de toque.
DvcScopeId Opcional String O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O DvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
DvcScope Opcional String O escopo da plataforma de nuvem ao qual o dispositivo pertence. O DvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.

Outros domínios

Campo Classe Tipo Descrição
Campos Adicionais Opcional Dinâmica Se a sua fonte fornecer informações adicionais que valham a pena preservar, mantenha-as com os nomes de campo originais ou crie o campo AdditionalFields dinâmico e adicione a ele as informações extras como pares chave/valor.
ASimMatchingIpAddr Recomendado String Quando um analisador usa os parâmetros de filtragem, esse campo é definido com um dos valores SrcIpAddr, DstIpAddrou Both para refletir os ipaddr_has_any_prefix campos ou campos correspondentes.
ASimMatchingHostname Recomendado String Quando um analisador usa os parâmetros de filtragem, esse campo é definido com um dos valores SrcHostname, DstHostnameou Both para refletir os hostname_has_any campos ou campos correspondentes.

Atualizações de esquema

  • O EventOwner campo foi adicionado aos campos comuns em 1º de dezembro de 2022 e, portanto, a todos os esquemas.
  • O EventUid campo foi adicionado aos campos comuns em 26 de dezembro de 2022 e, portanto, a todos os esquemas.

Fornecedores e produtos

Para manter a consistência, a lista de fornecedores e produtos permitidos é definida como parte do ASIM, e pode não corresponder diretamente ao valor enviado pela fonte, quando disponível.

A lista atualmente suportada de fornecedores e produtos usados nos campos EventVendor e EventProduct, respectivamente, é:

Fornecedor Produtos
AWS - CloudTrail
- VPC
Cisco - ASA
- Umbrella
- IOS
- Meraki
Corelight Zeek
Cynerio Cynerio
Dataminr Dataminr Pulse
GCP Cloud DNS
Infoblox NIOS
Microsoft - ID do Microsoft Entra
- Azure
- Azure Firewall
- Azure Blob Storage
- Azure File Storage
- Azure NSG flows
- Azure Queue Storage
- Azure Table Storage
- DNS Server
- Microsoft Defender XDR for Endpoint
- Microsoft Defender for IoT
- Security Events
- SharePoint
- OneDrive
- Sysmon
- Sysmon for Linux
- VMConnection
- Windows Firewall
- WireData
Linux - su
- sudo
Okta - Okta
- Auth0
OpenBSD OpenSSH
Palo Alto - PanOS
- CDL
PostgreSQL PostgreSQL
Squid Squid Proxy
Vectra AI Vectra Steam
WatchGuard Fireware
Zscaler - ZIA DNS
- ZIA Firewall
- ZIA Proxy

Se você estiver desenvolvendo um analisador para um fornecedor ou um produto que não esteja listado aqui, entre em contato com a equipe do Microsoft Sentinel para alocar um novo fornecedor permitido e designadores de produto.

Próximos passos

Para obter mais informações, consulte: