Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O esquema de normalização de rede é utilizado para descrever eventos de rede reportados e é utilizado por Microsoft Sentinel para ativar a análise unificadora.
Para obter mais informações, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Importante
Este artigo está relacionado com a versão 0.1 do esquema de normalização de rede, que foi lançado como uma pré-visualização antes de o ASIM estar disponível. A versão 0.2.x do esquema de normalização de rede está alinhada com o ASIM e fornece outras melhorias.
Para obter mais informações, veja Diferenças entre versões do esquema de normalização de rede
Terminologia
A terminologia seguinte é utilizada em esquemas Microsoft Sentinel:
| Termo | Definição |
|---|---|
| Dispositivo de relatórios | O sistema que envia os registos para Microsoft Sentinel. Pode não ser o sistema de assunto do registo. |
| Gravar | Uma unidade de dados enviada a partir do dispositivo de relatório. Esta unidade de dados é frequentemente denominada log, eventou alert, mas também pode ter outros tipos. |
Tipos e formatos de dados
A tabela seguinte fornece orientações para normalizar valores de dados, que são necessários para campos normalizados e recomendados para outros campos.
| Tipo de dados | Tipo físico | Formato e valor |
|---|---|---|
| Data/Hora | Uma das seguintes opções, consoante a capacidade do método de ingestão utilizada, em prioridade descendente:
|
Representação datetime do Log Analytics. A representação de data e hora do Log Analytics é semelhante por natureza, mas diferente da representação da hora unix. Veja estas diretrizes de conversão. A data e hora têm de ser ajustadas para fusos horários. |
| Endereço MAC | Cadeia | notação de Colon-Hexadecimal |
| IP Address | Endereço IP | O esquema não tem endereços IPv4 e IPv6 separados. Qualquer campo de endereço IP pode incluir um endereço IPv4 ou um endereço IPv6:
|
| Utilizador | Cadeia | Estão disponíveis os três campos de utilizador seguintes:
|
| ID de Utilizador | Cadeia | Os seguintes 2 IDs de utilizador são atualmente suportados:
|
| Dispositivo | Cadeia | São suportadas as três colunas de dispositivo/anfitrião seguintes:
|
| País/Região | Cadeia | Uma cadeia com ISO 3166-1, de acordo com as seguintes prioridades:
|
| Região | Cadeia | O nome da subdivisão país/região com ISO 3166-2 |
| Localidade | Cadeia | |
| Longitude | Duplo | Representação coordenada ISO 6709 (decimal assinado) |
| Latitude | Duplo | Representação coordenada ISO 6709 (decimal assinado) |
| Algoritmo Hash | Cadeia | São suportadas as 4 colunas hash seguintes:
|
| Tipo de Ficheiro | Cadeia | O tipo de ficheiro:
|
Esquema da tabela de sessões de rede
Segue-se o esquema da tabela de sessões de rede, com a versão 1.0.0
| Nome do campo | Tipo de valor | Exemplos: | Descrição | Entidades OSSEM associadas |
|---|---|---|---|---|
| EventType | Cadeia | Tráfego | Tipo de evento a ser recolhido | Evento |
| EventSubType | Cadeia | Autenticação | Descrição extra do tipo, se aplicável | Evento |
| EventCount | Número inteiro | 10 | O número de eventos agregados, se aplicável. | Evento |
| EventEndTime | Data/Hora | Ver "tipos de dados" | A hora em que o evento terminou | Evento |
| EventMessage | cadeia | acesso negado | Uma mensagem ou descrição geral, incluída ou gerada a partir do registo | Evento |
| DvcIpAddr | Endereço IP | 23.21.23.34 | O endereço IP do dispositivo que está a gerar o registo | Dispositivo, IP |
| DvcMacAddr | Cadeia | 06:10:9f:eb:8f:14 | O endereço MAC da interface de rede do dispositivo de relatório a partir do qual o evento foi enviado. | Dispositivo, Mac |
| DvcHostname | Nome do Dispositivo (Cadeia) | syslogserver1.contoso.com | O nome do dispositivo que está a gerar a mensagem. | Dispositivo |
| EventProduct | Cadeia | OfficeSharepoint | O produto que está a gerar o evento. | Evento |
| EventProductVersion | cadeia | 9.0 | A versão do produto que gera o evento. | Evento |
| EventResourceId | ID do Dispositivo (Cadeia) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | O ID de recurso do dispositivo que está a gerar a mensagem. | Evento |
| EventReportUrl | Cadeia | https://192.168.1.1/repoerts/ae3-56.htm | Uma ligação para o relatório completo criado pelo dispositivo de relatório | Evento |
| EventVendor | Cadeia | Microsoft | O fornecedor do produto que está a gerar o evento. | Evento |
| EventResult | Valores múltiplos: Êxito, Parcial, Falha, [Vazio] (Cadeia) | Êxito | O resultado comunicado para a atividade. Valor vazio quando não aplicável. | Evento |
| EventResultDetails | Cadeia | Palavra-passe Errada | Motivo ou detalhes do resultado comunicado em EventResult | Evento |
| EventSchemaVersion | Real | 0.1 | Microsoft Sentinel Versão do Esquema. Atualmente 0.1. | Evento |
| EventoSeverity | Cadeia | Baixo | Se a atividade comunicada tiver um impacto de segurança, denota a gravidade do impacto. | Evento |
| EventOriginalUid | Cadeia | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | O ID de registo do dispositivo de relatório. | Evento |
| EventStartTime | Data/Hora | Ver "tipos de dados" | A hora em que o evento foi indicado | Evento |
| TimeGenerated | Data/Hora | Ver "tipos de dados" | A hora em que o evento ocorreu, conforme comunicado pela origem do relatório. | Campo personalizado |
| EventTimeIngested | Data/Hora | Ver "tipos de dados" | A hora em que o evento foi ingerido para Microsoft Sentinel. Será adicionado por Microsoft Sentinel. | Evento |
| EventUid | Guid (Cadeia) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Identificador exclusivo utilizado por Microsoft Sentinel para marcar uma linha. | Evento |
| NetworkApplicationProtocol | Cadeia | HTTPS | O protocolo de camada da aplicação utilizado pela ligação ou sessão. | Rede |
| DstBytes | int | 32455 | O número de bytes enviados do destino para a origem da ligação ou sessão. | Destination |
| SrcBytes | int | 46536 | O número de bytes enviados da origem para o destino da ligação ou sessão. | Source (Origem) |
| NetworkBytes | int | 78991 | Número de bytes enviados em ambas as direções. Se bytesReceived e BytesSent existirem, BytesTotal deverá ser igual à soma. | Rede |
| RedeDireção | Valor múltiplo: Entrada, Saída (cadeia) | Entrada | A direção da ligação ou sessão, para dentro ou fora da organização. | Rede |
| DstGeoCity | Cadeia | Burlington | A cidade associada ao endereço IP de destino | Destino, Geográfico |
| DstGeoCountry | País (Cadeia) | EUA | O país/região associado ao endereço IP de origem | Destino, Geográfico |
| DstDvcHostname | Nome do dispositivo (Cadeia) | victim_pc | O nome do dispositivo de destino | Destination Dispositivo |
| DstDvcFqdn | Cadeia | victim_pc.contoso.local | O nome de domínio completamente qualificado do anfitrião onde o registo foi criado | Destino, Dispositivo |
| DstDomainHostname | cadeia | CONTOSO | O domínio do destino, o domínio do anfitrião de destino (site, nome de domínio, etc.), por exemplo, para pesquisas DNS ou pesquisas NS | Destination |
| DstInterfaceName | cadeia | Placa de Rede Microsoft Hyper-V | A interface de rede utilizada para a ligação ou sessão pelo dispositivo de destino. | Destination |
| DstInterfaceGuid | cadeia | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | GUID da interface de rede utilizada para o pedido de autenticação | Destination |
| DstIpAddr | Endereço IP | 2001:db8::ff00:42:8329 | O endereço IP da ligação ou destino da sessão, mais conhecido como o IP de destino no pacote de rede | Destino, IP |
| DstDvcIpAddr | Endereço IP | 75.22.12.2 | O endereço IP de destino de um dispositivo que não está diretamente associado ao pacote de rede | Destino, Dispositivo, IP |
| DstGeoLatitude | Latitude (Duplo) | 44.475833 | A latitude da coordenada geográfica associada ao endereço IP de destino | Destino, Geográfico |
| DstMacAddr | Cadeia | 06:10:9f:eb:8f:14 | O endereço MAC da interface de rede na qual a ligação ou sessão terminou, mais frequentemente referido para o MAC de destino no pacote de rede | Destino, MAC |
| DstDvcMacAddr | Cadeia | 06:10:9f:eb:8f:14 | O endereço MAC de destino de um dispositivo que não está diretamente associado ao pacote de rede. | Destino, Dispositivo, MAC |
| DstDvcDomain | Cadeia | CONTOSO | O Domínio do dispositivo de destino. | Destino, Dispositivo |
| DstPortNumber | Número inteiro | 443 | A porta IP de destino. | Destino, Porta |
| DstGeoRegion | Região (Cadeia) | Vermont | A região associada ao endereço IP de destino | Destino, Geográfico |
| DstResourceId | ID do Dispositivo (Cadeia) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | O ID do recurso do dispositivo de destino. | Destination |
| DstNatIpAddr | Endereço IP | 2::1 | Se for comunicado por um dispositivo NAT intermediário, como uma firewall, o endereço IP utilizado pelo dispositivo NAT para comunicação com a origem. | NAT de destino, IP |
| DstNatPortNumber | int | 443 | Se for reportada por um dispositivo NAT intermediário, como uma firewall, a porta utilizada pelo dispositivo NAT para comunicação com a origem. | NAT de destino, Porta |
| DstUserSid | SID do Utilizador | S-12-1445 | O ID de Utilizador da identidade associada ao destino da sessão. Normalmente, a identidade utilizada para autenticar um servidor. Para obter mais informações, veja Tipos de dados e formatos. | Destino, Utilizador |
| DstUserAadId | Cadeia (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | O ID de objeto da conta Microsoft Entra do utilizador no final da sessão de destino | Destino, Utilizador |
| DstUserName | Nome de utilizador (Cadeia) | johnd | O nome de utilizador da identidade associada ao destino da sessão. | Destino, Utilizador |
| DstUserUpn | cadeia | johnd@anon.com | O UPN da identidade associada ao destino da sessão. | Destino, Utilizador |
| DstUserDomain | cadeia | GRUPO DE TRABALHO | O nome de domínio ou computador da conta no destino da sessão | Destino, Utilizador |
| DstZone | Cadeia | Rede de perímetro | A zona de rede do destino, conforme definido pelo dispositivo de relatório. | Destination |
| DstGeoLongitude | Longitude (Duplo) | -73.211944 | A longitude da coordenada geográfica associada ao endereço IP de destino | Destino, Geográfico |
| DvcAction | Valor múltiplo: Permitir, Negar, Largar (cadeia) | Permitir | Se for comunicado por um dispositivo intermediário, como uma firewall, a ação tomada pelo dispositivo. | Dispositivo |
| DvcInboundInterface | Cadeia | eth0 | Se for reportada por um dispositivo intermediário, como uma firewall, a interface de rede utilizada pela mesma para a ligação ao dispositivo de origem. | Dispositivo |
| DvcOutboundInterface | Cadeia | Adaptador Ethernet Ethernet 4 | Se comunicado por um dispositivo intermediário, como uma firewall, a interface de rede utilizada pela mesma para a ligação ao dispositivo de destino. | Dispositivo |
| NetworkDuration | Número inteiro | 1500 | A quantidade de tempo, em milissegundos, para a conclusão da sessão ou ligação de rede | Rede |
| NetworkIcmpCode | Número inteiro | 34 | Para uma mensagem ICMP, escreva valor numérico de mensagem ICMP (RFC 2780 ou RFC 4443). | Rede |
| NetworkIcmpType | Cadeia | Destino Inacessível | Para uma mensagem ICMP, escreva representação de texto de mensagem ICMP (RFC 2780 ou RFC 4443). | Rede |
| DstPackets | int | 446 | O número de pacotes enviados do destino para a origem da ligação ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. | Destination |
| SrcPackets | int | 6478 | O número de pacotes enviados da origem para o destino da ligação ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. | Source (Origem) |
| NetworkPackets | int | 0 | Número de pacotes enviados em ambas as direções. Se pacotesReceived e PacketsSent existirem, BytesTotal deve ser igual à soma. | Rede |
| HttpRequestTime | Número inteiro | 700 | A quantidade de tempo que demorou a enviar o pedido para o servidor, se aplicável. | Http |
| HttpResponseTime | Número inteiro | 800 | A quantidade de tempo que demorou a receber uma resposta no servidor, se aplicável. | Http |
| NetworkRuleName | Cadeia | AnyAnyDrop | O nome ou ID da regra pela qual DeviceAction foi decidido | Rede |
| NetworkRuleNumber | int | 23 | Número de regra correspondente | Rede |
| NetworkSessionId | cadeia | 172_12_53_32_4322__123_64_207_1_80 | O identificador da sessão, conforme comunicado pelo dispositivo de relatório. Por exemplo, Identificador de sessão L7 para aplicações específicas após a autenticação | Rede |
| SrcGeoCity | Cadeia | Burlington | A cidade associada ao endereço IP de origem | Origem, Geográfico |
| SrcGeoCountry | País (Cadeia) | EUA | O país/região associado ao endereço IP de origem | Origem, Geográfico |
| SrcDvcHostname | Nome do dispositivo (Cadeia) | vilão | O nome do dispositivo de origem | Origem, Dispositivo |
| SrcDvcFqdn | cadeia | Villain.malicious.com | O nome de domínio completamente qualificado do anfitrião onde o registo foi criado | Origem, Dispositivo |
| SrcDvcDomain | cadeia | EVILORG | Domínio do dispositivo a partir do qual a sessão foi iniciada | Origem, Dispositivo |
| SrcDvcOs | Cadeia | iOS | O SO do dispositivo de origem | Origem, Dispositivo |
| SrcDvcModelName | Cadeia | Samsung Galaxy Note | O nome do modelo do dispositivo de origem | Origem, Dispositivo |
| SrcDvcModelNumber | Cadeia | 10.0 | O número de modelo do dispositivo de origem | Origem, Dispositivo |
| SrcDvcType | Cadeia | Mobile | O tipo do dispositivo de origem | Origem, Dispositivo |
| SrcInterfaceName | Cadeia | eth01 | A interface de rede utilizada para a ligação ou sessão pelo dispositivo de origem. | Source (Origem) |
| SrcInterfaceGuid | Cadeia | 46ad544b-eaf0-47ef-827c-266030f545a6 | GUID da interface de rede utilizada | Source (Origem) |
| SrcIpAddr | Endereço IP | 77.138.103.108 | O endereço IP a partir do qual a ligação ou sessão teve origem. | Origem, IP |
| SrcDvcIpAddr | Endereço IP | 77.138.103.108 | O endereço IP de origem de um dispositivo não associado diretamente ao pacote de rede (recolhido por um fornecedor ou calculado explicitamente). | Origem, Dispositivo, IP |
| SrcGeoLatitude | Latitude (Duplo) | 44.475833 | A latitude da coordenada geográfica associada ao endereço IP de origem | Origem, Geográfico |
| SrcGeoLongitude | Longitude (Duplo) | -73.211944 | A longitude da coordenada geográfica associada ao endereço IP de origem | Origem, Geográfico |
| SrcMacAddr | Cadeia | 06:10:9f:eb:8f:14 | O endereço MAC da interface de rede a partir da qual a sessão od de ligação teve origem. | Origem, Mac |
| SrcDvcMacAddr | Cadeia | 06:10:9f:eb:8f:14 | O endereço MAC de origem de um dispositivo que não está diretamente associado ao pacote de rede. | Origem, Dispositivo, Mac |
| SrcPortNumber | Número inteiro | 2335 | A porta IP a partir da qual a ligação teve origem. Pode não ser relevante para uma sessão que inclua várias ligações. | Origem, Porta |
| SrcGeoRegion | Região (Cadeia) | Vermont | A região num país/região associado ao endereço IP de origem | Origem, Geográfico |
| SrcResourceId | Cadeia | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | O ID de recurso do dispositivo que está a gerar a mensagem. | Source (Origem) |
| SrcNatIpAddr | Endereço IP | 4.3.2.1 | Se for comunicado por um dispositivo NAT intermediário, como uma firewall, o endereço IP utilizado pelo dispositivo NAT para comunicação com o destino. | NAT de origem, IP |
| SrcNatPortNumber | Número inteiro | 345 | Se for reportada por um dispositivo NAT intermediário, como uma firewall, a porta utilizada pelo dispositivo NAT para comunicação com o destino. | NAT de origem, Porta |
| SrcUserSid | ID de Utilizador (Cadeia) | S-15-1445 | O ID de utilizador da identidade associada à origem de sessões. Normalmente, o utilizador executa uma ação no cliente. Para obter mais informações, veja Tipos de dados e formatos. | Origem, Utilizador |
| SrcUserAadId | Cadeia (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | O Microsoft Entra ID de objeto da conta do utilizador no final da sessão de origem | Origem, Utilizador |
| SrcUserName | Nome de utilizador (Cadeia) | bob | O nome de utilizador da identidade associada à origem de sessões. Normalmente, o utilizador executa uma ação no cliente. Para obter mais informações, veja Tipos de dados e formatos. | Source (Origem) Utilizador |
| SrcUserUpn | cadeia | bob@alice.com | UPN da conta que inicia a sessão | Origem, Utilizador |
| SrcUserDomain | cadeia | AMBIENTE DE TRABALHO | O domínio da conta que inicia a sessão | Origem, Utilizador |
| SrcZone | Cadeia | Tocar | A zona de rede da origem, conforme definido pelo dispositivo de relatório. | Source (Origem) |
| NetworkProtocol | Cadeia | TCP | O protocolo IP utilizado pela ligação ou sessão. Normalmente, TCP, UDP ou ICMP | Rede |
| CloudAppName | Cadeia | O nome da aplicação de destino para uma aplicação HTTP, conforme identificado por um proxy. | Cloud | |
| CloudAppId | Cadeia | 124 | O ID da aplicação de destino para uma aplicação HTTP, conforme identificado por um proxy. Normalmente, este valor é específico do proxy utilizado. | Cloud |
| CloudAppOperation | Cadeia | DeleteFile | A operação que o utilizador realizou no contexto da aplicação de destino para uma aplicação HTTP, conforme identificado por um proxy. Normalmente, este valor é específico do proxy utilizado. | Cloud |
| CloudAppRiskLevel | Cadeia | 3 | O nível de risco associado a uma aplicação HTTP, conforme identificado por um proxy. Normalmente, este valor é específico do proxy utilizado. | Cloud |
| NomedoFicheiro | Cadeia | ImNotMalicious.exe | O nome de ficheiro transmitido através das ligações de rede para protocolos, como FTP e HTTP, que fornecem as informações de nome de ficheiro. | Ficheiro |
| FilePath | Cadeia | C:\Malicious\ImNotMalicious.exe | O caminho completo, incluindo o nome do ficheiro, do ficheiro | Ficheiro |
| FicheiroHashMd5 | Cadeia | 51BC68715FC7C109DCEA406B42D9D78F | O valor hash MD5 do ficheiro transmitido através das ligações de rede para protocolos. | Ficheiro |
| FilehashSha1 | Cadeia | 491AE3... C299821476F4 | O valor hash SHA1 do ficheiro transmitido através das ligações de rede para protocolos. | Ficheiro |
| FicheiroHashSha256 | Cadeia | 9B8F8EDB... C129976F03 | O valor hash SHA256 do ficheiro transmitido através das ligações de rede para protocolos. | Ficheiro |
| FicheiroHashSha512 | Cadeia | 5E127D... F69F73F01F361 | O valor hash SHA512 do ficheiro transmitido através das ligações de rede para protocolos. | Ficheiro |
| FileExtension | Cadeia | exe | O tipo do ficheiro transmitido através das ligações de rede para protocolos como FTP e HTTP. | Ficheiro |
| FileMimeType | Cadeia | aplicação/msword | O tipo de MIME do ficheiro transmitido através das ligações de rede para protocolos como FTP e HTTP | Ficheiro |
| Tamanho do Ficheiro | Número inteiro | 23500 | O tamanho do ficheiro, em bytes, do ficheiro transmitido através das ligações de rede para protocolos. | Ficheiro |
| HttpVersion | Cadeia | 2.0 | A Versão do Pedido HTTP para ligações de rede HTTP/HTTPS. | Http |
| HttpRequestMethod | Cadeia | OBTER | O Método HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpStatusCode | Cadeia | 404 | O Código de Estado HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpContentType | Cadeia | multipart/form-data; boundary=something | O cabeçalho do tipo de conteúdo resposta HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpReferrerOriginal | Cadeia | https://developer.mozilla.org/en-US/docs/Web/JavaScript | O cabeçalho do referenciador HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpUserAgentOriginal | Cadeia | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/83.0.4103.97 Safari/537.36 | O cabeçalho do agente de utilizador HTTP para sessões de rede HTTP/HTTPS. | Http |
| HttpRequestXff | Cadeia | 120.12.41.1 | O cabeçalho HTTP X-Forwarded-For para sessões de rede HTTP/HTTPS. | Http |
| UrlCategory | Cadeia | Motores de busca | O agrupamento definido de um URL, possivelmente baseado no domínio no URL, está relacionado com o conteúdo. Por exemplo: adulto, notícias, publicidade, domínios estacionados, etc.) | URL |
| UrlOriginal | Cadeia | https:// contoso.com/fo/?k=v&q=u#f | O URL do pedido HTTP para sessões de rede HTTP/HTTPS. | URL |
| UrlHostname | Cadeia | contoso.com | A parte do domínio de um URL de pedido HTTP para sessões de rede HTTP/HTTPS. | URL |
| ThreatCategory | Cadeia | Trojan | A categoria de uma ameaça identificada por um sistema de segurança como o Gateway de Segurança Web de um IPS e está associada a esta sessão de rede. | Ameaça |
| ThreatId | Cadeia | Tr.124 | O ID de uma ameaça identificada por um sistema de segurança, como o Gateway de Segurança Web de um IPS, e está associado a esta sessão de rede. | Ameaça |
| ThreatName | Cadeia | Ficheiro de Teste EICAR | O nome da ameaça ou software maligno identificado | Ameaça |
| Campos Adicionais | Dinâmico (saco JSON) | { Propriedade1: "val1", Propriedade2: "val2" } |
Quando nenhuma coluna correspondente no esquema corresponde, outros campos podem ser armazenados num saco JSON. Para análise do tempo de consulta, recomendamos que promova colunas adicionais em vez de utilizar um saco JSON, uma vez que colocar dados em código JSON irá degradar o desempenho das consultas. |
Campo personalizado |
Diferenças entre a versão 0.1 e a versão 0.2
A versão original do esquema de normalização da sessão de rede Microsoft Sentinel, versão 0.1, foi lançada como uma pré-visualização antes de o ASIM estar disponível.
As diferenças entre a versão 0.1, documentada neste artigo e a versão 0.2.x incluem:
- Na versão 0.2, os nomes de analisador unificadores e específicos da origem foram alterados de acordo com uma convenção de nomenclatura ASIM padrão.
- A versão 0.2 adiciona diretrizes específicas e analisadores unificadores para acomodar tipos de dispositivos específicos.
As secções seguintes descrevem como a versão 0.2.x difere para campos específicos.
Campos adicionados na versão 0.2
Os seguintes campos foram adicionados na versão 0.2.x e não existem na versão 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- URL
Campos com alias recentemente na versão 0.2
Os seguintes campos são agora aliasados na versão 0.2.x com a introdução do ASIM:
| Campo na versão 0.1 | Alias na versão 0.2 |
|---|---|
| SessionId | NetworkSessionId |
| Duração | NetworkDuration |
| IpAddr | SrcIpAddr |
| Utilizador | DstUsername |
| Hostname | DstHostname |
| UserAgent | HttpUserAgent |
Campos modificados na versão 0.2
Os seguintes campos são enumerados na versão 0.2.x e requerem um valor específico de uma lista fornecida.
- EventType
- EventResultDetails
- EventoSeverity
Campos com nome mudado na versão 0.2
O nome dos seguintes campos foi mudado na versão 0.2.x:
Na versão 0.2, utilize os campos incorporados do Log Analytics:
Tenha em atenção que
ingestion_time()é uma função KQL e não um nome de campo.Campo na versão 0.1 Nome mudado na versão 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Nome mudado para alinhar com melhorias no ASIM e no OSSEM:
Campo na versão 0.1 Nome mudado na versão 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Nome mudado para refletir que o destino da sessão de rede não tem de ser um serviço cloud:
Campo na versão 0.1 Nome mudado na versão 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Nome mudado para alterar o caso e alinhar com o processamento ASIM da entidade de utilizador:
Campo na versão 0.1 Nome mudado na versão 0.2 DstUserName DstUsername SrcUserName SrcUsername Nome mudado para alinhar melhor com a entidade do dispositivo ASIM e permitir IDs de recursos que não Azure:
Campo na versão 0.1 Nome mudado na versão 0.2 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId Nome mudado para remover a
Dvccadeia de carateres dos nomes de campo, uma vez que o processamento na versão 0.1 era inconsistente:Campo na versão 0.1 Nome mudado na versão 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Nome mudado para alinhar com a documentação de orientação de representação de ficheiros ASIM:
Campo na versão 0.1 Nome mudado na versão 0.2 FicheiroHashMd5 FileMD5 FilehashSha1 FileSHA1 FicheiroHashSha256 FileSHA256 FicheiroHashSha512 FileSHA512 FileMimeType FileContentType
Campos removidos na versão 0.2
Os seguintes campos existem apenas na versão 0.1 e foram removidos na versão 0.2.x:
| Motivo | Campos removidos |
|---|---|
Removido porque existem duplicados, sem a Dvc cadeia no nome do campo |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Removido para alinhar com o processamento asim de URLs | - UrlHostname |
|
Removidos porque estes campos não são normalmente fornecidos como parte de eventos de Sessão de Rede. Se um evento incluir estes campos, utilize o esquema Evento de Processo para compreender como descrever as propriedades do dispositivo. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| Removido para alinhar com a documentação de orientação de representação de ficheiros ASIM | - FilePath - FileExtension |
| Removido como este campo indica que deve ser utilizado um esquema diferente, como o Esquema de autenticação. | - CloudAppOperation |
Removido à medida que duplica DstHostname |
- DstDomainHostname |
Passos seguintes
Para mais informações, consulte:
- Normalização no Microsoft Sentinel
- Microsoft Sentinel referência do esquema de normalização de autenticação (Pré-visualização pública)
- Microsoft Sentinel referência do esquema de normalização de eventos de ficheiros (Pré-visualização pública)
- Microsoft Sentinel referência do esquema de normalização DNS
- Microsoft Sentinel referência do esquema de normalização de eventos do processo
- Microsoft Sentinel referência do esquema de normalização de eventos de registo (Pré-visualização pública)