Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Некоторые поля являются общими для всех схем ASIM. Каждая схема может добавлять рекомендации по использованию некоторых общих полей в контексте конкретной схемы. Например, разрешенные значения для поля EventType могут различаться в зависимости от схемы, как и значение поля EventSchemaVersion.
Стандартные поля Log Analytics
В большинстве случаев служба Log Analytics генерирует следующие поля для каждой записи, но вы можете переопределить их при создании пользовательского соединителя.
| Поле | Тип | Обсуждение |
|---|---|---|
| TimeGenerated | Дата и время | Время, когда событие было сгенерировано устройством, передающим информацию. |
| Тип | Строка | Исходная таблица, из которой была получена запись. Это поле полезно, когда одно и то же событие может быть получено по нескольким каналам в разные таблицы и имеет одинаковые значения EventVendor и EventProduct. Например, событие Sysmon можно собирать в таблицу Event или WindowsEvent. |
Примечание.
Также Log Analytics добавляет дополнительные поля, менее важные для вариантов использования в рамках безопасности. Дополнительные сведения см. в статье Стандартные столбцы в журналах Azure Monitor.
Общие поля ASIM
Следующие поля определяются ASIM для всех схем:
Поля событий
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventMessage (EventMessage) | Необязательно | Строка | Общее сообщение или описание, включенное в запись либо созданное на ее основе. |
| EventCount (Количество событий) | Обязательно | Целое | Количество событий, описываемых записью. Это значение используется, когда источник поддерживает агрегирование, и одна запись может представлять несколько событий. Для остальных источников задается значение 1. |
| EventStartTime (Время начала) | Обязательно | Дата/время | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventEndTime (Время окончания события) | Обязательно | Дата/время | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| Тип события | Обязательно | Перечислено | Описывает операцию, о которой сообщает эта запись. В каждой схеме документируется список значений, допустимых для этого поля. Исходное, связанное с источником значение, хранится в поле EventOriginalType. |
| Подтип события | Необязательно | Перечислено | Описывает подразделение операции, записанной в поле EventType. В каждой схеме документируется список значений, допустимых для этого поля. Исходное, связанное с источником значение, хранится в поле EventOriginalSubType. |
| EventResult (EventResult) | Обязательно | Перечислено | Одно из следующих значений: Success (Успех), Partial (Частичный успех), Failure (Сбой), NA (неприменимо). Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Также источник может предоставлять значение только для поля EventResultDetails, которое следует отдельно анализировать для получения значения EventResult. Пример: Success |
| EventResultDetails (ПодробнееEventResultDetails) | Рекомендуемая конфигурация | Перечислено | Причина или подробные сведения для результата, полученного в поле EventResult. В каждой схеме документируется список значений, допустимых для этого поля. Исходное, связанное с источником значение, хранится в поле EventOriginalResultDetails. Пример: NXDOMAIN |
| EventUid | Рекомендуемая конфигурация | Строка | Уникальный идентификатор записи, назначенный Microsoft Sentinel. Обычно это поле сопоставляется с полем _ItemId Log Analytics. |
| EventOriginalUid | Необязательно | Строка | Уникальный идентификатор исходной записи, если он указан источником. Пример: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType (Тип события) | Необязательно | Строка | Исходный идентификатор или тип события, если он указан источником. Например, это поле используется для хранения исходного идентификатора события Windows. Это значение используется для получения значения EventType, которое должно иметь только одно из значений, задокументированных для каждой схемы. Пример: 4624 |
| EventOriginalSubType (Исходный подтип события) | Необязательно | Строка | Исходный идентификатор или подтип события, если предоставлен источником. Например, это поле используется для хранения исходного типа входа в Систему Windows. Это значение используется для получения значения EventSubType, которое должно иметь только одно из значений, задокументированных для каждой схемы. Пример: 2 |
| EventOriginalResultDetails (ИсходныйРезультатПодробности) | Необязательно | Строка | Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| Серьезность события | Рекомендуемая конфигурация | Перечислено | Серьезность события. Допустимые значения: Informational, Low, Medium или High. |
| СобытиеОригиналСерьёзность | Необязательно | Строка | Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
| EventProduct | Обязательно | Строка | Продукт, создающий событие. Значение должно быть одним из значений, перечисленных в списке Поставщики и продукты. Пример: Sysmon |
| EventProductVersion (ВерсияEventProductVersion) | Необязательно | Строка | Версия продукта, создающего событие. Пример: 12.1 |
| EventVendor | Обязательно | Строка | Поставщик продукта, создающего событие. Значение должно быть одним из значений, перечисленных в списке Поставщики и продукты. Пример: Microsoft |
| EventSchema (Схема событий) | Обязательно | Перечислено | Схема, в которую было нормализовано событие. Каждая схема документирует имя схемы. |
| EventSchemaVersion (Версия EventSchemaVersion) | Обязательно | SchemaVersion (String) | Номер версии схемы. В каждой схеме документируется ее текущая версия. |
| EventReportUrl (Ссылка на EventReportUrl) | Необязательно | URL (строка) | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| Владелец мероприятия | Необязательно | Строка | Владелец события, который обычно является отделом или дочерней компанией, в которой она была создана. |
Поля устройства
Роль полей устройства отличается для различных схем и типов событий. Например:
- Для событий сеанса сети поля устройства обычно предоставляют сведения об устройстве, которое создало событие.
- Для событий процесса поля устройства предоставляют сведения на устройстве, на которое выполняется процесс.
Каждый документ схемы определяет роль устройства для схемы.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ДВК | Псевдоним | Строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Это поле может быть псевдонимом полей DvcFQDN, DvcId, DvcHostname или DvcIpAddr. Для облачных источников, если событие не связано с конкретным устройством, указывайте то же значение, что и в поле Event Product. |
| DvcIpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: 45.21.42.12 |
| DvcИмя_хоста | Рекомендуемая конфигурация | Hostname (Имя узла) | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: ContosoDc |
| DvcДомен | Рекомендуемая конфигурация | Домен (строка) | Домен устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: Contoso |
| DvcDomainType | Условный | Перечислено | Тип DvcDomain. Список разрешенных значений и дополнительных сведений см. в domainType. Примечание. Это поле является обязательным, если используется поле DvcDomain. |
| DvcFQDN | Необязательно | Полное доменное имя (строка) | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: Contoso\DESKTOP-1282V4DПримечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле DvcDomainType отражает используемый формат. |
| DvcОписание | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| DvcId | Необязательно | Строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. Пример: 41502da5-21b7-48ec-81c9-baeea8d7d669Если доступны несколько идентификаторов, используйте первый из списка и сохраните их с помощью имен полей DvcAzureResourceId, DvcMDEid и т. д. |
| DvcIdType | Условный | Перечислено | Тип DvcId. Список разрешенных значений : AzureResourceId, MDEid, MD4IoTidVMConnectionIdAwsVpcId, VectraId, , AppGateIdFQDNи .Other Использование FQDN в качестве идентификатора устройства подразумевает повторное использование имени узла. Используйте его только в качестве последнего средства.Примечание. Это поле является обязательным, если используется поле DvcId. |
| DvcMacAddr | Необязательно | MAC-адрес | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Пример: 00:1B:44:11:3A:B7 |
| Зона DvcZone | Необязательно | Строка | Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. Зона определяется передающим устройством. Пример: Dmz |
| DvcO | Необязательно | Строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Пример: Windows |
| Версия DvcOsVersion | Необязательно | Строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Пример: 10 |
| DvcAction | Необязательно | Строка | Для передающих систем безопасности — действие, предпринимаемое системой (если применимо). Пример: Blocked |
| DvcOriginalAction | Необязательно | Строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| Интерфейс Dvc | Необязательно | Строка | Сетевой интерфейс, в котором были фиксируются данные. Обычно это поле относится к активности, связанной с сетью, которая фиксируется промежуточным или касанием устройства. |
| DvcScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| Скоп DvcScope | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. DvcScope сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
Другие поля
Обновления схемы
- Поле
EventOwnerбыло добавлено в общие поля 1 декабря 2022 г. и, следовательно, ко всем схемам. - Поле
EventUidбыло добавлено в общие поля 26 декабря 2022 г. и, следовательно, ко всем схемам.
Поставщики и продукты
Для обеспечения согласованности список разрешенных поставщиков и продуктов устанавливается как часть ASIM и может непосредственно не соответствовать значению, отправленному источником (если это применимо).
Сейчас поддерживается список поставщиков и продуктов, используемых в полях EventVendor и EventProduct соответственно:
| Поставщик | Продукты |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
— Идентификатор Microsoft Entra - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linu x- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Если вы разрабатываете средство синтаксического анализа для поставщика или продукта, не указанного здесь, обратитесь к команде Microsoft Sentinel , чтобы назначить новые разрешенные обозначения поставщиков и продуктов.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)