Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Некоторые поля являются общими для всех схем ASIM. Каждая схема может добавить рекомендации по использованию некоторых общих полей в контексте конкретной схемы. Например, допустимые значения для поля EventType могут отличаться в зависимости от схемы, как и значение поля EventSchemaVersion .
Standard поля Log Analytics
Log Analytics в большинстве случаев создает следующие поля для каждой записи. Их можно переопределить при создании пользовательского соединителя.
| Поле | Тип | Обсуждение |
|---|---|---|
| TimeGenerated | Дата и время | Время создания события устройством отчетности. |
| Type | String | Исходная таблица, из которой была получена запись. Это поле полезно, если одно и то же событие может быть получено по нескольким каналам в разных таблицах и имеет одинаковые значения EventVendor и EventProduct . Например, событие Sysmon может быть собрано либо в таблицу Event , либо в таблицу WindowsEvent . |
Примечание.
Log Analytics также добавляет другие поля, которые менее важны для вариантов использования безопасности. Дополнительные сведения см. в разделе Standard столбцов в журналах мониторинга Azure.
Общие поля ASIM
Следующие поля определяются ASIM для всех схем:
Поля событий
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventMessage | Необязательный | String | Общее сообщение или описание, включенные в запись или созданные из нее. |
| EventCount | Обязательный | Integer | Количество событий, описанных записью. Это значение используется, если источник поддерживает агрегирование, а одна запись может представлять несколько событий. Для других источников задайте значение 1. |
| EventStartTime | Обязательный | Дата и время | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, то время создания первого события. Если это не указано исходной записью, это поле псевдонимирует поле TimeGenerated . |
| EventEndTime | Обязательный | Дата и время | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, время создания последнего события. Если это не указано исходной записью, это поле псевдонимирует поле TimeGenerated . |
| Eventtype | Обязательный | Перечисленных | Описывает операцию, сообщаемую записью. Каждая схема документирует список значений, допустимых для этого поля. Исходное значение хранится в поле EventOriginalType . |
| EventSubType | Необязательный | Перечисленных | Описывает подразделение операции, сообщаемой в поле EventType . Каждая схема документирует список значений, допустимых для этого поля. Исходное значение, зависящее от источника, хранится в поле EventOriginalSubType . |
| EventResult | Обязательный | Перечисленных | Одно из следующих значений: Success, Partial, Failure, NA (not applicable). Значение может быть предоставлено в исходной записи с помощью разных терминов, которые должны быть нормализованы для этих значений. Кроме того, источник может предоставить только поле EventResultDetails , которое необходимо проанализировать для получения значения EventResult. Пример: Success |
| EventResultDetails | Рекомендуемый | Перечисленных | Причина или сведения о результатах, указанных в поле EventResult . Каждая схема документирует список значений, допустимых для этого поля. Исходное значение хранится в поле EventOriginalResultDetails . Пример: NXDOMAIN |
| EventUid | Рекомендуемый | String | Уникальный идентификатор записи, назначенный Microsoft Sentinel. Это поле обычно сопоставляется с полем _ItemId Log Analytics. |
| EventOriginalUid | Необязательный | String | Уникальный идентификатор исходной записи, если он предоставлен источником. Пример: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Необязательный | String | Исходный тип события или идентификатор, если он предоставлен источником. Например, это поле используется для хранения исходного идентификатора события Windows. Это значение используется для производного объекта EventType, который должен иметь только одно из значений, задокументированных для каждой схемы. Пример: 4624 |
| EventOriginalSubType | Необязательный | String | Исходный подтип или идентификатор события, если он указан источником. Например, это поле используется для хранения исходного типа входа Windows. Это значение используется для производного объекта EventSubType, который должен иметь только одно из значений, задокументированных для каждой схемы. Пример: 2 |
| EventOriginalResultDetails | Необязательный | String | Сведения об исходном результате, предоставленные источником. Это значение используется для получения eventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventSeverity | Рекомендуемый | Перечисленных | Серьезность события. Допустимые значения: Informational, Low, Mediumили High. |
| EventOriginalSeverity | Необязательный | String | Исходная серьезность, предоставляемая устройством отчетности. Это значение используется для получения EventSeverity. |
| EventProduct | Обязательный | String | Продукт, создающий событие. Значение должно быть одним из значений, перечисленных в разделе Поставщики и продукты. Пример: Sysmon |
| EventProductVersion | Необязательный | String | Версия продукта, создающего событие. Пример: 12.1 |
| EventVendor | Обязательный | String | Поставщик продукта, создающего событие. Значение должно быть одним из значений, перечисленных в разделе Поставщики и продукты. Пример: Microsoft |
| EventSchema | Обязательный | Перечисленных | Схема, в который нормализуется событие. Каждая схема документирует свое имя схемы. |
| EventSchemaVersion | Обязательный | SchemaVersion (String) | Версия схемы. Каждая схема документирует свою текущую версию. |
| EventReportUrl | Необязательный | URL-адрес (строка) | URL-адрес, указанный в событии для ресурса, предоставляющего дополнительные сведения о событии. |
| EventOwner | Необязательный | String | Владелец события, который обычно является отделом или дочерним подразделением, в котором оно было создано. |
Поля устройства
Роль полей устройства отличается для различных схем и типов событий. Например, вы можете:
- Для событий сетевого сеанса поля устройства обычно содержат сведения об устройстве, которое создало событие.
- Для событий Процесса поля устройства содержат сведения об устройстве, на которое выполняется процесс.
В каждом документе схемы указывается роль устройства для схемы.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Dvc | Alias | String | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии в зависимости от схемы. Это поле может быть псевдонимом полей DvcFQDN, DvcId, DvcHostname или DvcIpAddr . Для облачных источников, для которых нет видимого устройства, используйте то же значение, что и поле Продукт события . |
| DvcIpAddr | Рекомендуемый | IP-адрес | IP-адрес устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: 45.21.42.12 |
| DvcHostname | Рекомендуемый | Hostname (Имя узла) | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: ContosoDc |
| DvcDomain | Рекомендуемый | Домен (строка) | Домен устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: Contoso |
| DvcDomainType | Условного | Перечисленных | Тип DvcDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType. Примечание. Это поле является обязательным, если используется поле DvcDomain . |
| DvcFQDN | Необязательный | Полное доменное имя (строка) | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: Contoso\DESKTOP-1282V4DПримечание. Это поле поддерживает как традиционный формат полного доменного имени, так и формат домен\имя узла Windows. Поле DvcDomainType отражает используемый формат. |
| DvcDescription | Необязательный | String | Описательный текст, связанный с устройством. Пример: Primary Domain Controller. |
| DvcId | Необязательный | String | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: 41502da5-21b7-48ec-81c9-baeea8d7d669Если доступно несколько идентификаторов, используйте первый из списка, а остальные сохраните с помощью имен полей DvcAzureResourceId, DvcMDEid и т. д. |
| DvcIdType | Условного | Перечисленных | Тип DvcId. Список допустимых значений: AzureResourceId, MDEid, MD4IoTid, VMConnectionId, AwsVpcId, VectraId, AppGateId, FQDNи Other. Использование FQDN в качестве идентификатора устройства подразумевает повторное использование имени узла. Используйте его только в крайнем случае.Примечание. Это поле является обязательным, если используется поле DvcId . |
| DvcMacAddr | Необязательный | MAC-адрес | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Пример: 00:1B:44:11:3A:B7 |
| DvcZone | Необязательный | String | Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. Зона определяется устройством отчетности. Пример: Dmz |
| DvcOs | Необязательный | String | Операционная система, запущенная на устройстве, на котором произошло событие или которое сообщило о событии. Пример: Windows |
| DvcOsVersion | Необязательный | String | Версия операционной системы на устройстве, на котором произошло событие или которое сообщило о событии. Пример: 10 |
| DvcAction | Необязательный | String | Для создания отчетов о системах безопасности — действия, выполняемые системой, если применимо. Пример: Blocked |
| DvcOriginalAction | Необязательный | String | Исходный объект DvcAction , предоставленный устройством отчетов. |
| DvcInterface | Необязательный | String | Сетевой интерфейс, в котором были записаны данные. Это поле обычно относится к действиям, связанным с сетью, которые фиксируются промежуточным устройством или устройством касания. |
| DvcScopeId | Необязательный | String | Идентификатор область облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки на Azure и идентификатор учетной записи в AWS. |
| DvcScope | Необязательный | String | Облачная платформа область, к которой принадлежит устройство. Сопоставление DvcScope с идентификатором подписки на Azure и идентификатором учетной записи в AWS. |
Другие поля
Обновления схемы
- Поле
EventOwnerбыло добавлено к общим полям 1 декабря 2022 г., и, следовательно, ко всем схемам. - Поле
EventUidбыло добавлено к общим полям 26 декабря 2022 г., и, следовательно, ко всем схемам.
Поставщики и продукты
Чтобы обеспечить согласованность, список разрешенных поставщиков и продуктов устанавливается как часть ASIM и может не соответствовать напрямую значению, отправленному источником, если они доступны.
В настоящее время поддерживаемый список поставщиков и продуктов, используемых в полях EventVendor и EventProduct соответственно:
| Поставщик | Продукты |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
— Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Если вы разрабатываете средство синтаксического анализа для поставщика или продукта, не указанного здесь, обратитесь к команде Microsoft Sentinel, чтобы выделить новых разрешенных поставщиков и разработчиков продуктов.
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.
- Просмотрите вебинар ASIM или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)