Den vanliga schemafältreferensen för Advanced Security Information Model (ASIM) (förhandsversion)

  • Artikel

Vissa fält är gemensamma för alla ASIM-scheman. Varje schema kan lägga till riktlinjer för att använda några av de vanliga fälten i kontexten för det specifika schemat. Till exempel kan tillåtna värden för fältet EventType variera per schema, liksom värdet för fältet EventSchemaVersion .

Standard log analytics-fält

Följande fält genereras av Log Analytics, i de flesta fall, för varje post. De kan åsidosättas när du skapar en anpassad anslutningsapp.

Fält Type Diskussion
TimeGenerated datetime Den tid då händelsen genererades av rapporteringsenheten.
Typ String Den ursprungliga tabellen som posten hämtades från. Det här fältet är användbart när samma händelse kan tas emot via flera kanaler till olika tabeller och har samma EventVendor - och EventProduct-värden .

Till exempel kan en Sysmon-händelse samlas in antingen till Event tabellen eller till WindowsEvent tabellen.

Kommentar

Log Analytics lägger också till andra fält som är mindre relevanta för säkerhetsanvändningsfall. Mer information finns i Standardkolumner i Azure Monitor-loggar.

Vanliga ASIM-fält

Följande fält definieras av ASIM för alla scheman:

Händelsefält

Fält Klass Typ Description
EventMessage Valfri String Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten.
EventCount Obligatorisk Heltal Antalet händelser som beskrivs av posten.

Det här värdet används när källan stöder aggregering, och en enskild post kan representera flera händelser.

För andra källor anger du till 1.
EventStartTime Obligatorisk Datum/tid Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated .
EventEndTime Obligatorisk Datum/tid Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated .
Eventtype Obligatorisk Enumerated Beskriver den åtgärd som rapporterats av posten. Varje schema dokumenterar listan med värden som är giltiga för det här fältet. Det ursprungliga, källspecifika värdet lagras i fältet EventOriginalType .
EventSubType Valfri Enumerated Beskriver en indelning av åtgärden som rapporteras i fältet EventType . Varje schema dokumenterar listan med värden som är giltiga för det här fältet. Det ursprungliga, källspecifika värdet lagras i fältet EventOriginalSubType .
EventResult Obligatorisk Enumerated Ett av följande värden: Success, Partial, Failure, NA (Not Applicable).

Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Alternativt kan källan endast tillhandahålla fältet EventResultDetails, som ska analyseras för att härleda EventResult-värdet.

Exempel: Success
EventResultDetails Rekommenderat Enumerated Orsak eller information för resultatet som rapporteras i fältet EventResult . Varje schema dokumenterar listan med värden som är giltiga för det här fältet. Det ursprungliga källspecifika värdet lagras i fältet EventOriginalResultDetails .

Exempel: NXDOMAIN
EventUid Rekommenderat String Postens unika ID, som tilldelats av Microsoft Sentinel. Det här fältet mappas vanligtvis till Log _ItemId Analytics-fältet.
EventOriginalUid Valfri String Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan.

Exempel: 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType Valfri String Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra det ursprungliga Windows-händelse-ID:t. Det här värdet används för att härleda EventType, som bara ska ha ett av de värden som dokumenteras för varje schema.

Exempel: 4624
EventOriginalSubType Valfri String Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra den ursprungliga Windows-inloggningstypen. Det här värdet används för att härleda EventSubType, som bara ska ha ett av de värden som dokumenteras för varje schema.

Exempel: 2
EventOriginalResultDetails Valfri String Den ursprungliga resultatinformationen som tillhandahålls av källan. Det här värdet används för att härleda EventResultDetails, som bara ska ha ett av de värden som dokumenteras för varje schema.
EventSeverity Rekommenderat Enumerated Händelsens allvarlighetsgrad. Giltiga värden är: Informational, Low, Mediumeller High.
EventOriginalSeverity Valfri String Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity.
EventProduct Obligatorisk String Produkten som genererar händelsen. Värdet bör vara ett av de värden som anges i Leverantörer och produkter.

Exempel: Sysmon
EventProductVersion Valfri String Den version av produkten som genererar händelsen.

Exempel: 12.1
EventVendor Obligatorisk String Leverantören av produkten som genererar händelsen. Värdet bör vara ett av de värden som anges i Leverantörer och produkter.

Exempel: Microsoft

EventSchema Obligatorisk String Schemat som händelsen normaliseras till. Varje schema dokumenterar sitt schemanamn.
EventSchemaVersion Obligatorisk String Versionen av schemat. Varje schema dokumenterar sin aktuella version.
EventReportUrl Valfri String En URL som anges i händelsen för en resurs som ger mer information om händelsen.
EventOwner Valfri String Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades.

Enhetsfält

Enhetsfältens roll skiljer sig åt för olika scheman och händelsetyper. Till exempel:

  • För nätverkssessionshändelser innehåller enhetsfält vanligtvis information om enheten som genererade händelsen
  • För processhändelser innehåller enhetsfälten information om enheten om att processen körs.

Varje schemadokument anger enhetens roll för schemat.

Fält Klass Typ Description
Dvc Alias String En unik identifierare för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat.

Det här fältet kan vara alias för fälten DvcFQDN, DvcId, DvcHostname eller DvcIpAddr. För molnkällor, för vilka det inte finns någon uppenbar enhet, använder du samma värde som fältet Händelseprodukt .
DvcIpAddr Rekommenderat IP-adress IP-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat.

Exempel: 45.21.42.12
DvcHostname Rekommenderat Värdnamn Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat.

Exempel: ContosoDc
DvcDomain Rekommenderat String Domänen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat.

Exempel: Contoso
DvcDomainType Villkorsstyrd Enumerated Typ av DvcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType.

Obs! Det här fältet krävs om fältet DvcDomain används.
DvcFQDN Valfri String Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat.

Exempel: Contoso\DESKTOP-1282V4D

Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet DvcDomainType återspeglar det format som används.
DvcDescription Valfri String En beskrivande text som är associerad med enheten. Exempel: Primary Domain Controller.
DvcId Valfri String Det unika ID för enheten där händelsen inträffade eller som rapporterade händelsen, beroende på schemat.

Exempel: 41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType Villkorsstyrd Enumerated Typ av DvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType.
- MDEid

Om flera ID:er är tillgängliga använder du det första från listan och lagrar de andra med hjälp av fältnamnen DvcAzureResourceIdrespektive DvcMDEid.

Obs! Det här fältet krävs om fältet DvcId används.
DvcMacAddr Valfri MAC MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen.

Exempel: 00:1B:44:11:3A:B7
DvcZone Valfri String Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Zonen definieras av rapporteringsenheten.

Exempel: Dmz
DvcOs Valfri String Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen.

Exempel: Windows
DvcOsVersion Valfri String Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen.

Exempel: 10
DvcAction Rekommenderat String För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet, om tillämpligt.

Exempel: Blocked
DvcOriginalAction Valfri String Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten.
DvcInterface Valfri String Nätverksgränssnittet som data har avbildats på. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet, som fångas upp av en mellanliggande enhet eller en tryckenhet.
DvcScopeId Valfri String Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS.
DvcScope Valfri String Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS.

Andra fält

Fält Klass Typ Description
AdditionalFields Valfri Dynamisk Om källan ger ytterligare information som är värd att bevara behåller du den med de ursprungliga fältnamnen eller skapar det dynamiska fältet AdditionalFields och lägger till den extra informationen som nyckel/värde-par.
ASimMatchingIpAddr Rekommenderat String När en parser använder ipaddr_has_any_prefix filtreringsparametrarna anges det här fältet med ett av värdena SrcIpAddr, DstIpAddreller Both för att återspegla matchande fält eller fält.
ASimMatchingHostname Rekommenderat String När en parser använder hostname_has_any filtreringsparametrarna anges det här fältet med ett av värdena SrcHostname, DstHostnameeller Both för att återspegla matchande fält eller fält.

Schemauppdateringar

  • Fältet EventOwner har lagts till i de gemensamma fälten den 1 december 2022 och därför till alla scheman.
  • Fältet EventUid har lagts till i de gemensamma fälten den 26 december 2022 och därför till alla scheman.

Leverantörer och produkter

För att upprätthålla konsekvens anges listan över tillåtna leverantörer och produkter som en del av ASIM och kan inte direkt motsvara det värde som skickas av källan när det är tillgängligt.

Den lista över leverantörer och produkter som används i fälten EventVendor respektive EventProduct är:

Vendor Produkter
AWS - CloudTrail
- VPC
Cisco - ASA
- Umbrella
- IOS
- Meraki
Corelight Zeek
Cynerio Cynerio
Dataminr Dataminr Pulse
GCP Cloud DNS
Infoblox NIOS
Microsoft – Microsoft Entra-ID
- Azure
- Azure Firewall
- Azure Blob Storage
- Azure File Storage
- Azure NSG flows
- Azure Queue Storage
- Azure Table Storage
- DNS Server
- Microsoft Defender XDR for Endpoint
- Microsoft Defender for IoT
- Security Events
- SharePoint
- OneDrive
- Sysmon
- Sysmon for Linux
- VMConnection
- Windows Firewall
- WireData
Linux - su
- sudo
Okta - Okta
- Auth0
OpenBSD OpenSSH
Palo Alto - PanOS
- CDL
PostgreSQL PostgreSQL
Squid Squid Proxy
Vectra AI Vectra Steam
WatchGuard Fireware
Zscaler - ZIA DNS
- ZIA Firewall
- ZIA Proxy

Om du utvecklar en parser för en leverantör eller en produkt som inte finns med här kontaktar du Microsoft Sentinel-teamet för att allokera en ny tillåten leverantör och produktnamn.

Nästa steg

Mer information finns i: