Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Vissa fält är gemensamma för alla ASIM-scheman. Varje schema kan lägga till riktlinjer för att använda några av de gemensamma fälten i kontexten för det specifika schemat. Tillåtna värden för fältet EventType kan till exempel variera per schema, liksom värdet för fältet EventSchemaVersion .
Log Analytics-standardfält
Log Analytics genererar i de flesta fall följande fält för varje post. De kan åsidosättas när du skapar en anpassad anslutningsapp.
| Fält | Typ | Diskussion |
|---|---|---|
| TimeGenerated | Datum/tid | Den tid då händelsen genererades av rapporteringsenheten. |
| Typ | Sträng | Den ursprungliga tabellen som posten hämtades från. Det här fältet är användbart när samma händelse kan tas emot via flera kanaler till olika tabeller och har samma EventVendor - och EventProduct-värden . Till exempel kan en Sysmon-händelse samlas in antingen till Event tabellen eller till tabellen WindowsEvent . |
Obs!
Log Analytics lägger även till andra fält som är mindre relevanta för säkerhetsanvändningsfall. Mer information finns i Standardkolumner i Azure Övervaka loggar.
Vanliga ASIM-fält
Följande fält definieras av ASIM för alla scheman:
Händelsefält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventMessage | Valfritt | Sträng | Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten. |
| EventCount | Obligatorisk | Heltal | Antalet händelser som beskrivs av posten. Det här värdet används när källan stöder aggregering, och en post kan representera flera händelser. För andra källor anger du till 1. |
| EventStartTime | Obligatorisk | Datum/tid | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte anges av källposten aliaserar det här fältet fältet TimeGenerated . |
| EventEndTime | Obligatorisk | Datum/tid | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte anges av källposten aliaserar det här fältet fältet TimeGenerated . |
| Eventtype | Obligatorisk | Uppräknade | Beskriver åtgärden som rapporterats av posten. Varje schema dokumenterar listan med värden som är giltiga för det här fältet. Det ursprungliga källspecifika värdet lagras i fältet EventOriginalType . |
| EventSubType | Valfritt | Uppräknade | Beskriver en indelning av åtgärden som rapporteras i fältet EventType . Varje schema dokumenterar listan med värden som är giltiga för det här fältet. Det ursprungliga källspecifika värdet lagras i fältet EventOriginalSubType . |
| EventResult | Obligatorisk | Uppräknade | Ett av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Alternativt kan källan endast tillhandahålla fältet EventResultDetails , som ska analyseras för att härleda EventResult-värdet. Exempel: Success |
| EventResultDetails | Rekommenderas | Uppräknade | Orsak eller information för resultatet som rapporteras i fältet EventResult . Varje schema dokumenterar listan med värden som är giltiga för det här fältet. Det ursprungliga källspecifika värdet lagras i fältet EventOriginalResultDetails . Exempel: NXDOMAIN |
| EventUid | Rekommenderas | Sträng | Postens unika ID, som tilldelats av Microsoft Sentinel. Det här fältet mappas vanligtvis till Log _ItemId Analytics-fältet. |
| EventOriginalUid | Valfritt | Sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. Exempel: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Valfritt | Sträng | Den ursprungliga händelsetypen eller ID:t om det tillhandahålls av källan. Det här fältet används till exempel för att lagra det ursprungliga Windows-händelse-ID:t. Det här värdet används för att härleda EventType, som endast ska ha ett av de värden som dokumenteras för varje schema. Exempel: 4624 |
| EventOriginalSubType | Valfritt | Sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra den ursprungliga Windows-inloggningstypen. Det här värdet används för att härleda EventSubType, som endast ska ha ett av de värden som dokumenteras för varje schema. Exempel: 2 |
| EventOriginalResultDetails | Valfritt | Sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. Det här värdet används för att härleda EventResultDetails, som endast ska ha ett av de värden som dokumenteras för varje schema. |
| EventSeverity | Rekommenderas | Uppräknade | Händelsens allvarlighetsgrad. Giltiga värden är: Informational, Low, Mediumeller High. |
| EventOriginalSeverity | Valfritt | Sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| EventProduct | Obligatorisk | Sträng | Den produkt som genererar händelsen. Värdet ska vara ett av de värden som anges i Leverantörer och Produkter. Exempel: Sysmon |
| EventProductVersion | Valfritt | Sträng | Den version av produkten som genererar händelsen. Exempel: 12.1 |
| EventVendor | Obligatorisk | Sträng | Leverantören av produkten som genererar händelsen. Värdet ska vara ett av de värden som anges i Leverantörer och Produkter. Exempel: Microsoft |
| EventSchema | Obligatorisk | Uppräknade | Schemat som händelsen normaliseras till. Varje schema dokumenterar sitt schemanamn. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Varje schema dokumenterar sin aktuella version. |
| EventReportUrl | Valfritt | URL (sträng) | En URL som anges i händelsen för en resurs som innehåller mer information om händelsen. |
| EventOwner | Valfritt | Sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
Enhetsfält
Enhetsfältens roll skiljer sig åt för olika scheman och händelsetyper. Till exempel:
- För nätverkssessionshändelser innehåller enhetsfält vanligtvis information om enheten som genererade händelsen
- För processhändelser innehåller enhetsfälten information om enheten på vilken processen körs.
Varje schemadokument anger enhetens roll för schemat.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dvc | Alias | Sträng | En unik identifierare för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Det här fältet kan vara alias för fälten DvcFQDN, DvcId, DvcHostname eller DvcIpAddr . För molnkällor, för vilka det inte finns någon uppenbar enhet, använder du samma värde som fältet Händelseprodukt . |
| DvcIpAddr | Rekommenderas | IP-adress | IP-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: 45.21.42.12 |
| DvcHostname | Rekommenderas | Hostname | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: ContosoDc |
| DvcDomain | Rekommenderas | Domän (sträng) | Domänen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: Contoso |
| DvcDomainType | Villkorsstyrd | Uppräknade | Typ av DvcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType. Obs! Det här fältet krävs om fältet DvcDomain används. |
| DvcFQDN | Valfritt | FQDN (sträng) | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: Contoso\DESKTOP-1282V4DObs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. Fältet DvcDomainType återspeglar det format som används. |
| DvcDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
| DvcId | Valfritt | Sträng | Det unika ID:t för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: 41502da5-21b7-48ec-81c9-baeea8d7d669Om flera ID:er är tillgängliga använder du det första från listan och lagrar de andra med hjälp av fältnamnen DvcAzureResourceId, DvcMDEid osv. |
| DvcIdType | Villkorsstyrd | Uppräknade | Typ av DvcId. Listan över tillåtna värden är AzureResourceId, MDEid, MD4IoTid, VMConnectionId, AwsVpcId, VectraId, AppGateId, FQDN, och Other. Att använda FQDN som ett enhets-ID innebär att värdnamnet återanvänds. Använd den bara som en sista utväg.Obs! Det här fältet krävs om fältet DvcId används. |
| DvcMacAddr | Valfritt | MAC-adress | MAC-adressen för enheten där händelsen inträffade eller som rapporterade händelsen. Exempel: 00:1B:44:11:3A:B7 |
| DvcZone | Valfritt | Sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Zonen definieras av rapporteringsenheten. Exempel: Dmz |
| DvcOs | Valfritt | Sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: Windows |
| DvcOsVersion | Valfritt | Sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: 10 |
| DvcAction | Valfritt | Sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet, om tillämpligt. Exempel: Blocked |
| DvcOriginalAction | Valfritt | Sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcInterface | Valfritt | Sträng | Nätverksgränssnittet där data hämtades. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet, som samlas in av en mellanliggande enhet eller tryckenhet. |
| DvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| DvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
Andra fält
Schemauppdateringar
- Fältet
EventOwnerlades till i de gemensamma fälten den 1 december 2022 och därför till alla scheman. - Fältet
EventUidlades till i de gemensamma fälten den 26 december 2022 och därför till alla scheman.
Leverantörer och produkter
För att upprätthålla konsekvensen anges listan över tillåtna leverantörer och produkter som en del av ASIM och kan inte direkt motsvara det värde som skickas av källan när det är tillgängligt.
Listan över leverantörer och produkter som för närvarande stöds i fälten EventVendor respektive EventProduct är:
| Leverantör | Produkter |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Om du utvecklar en parser för en leverantör eller produkt som inte finns med här kontaktar du Microsoft Sentinel-teamet för att allokera nya tillåtna leverantörs- och produktbeskrivningar.
Nästa steg
Mer information finns i: