Схемы расширенной информационной модели безопасности (ASIM)
Расширенная информационная модель безопасности (ASIM) представляет собой набор полей, представляющих действия. Использование полей в нормализованной схеме в запросе гарантирует, что запрос будет работать со всеми нормализованными источниками.
Чтобы понять, как схемы вписываются в архитектуру ASIM, изучите схематическое изображение архитектуры ASIM.
Ссылки на схемы описывают поля, составляющие каждую схему. ASIM в настоящее время определяет следующие схемы:
| схема | Версия | Состояние |
|---|---|---|
| Событие аудита | 0.1 | Предварительный просмотр |
| Событие проверки подлинности | 0.1.3 | Предварительный просмотр |
| Действие DNS | 0.1.7 | Предварительный просмотр |
| Действие DHCP | 0.1 | Предварительный просмотр |
| Действие с файлами | 0.2.1 | Предварительный просмотр |
| Сетевой сеанс | 0.2.6 | Предварительный просмотр |
| Событие процесса | 0.1.4 | Предварительный просмотр |
| Событие реестра | 0.1.2 | Предварительный просмотр |
| Управление пользователями | 0.1 | Предварительный просмотр |
| Веб-сеанс | 0.2.6 | Предварительный просмотр |
Важно!
Схемы и средства синтаксического анализа ASIM в настоящее время доступны в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Основные понятия схемы
Следующие основные понятия помогут разобраться в ссылках на схемы и расширить схему в нормализованном виде, если ваши данные содержат сведения, которые ею не охватываются.
| Концепция | Описание |
|---|---|
| Имена полей | Основой каждой схемы являются имена полей. Имена полей относятся к следующим группам: – поля, общие для всех схем; – поля, относящиеся к конкретной схеме; – поля, представляющие сущности, например пользователей, которые принимают участие в схеме. Поля, представляющие сущности, идентичны во всех схемах. Если источники содержат поля, не представленные в задокументированной схеме, они нормализованы для обеспечения согласованности. Если дополнительные поля представляют сущность, они будут нормализованы на основе правил для полей сущностей. В противном случае схемы стремятся обеспечить согласованность между собой. Например, хотя журналы действий DNS-сервера не содержат сведений о пользователе, журналы действий DNS из конечной точки могут содержать такие сведения, которые могут быть нормализованы в соответствии с правилами для сущности пользователя. |
| Типы полей | Каждое поле схемы имеет тип. В рабочей области Log Analytics ограниченный набор типов данных. Поэтому в Microsoft Sentinel используется логический тип для многих полей схемы, которые не применяются в службе Log Analytics, но требуются для совместимости схем. Логические типы полей гарантируют согласованность значений и имен полей в источниках. Дополнительные сведения см. в разделе Логические типы. |
| Класс поля | Поля могут относиться к разным классам, которые определяют, когда они должны быть реализованы средством синтаксического анализа: - Обязательные поля должны присутствовать в каждом средстве синтаксического анализа. Если источник не содержит сведений для этого значения или данные не могут быть добавлены иным образом, он не будет поддерживать большинство элементов содержимого, ссылающихся на нормализованную схему. - Рекомендуемые поля должны быть нормализованы, если они доступны. Однако они могут быть доступны не в каждом источнике, и любой элемент содержимого, ссылающийся на нормализованную схему, должен учитывать такую доступность. - Необязательные поля, если они доступны, могут быть нормализованы или оставлены в исходной форме. Как правило, средство синтаксического анализа с минимальной функциональностью не нормализует их по соображениям производительности. - Условные поля являются обязательными при заполнении поля, за которые они следят. Условные поля обычно используются для описания значения в другом поле. Например, общее поле DvcIdType описывает значение int общего поля DvcId и поэтому является обязательным при заполнении последнего. - Псевдоним — это особый тип условного поля, который является обязательным при заполнении поля с псевдонимом. |
| Общие поля | Некоторые поля являются общими для всех схем ASIM. Каждая схема может добавлять рекомендации по использованию некоторых общих полей в контексте конкретной схемы. Например, разрешенные значения для поля EventType могут различаться в зависимости от схемы, как и значение поля EventSchemaVersion. |
| Сущности | События возникают в связи с такими сущностями, как пользователи, узлы, процессы или файлы. Для описания каждой сущности может использоваться несколько полей. Например, узел может иметь имя и IP-адрес. Одна запись может содержать несколько сущностей одного типа, например исходный и конечный узлы. ASIM определяет, как согласованно описывать сущности, а сущности позволяют расширять схемы. Например, хотя схема сетевого сеанса не содержит сведения о процессах, некоторые источники событий предоставляют такие сведения, которые можно добавить. Дополнительные сведения см. в разделе о сущностях. |
| Псевдонимы | Псевдонимы позволяют использовать несколько имен для указанного значения. В некоторых случаях разные пользователи предполагают для полей разные имена. Например, в терминологии DNS можно ожидать поле с именем DnsQuery, в то время как в более общем случае оно содержит доменное имя. Псевдоним Домен помогает пользователю, разрешая использовать оба имени. В некоторых случаях псевдоним может иметь значение одного из нескольких полей в зависимости от того, какие значения доступны в событии. Например, псевдоним Dvc , псевдонимы DvcFQDN, DvcId, DvcHostname или DvcIpAddr или События Продукта . Если псевдоним может иметь несколько значений, его тип должен быть строкой, чтобы вместить все возможные значения псевдонима. В результате при назначении значения такому псевдониму обязательно преобразуйте тип в строку с помощью функции KQL tostring. Собственные нормализованные таблицы не включают псевдонимы, так как они подразумевают повторяющееся хранение данных. Вместо этого средства синтаксического анализа заглушки добавляют псевдонимы. Чтобы реализовать псевдонимы в средства синтаксического анализа, создайте копию исходного значения с помощью extend оператора . |
Логические типы
Каждое поле схемы имеет тип. У некоторых имеются встроенные типы службы Log Analytics, такие как string, int, datetime и dynamic. Другие поля имеют логический тип, который обозначает, как должны быть нормализованы значения полей.
| Тип данных | Физический тип | Формат и значение |
|---|---|---|
| Boolean | Bool | Используйте встроенный логический тип данных KQL bool, а не числовое или строковое представление логических значений. |
| Enumerated | Строка | Список значений, явно определенных для поля. В определении схемы перечислены допустимые значения. |
| Date/Time | В зависимости от возможностей метода приема используйте любое из следующих физических представлений (в порядке убывания приоритета): – встроенный в Log Analytics тип даты и времени; – целочисленное поле с использованием числового представления даты и времени в Log Analytics; – строковое поле с использованием числового представления даты и времени в Log Analytics; – строковое поле, в котором хранится поддерживаемый Log Analytics формат даты и времени. |
Представление даты и времени в Log Analytics аналогично, однако оно отличается от представления времени в Unix. Дополнительные сведения см. в правилах в отношении преобразования. Примечание. Если применимо, время должно быть скорректировано по часовому поясу. |
| MAC address (MAC-адрес) | Строка | Шестнадцатеричная нотация с двоеточиями |
| IP-адрес | Строка | У схем Microsoft Sentinel нет отдельных адресов IPv4 и IPv6. Любое поле IP-адреса может содержать либо адрес IPv4, либо IPv6: - IPv4 в точечно-десятичной нотации. - IPv6 в нотации из 8 гекстетов, что позволяет использовать короткую форму. Пример: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6 (короткая форма): 1080::8:800:200C:417A |
| Полное доменное имя. | Строка | Полное доменное имя в точечной нотации, например learn.microsoft.com. Дополнительные сведения см. в разделе Сущность устройства. |
| Имя узла | Строка | Имя узла, которое не является полным доменным именем, включает до 63 символов, включая буквы, цифры и дефисы. Дополнительные сведения см. в разделе Сущность устройства. |
| DomainType | Enumerated | Тип домена, хранящегося в полях домен и полное доменное имя. Список значений и дополнительные сведения см. в разделе Сущность устройства. |
| DvcIdType | Enumerated | Тип идентификатора устройства, хранящегося в полях DvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType. |
| DeviceType | Enumerated | Тип устройства, хранящегося в полях типа устройства. Возможные значения: - Computer- Mobile Device- IOT Device- Other. Дополнительные сведения см. в разделе Сущность устройства. |
| Username | Строка | Допустимое имя пользователя в одном из поддерживаемых типов. Подробнее см. в статье Сущность пользователя. |
| UsernameType | Enumerated | Тип имени пользователя, хранящегося в полях Username. Дополнительные сведения и список поддерживаемых значений см. в разделе Сущность пользователя. |
| UserIdType | Enumerated | Тип идентификатора, хранящегося в полях идентификаторов пользователей. Поддерживаемые значения: SID, UIS, AADID, OktaId, AWSIdи PUID. Подробнее см. в статье Сущность пользователя. |
| UserType | Enumerated | Тип пользователя. Дополнительные сведения и список поддерживаемых значений см. в разделе Сущность устройства. |
| AppType | Enumerated | Тип приложения. Поддерживаются следующие значения: Process, Service, Resource, URL, SaaS application, CSP и Other. |
| Страна | Строка | Строка, использующая ISO 3166-1 в соответствии со следующим приоритетом: - коды Alpha-2, например US для США; - коды Alpha-3, например USA для США; — краткое название. Список кодов см. на веб-сайте Международной организации по стандартизации (ISO). |
| Регион | Строка | Имя подразделения страны по ISO 3166-2. Список кодов см. на веб-сайте Международной организации по стандартизации (ISO). |
| Город | Строка | |
| Долгота | Double | Представление координаты ISO 6709 (десятичное число со знаком). |
| Широта | Double | Представление координаты ISO 6709 (десятичное число со знаком). |
| MD5 | Строка | 32 шестнадцатеричных символа. |
| SHA1 | Строка | 40 шестнадцатеричных символов. |
| SHA256 | Строка | 64 шестнадцатеричных символов. |
| SHA512 | Строка | 128 шестнадцатеричных символов. |
Entities
События возникают в связи с такими сущностями, как пользователи, узлы, процессы или файлы. Представление сущностей позволяет нескольким сущностям одного типа являться частью одной записи и поддерживает несколько атрибутов для одной сущности.
Для реализации функциональных возможностей сущности представление сущности должно соответствовать указанным ниже рекомендациям.
| Рекомендация | Описание |
|---|---|
| Дескрипторы и псевдонимы | Поскольку одно событие часто включает несколько сущностей одного типа, таких как исходный и конечный узлы, в качестве префикса для обозначения всех полей, связанных с конкретной сущностью, используются дескрипторы. Чтобы обеспечить нормализацию, ASIM использует небольшой набор стандартных дескрипторов, выбирая наиболее подходящие из них для конкретной роли сущностей. Если к событию относится только одна сущность определенного типа, использовать дескриптор нет необходимости. Кроме того, набор полей без дескриптора является псевдонимом наиболее часто используемой сущности для каждого типа. |
| Идентификаторы и типы | В нормализованной схеме может быть несколько идентификаторов для каждой сущности, которые будут сосуществовать в событиях. Если исходное событие содержит другие идентификаторы сущностей, которые не могут быть сопоставлены с нормализованной схемой, следует хранить их в исходной форме или использовать динамическое поле AdditionalFields. Чтобы сохранить сведения о типе для идентификаторов, храните тип, если это применимо, в поле с тем же именем и суффиксом Type. Например, UserIdType. |
| Атрибуты | У сущностей часто есть другие атрибуты, которые не являются идентификатором и также могут уточняться дескриптором. Например, если для исходного пользователя имеются сведения о домене, нормализованное поле имеет значение SrcUserDomain. |
Каждая схема явным образом определяет центральные сущности и поля сущностей. Рекомендации ниже позволяют понять центральные поля схемы, а также узнать, как расширять схемы в нормализованном виде с помощью других сущностей или полей сущностей, не определенных в схеме явным образом.
Сущность пользователя
Пользователи играют ключевую роль в действиях, фиксируемых с помощью событий. Перечисленные в этом разделе поля применяются для описания пользователей, участвующих в действии. Префиксы позволяют определить роль пользователя в действии. Префиксы Src и Dst обозначают роль пользователя в сетевых событиях, в которых исходная и целевая система обмениваются данными. Префиксы Actor и Target используются для системно ориентированных событий, таких как события процесса.
Идентификатор пользователя и область
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| UserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее пользователя. |
| UserScope | Необязательно | строка | Область, в котором определены UserId и Username. Например, Azure AD доменное имя клиента. Поле UserIdType также представляет тип объекта , связанного с этим полем. |
| UserScopeId | Необязательно | строка | Идентификатор область, в котором определены UserId и Username. Например, Azure AD идентификатор каталога клиента. Поле UserIdType также представляет тип объекта , связанного с этим полем. |
| UserIdType | Необязательно | UserIdType | Тип идентификатора, который хранится в поле UserId. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Необязательно | Строка | Поля, используемые для хранения определенных идентификаторов пользователей. Выберите идентификатор, наиболее связанный с событием, в качестве основного идентификатора, сохраняемого в поле UserId. Заполните соответствующее поле идентификатора в дополнение к UserId, даже если событие имеет только один идентификатор. |
| UserAADTenant, UserAWSAccount | Необязательно | Строка | Поля, используемые для хранения определенных областей. Используйте поле UserScope для области, связанной с идентификатором, хранимым в поле UserId. Заполните соответствующее поле области в дополнение к UserScope, даже если событие имеет только один идентификатор. |
Допустимые значения для типа идентификатора пользователя:
| Тип | Описание | Пример |
|---|---|---|
| SID | Идентификатор пользователя Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Идентификатор пользователя Linux. | 4578 |
| AADID | Идентификатор пользователя Azure Active Directory. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
| OktaId | Идентификатор пользователя Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | Идентификатор пользователя AWS. | 72643944673 |
| PUID | Идентификатор пользователя Microsoft 365. | 10032001582F435C |
Имя пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Username | Необязательно | Строка | Имя исходного пользователя, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле UsernameType. |
| UsernameType | Необязательно | UsernameType | Указывает тип имени пользователя, хранимого в поле Username. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Необязательно | Строка | Поля, используемые для хранения дополнительных имен пользователей, если исходное событие содержит несколько имен. Выберите имя пользователя, наиболее связанное с событием, в качестве основного имени пользователя, сохраняемого в поле Username. |
Допустимые значения для типа имени пользователя:
| Тип | Описание | Пример |
|---|---|---|
| Имя участника-пользователя | Конструктор имени субъекта-пользователя или адреса электронной почты. | johndow@contoso.com |
| Windows | Имя пользователя Windows, включая домен. | Contoso\johndow |
| DN | Конструктор различающихся имен LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Простота | Простое имя пользователя без конструктора домена. | johndow |
| AWSId | Идентификатор пользователя AWS. | 72643944673 |
Дополнительные поля пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| UserType | Необязательно | UserType | Тип исходного пользователя. Допустимые значения: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле OriginalUserType. |
| OriginalUserType | Необязательно | Строка | Исходный тип пользователя назначения, если он указан передающим устройством. |
Сущность устройства
Устройства, или узлы — это общие термины, которые обозначают системы, участвующие в событии. Префикс Dvc используется для назначения основного устройства, на котором происходит событие. У некоторых событий, таких как сетевые сеансы, есть устройства источника и назначения, обозначаемые префиксом Src и Dst. В таком случае префикс Dvc используется для устройства, сообщающего о событии, которое может быть исходным или целевым устройством либо устройством мониторинга.
Псевдонимы устройств
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Dvc, Src, Dst | Обязательный | Строка | Поля Dvc, Src и Dst используются в качестве уникального идентификатора устройства. В качестве него выбирается вариант, лучше всего подходящий для устройства. Эти поля могут быть псевдонимами полей FQDN, DvcId, Hostname и IpAddr. Для облачных источников, если событие не связано с конкретным устройством, указывайте то же значение, что и в поле Event Product. |
Имя устройства
Передаваемые имена устройств могут содержать только имя узла или являться полным доменным именем (FQDN), которое включает имя узла и доменное имя. Полное доменное имя может задаваться в нескольких форматах. Перечисленные ниже поля применяются для передачи различных вариантов имени устройства.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Имя узла | Рекомендуется | Hostname (Имя узла) | Короткое имя узла устройства. |
| Domain | Рекомендуется | Строка | Домен устройства, на котором произошло событие, без имени узла. |
| DomainType | Рекомендуется | Enumerated | Тип домена. Поддерживаются следующие значения: FQDN и Windows. Это поле является обязательным, если используется поле Domain. |
| FQDN | Необязательно | Строка | Полное доменное имя устройства, включая имя узла и домен. Это поле поддерживает как традиционные форматы FQDN, так и формат domain\hostname в Windows. Поле DomainType отражает используемый формат. |
Пример.
| Поле | Значение для входных данных appserver.contoso.com |
значение для входных данных appserver |
|---|---|---|
| Имя узла | appserver |
appserver |
| Доменная | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| Полное доменное имя. | appserver.contoso.com |
<empty> |
Если значение, предоставленное источником, является полным доменным именем или если значение может быть полным доменным именем либо коротким именем узла, средство синтаксического анализа должно вычислить 4 значения. Используйте вспомогательные функции ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN и _ASIM_ResolveDvcFQDN, чтобы легко задать все четыре поля на основе одного входного значения. Дополнительные сведения см. в разделе о вспомогательные функции ASIM.
Идентификатор устройства и область
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| DvcId | Необязательный | Строка | Уникальный идентификатор устройства. Например: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Необязательно | Строка | Идентификатор область облачной платформы, к которому принадлежит устройство. Область сопоставляет с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| Области | Необязательно | Строка | Облачная платформа область принадлежит устройству. Область сопоставляет с подпиской в Azure и с учетной записью в AWS. |
| DvcIdType | Необязательно | Enumerated | Тип DvcId. Обычно это поле также определяет тип Scope и ScopeId. Это поле является обязательным, если используется поле DvcId. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Необязательно | Строка | Поля, используемые для хранения дополнительных идентификаторов устройств, если исходное событие содержит несколько идентификаторов. Выберите идентификатор, наиболее связанный с событием, в качестве основного идентификатора устройства, сохраняемого в поле DvcId. |
Обратите внимание, что имена полей должны начинаться с префикса роли, например Src или Dst, но не должны содержать второго префикса Dvc, если он используется в этой роли.
Допустимые значения для типа идентификатора устройства:
| Тип | Описание |
|---|---|
| MDEid | Идентификатор системы, назначенный решением Microsoft Defender для конечной точки. |
| AzureResourceId | ИД ресурса Azure. |
| MD4IoTid | Идентификатор ресурса Microsoft Defender для Интернета вещей. |
| VMConnectionId | Идентификатор ресурса решения аналитики виртуальных машин Azure Monitor. |
| AwsVpcId | Идентификатор VPC AWS. |
| VectraId | Назначенный идентификатор ресурса ИИ Vectra. |
| Другое | Тип идентификатора, не указанный выше. |
Например, решение аналитики виртуальных машин Azure Monitor предоставляет сведения о сетевых сеансах в объекте VMConnection. Таблица содержит идентификатор ресурса Azure в поле _ResourceId и идентификатор конкретного устройства аналитики виртуальных машин в поле Machine. Для представления этих идентификаторов используйте следующее сопоставление:
| Поле | С чем сопоставляется |
|---|---|
| DvcId | Поле Machine в таблице VMConnection. |
| DvcIdType | Значение VMConnectionId |
| DvcAzureResourceId | Поле _ResourceId в таблице VMConnection. |
Дополнительные поля устройства
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| IpAddr | Рекомендуется | IP-адрес | IP-адрес устройства. Пример: 45.21.42.12 |
| DvcDescription | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| MacAddr | Необязательно | MAC | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Например, 00:1B:44:11:3A:B7. |
| Зона | Необязательно | Строка | Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. Зона определяется передающим устройством. Пример: Dmz |
| DvcOs | Необязательный | Строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Например, Windows. |
| DvcOsVersion | Необязательный | Строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Например, 10. |
| DvcAction | Необязательно | Строка | Для передающих систем безопасности — действие, предпринимаемое системой (если применимо). Пример: Blocked |
| DvcOriginalAction | Необязательный | Строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| Интерфейс | Необязательно | Строка | Сетевой интерфейс, в котором были фиксируются данные. Это поле обычно относится к сетевой активности, которая фиксируется промежуточным устройством или устройством TAP. |
Обратите внимание, что поля, имена которых в списке содержат префикс Dvc, должны начинаться с префикса роли, например Src или Dst, но не должны содержать второго префикса Dvc, если он используется в этой роли.
Пример сопоставления сущностей
В этом разделе в качестве примера для описания нормализации данных события для Microsoft Sentinel используется событие Windows 4624.
Это событие имеет следующие сущности:
| Терминология Майкрософт | Префикс поля исходного события | Префикс поля ASIM | Описание |
|---|---|---|---|
| Тема | Subject |
Actor |
Пользователь, сообщающий об успешном входе в систему. |
| Новый вход | Target |
TargetUser |
Пользователь, для которого был выполнен вход. |
| Процесс | - | ActingProcess |
Процесс, который попытался выполнить вход. |
| Сведения о сети | - | Src |
Компьютер, с которого была выполнена попытка входа. |
На основе этих сущностей событие Windows 4624 нормализуется следующим образом (некоторые поля являются необязательными):
| Нормализованное поле | Исходное поле | Значение в примере | Примечания |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Создано путем сцепления двух полей |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Псевдоним | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Создано путем сцепления двух полей |
| Имя пользователя | TargetDomainName\ TargetUserName | Псевдоним | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IPAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Компьютер | WIN-GG82ULGC9GO | |
| Имя узла | Компьютер | Псевдоним |
Дальнейшие действия
В этой статье представлены общие сведения о нормализации в Microsoft Sentinel и ASIM.
Дополнительные сведения см. в разделе:
- Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)