Referência de campos de esquema comum ASIM (Advanced Security Information Model) (visualização)
Alguns campos são comuns a todos os esquemas ASIM. Cada esquema pode adicionar diretrizes para usar alguns dos campos comuns no contexto do esquema específico. Por exemplo, os valores permitidos para o campo EventType podem variar de acordo com o esquema, assim como o valor do campo EventSchemaVersion.
Campos padrão do Log Analytics
Os campos a seguir são gerados pelo Log Analytics, na maioria dos casos, para cada registro. Eles podem ser substituídos quando você cria um conector personalizado.
Campo | Tipo | Debate |
---|---|---|
Gerado por tempo | datetime | A hora em que o evento foi gerado pelo dispositivo de relatório. |
Tipo | String | A tabela original a partir da qual o registro foi obtido. Este campo é útil quando o mesmo evento pode ser recebido através de vários canais para tabelas diferentes e tem os mesmos valores EventVendor e EventProduct . Por exemplo, um evento Sysmon pode ser coletado para a tabela ou para a Event WindowsEvent tabela. |
Nota
O Log Analytics também adiciona outros campos que são menos relevantes para casos de uso de segurança. Para obter mais informações, consulte Colunas padrão nos Logs do Azure Monitor.
Campos ASIM comuns
Os seguintes campos são definidos pela ASIM para todos os esquemas:
Campos do evento
Campo | Classe | Tipo | Descrição |
---|---|---|---|
EventMessage | Opcional | String | Uma mensagem ou descrição geral, incluída ou gerada a partir do registo. |
EventCount | Obrigatório | Integer | O número de eventos descritos pelo registro. Esse valor é usado quando a fonte oferece suporte à agregação e um único registro pode representar vários eventos. Para outras fontes, defina como 1 . |
EventStartTime | Obrigatório | Data/hora | A hora em que o evento começou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado . |
EventEndTime | Obrigatório | Data/hora | A hora em que o evento terminou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado . |
Tipo de Evento | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Cada esquema documenta a lista de valores válidos para este campo. O valor original, específico da fonte, é armazenado no campo EventOriginalType . |
EventSubType | Opcional | Enumerated | Descreve uma subdivisão da operação relatada no campo EventType . Cada esquema documenta a lista de valores válidos para este campo. O valor original, específico da fonte, é armazenado no campo EventOriginalSubType . |
EventResult | Obrigatório | Enumerated | Um dos seguintes valores: Sucesso, Parcial, Fracasso, NA (Não aplicável). O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Como alternativa, a fonte pode fornecer apenas o campo EventResultDetails, que deve ser analisado para derivar o valor EventResult. Exemplo: Success |
EventResultDetails | Recomendado | Enumerated | Motivo ou detalhes do resultado relatado no campo EventResult . Cada esquema documenta a lista de valores válidos para este campo. O valor original, específico da fonte, é armazenado no campo EventOriginalResultDetails . Exemplo: NXDOMAIN |
EventUid | Recomendado | String | A ID exclusiva do registro, conforme atribuído pelo Microsoft Sentinel. Este campo é normalmente mapeado para o _ItemId campo Log Analytics. |
EventOriginalUid | Opcional | String | Um ID exclusivo do registro original, se fornecido pela fonte. Exemplo: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
EventOriginalType | Opcional | String | O tipo de evento ou ID original, se fornecido pela fonte. Por exemplo, este campo é usado para armazenar a ID de evento original do Windows. Esse valor é usado para derivar EventType, que deve ter apenas um dos valores documentados para cada esquema. Exemplo: 4624 |
EventOriginalSubType | Opcional | String | O subtipo ou ID do evento original, se fornecido pela fonte. Por exemplo, este campo é usado para armazenar o tipo de logon original do Windows. Esse valor é usado para derivar EventSubType, que deve ter apenas um dos valores documentados para cada esquema. Exemplo: 2 |
EventOriginalResultDetails | Opcional | String | Os detalhes do resultado original fornecidos pela fonte. Esse valor é usado para derivar EventResultDetails, que deve ter apenas um dos valores documentados para cada esquema. |
EventSeverity | Recomendado | Enumerated | A gravidade do evento. Os valores válidos são: Informational , , Low Medium , ou High . |
EventOriginalSeverity | Opcional | String | A gravidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
EventoProduto | Obrigatório | String | O produto gerador do evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. Exemplo: Sysmon |
EventProductVersion | Opcional | String | A versão do produto que gera o evento. Exemplo: 12.1 |
EventVendor | Obrigatório | String | O fornecedor do produto que gera o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. Exemplo: Microsoft |
EventSchema | Obrigatório | String | O esquema para o qual o evento é normalizado. Cada esquema documenta seu nome de esquema. |
EventSchemaVersion | Obrigatório | String | A versão do esquema. Cada esquema documenta sua versão atual. |
EventReportUrl | Opcional | String | Uma URL fornecida no evento para um recurso que fornece mais informações sobre o evento. |
Proprietário do Evento | Opcional | String | O proprietário do evento, que geralmente é o departamento ou subsidiária em que foi gerado. |
Campos do dispositivo
A função dos campos de dispositivo é diferente para diferentes esquemas e tipos de eventos. Por exemplo:
- Para os eventos de Sessão de Rede, os campos de dispositivo geralmente fornecem informações sobre o dispositivo que gerou o evento
- Para os eventos Process, os campos device fornecem informações sobre o dispositivo em que o processo é executado.
Cada documento de esquema especifica a função do dispositivo para o esquema.
Campo | Classe | Tipo | Descrição |
---|---|---|---|
DVC | Alias | String | Um identificador exclusivo do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Este campo pode usar o alias dos campos DvcFQDN, DvcId, DvcHostname ou DvcIpAddr. Para fontes de nuvem, para as quais não há um dispositivo aparente, use o mesmo valor que o campo Produto do evento. |
DvcIpAddr | Recomendado | Endereço IP | O endereço IP do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: 45.21.42.12 |
DvcNome do host | Recomendado | Hostname (Nome do anfitrião) | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: ContosoDc |
DvcDomínio | Recomendado | String | O domínio do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: Contoso |
DvcDomainType | Condicional | Enumerated | O tipo de DvcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType. Nota: Este campo é obrigatório se o campo DvcDomain for usado. |
DvcFQDN | Opcional | String | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: Contoso\DESKTOP-1282V4D Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo DvcDomainType reflete o formato usado. |
DvcDescrição | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller . |
DvcId | Opcional | String | A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. Exemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
DvcIdType | Condicional | Enumerated | O tipo de DvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType. - MDEid Se várias IDs estiverem disponíveis, use a primeira da lista e armazene as outras usando os nomes de campo DvcAzureResourceId e DvcMDEid, respectivamente. Nota: Este campo é obrigatório se o campo DvcId for usado. |
DvcMacAddr | Opcional | MAC | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: 00:1B:44:11:3A:B7 |
DvcZona | Opcional | String | A rede na qual o evento ocorreu ou que relatou o evento, dependendo do esquema. A zona é definida pelo dispositivo de relatório. Exemplo: Dmz |
DvcOs | Opcional | String | O sistema operacional em execução no dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: Windows |
DvcOsVersion | Opcional | String | A versão do sistema operacional no dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: 10 |
DvcAction | Recomendado | String | Para comunicar sistemas de segurança, a ação tomada pelo sistema, se aplicável. Exemplo: Blocked |
DvcOriginalAction | Opcional | String | O DvcAction original conforme fornecido pelo dispositivo de relatório. |
DvcInterface | Opcional | String | A interface de rede na qual os dados foram capturados. Este campo é normalmente relevante para a atividade relacionada com a rede, que é capturada por um dispositivo intermediário ou de toque. |
DvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O DvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
DvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O DvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
Outros domínios
Atualizações de esquema
- O
EventOwner
campo foi adicionado aos campos comuns em 1º de dezembro de 2022 e, portanto, a todos os esquemas. - O
EventUid
campo foi adicionado aos campos comuns em 26 de dezembro de 2022 e, portanto, a todos os esquemas.
Fornecedores e produtos
Para manter a consistência, a lista de fornecedores e produtos permitidos é definida como parte do ASIM, e pode não corresponder diretamente ao valor enviado pela fonte, quando disponível.
A lista atualmente suportada de fornecedores e produtos usados nos campos EventVendor e EventProduct, respectivamente, é:
Fornecedor | Produtos |
---|---|
AWS |
- CloudTrail - VPC |
Cisco |
- ASA - Umbrella - IOS - Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- ID do Microsoft Entra - Azure - Azure Firewall - Azure Blob Storage - Azure File Storage - Azure NSG flows - Azure Queue Storage - Azure Table Storage - DNS Server - Microsoft Defender XDR for Endpoint - Microsoft Defender for IoT - Security Events - SharePoint - OneDrive - Sysmon - Sysmon for Linu x- VMConnection - Windows Firewall - WireData |
Linux |
- su - sudo |
Okta |
- Okta - Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS - CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS - ZIA Firewall - ZIA Proxy |
Se você estiver desenvolvendo um analisador para um fornecedor ou um produto que não esteja listado aqui, entre em contato com a equipe do Microsoft Sentinel para alocar um novo fornecedor permitido e designadores de produto.
Próximos passos
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)