Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Vissa fält är gemensamma för alla ASIM-scheman. Varje schema kan lägga till riktlinjer för att använda några av de vanliga fälten i kontexten för det specifika schemat. Till exempel kan tillåtna värden för fältet EventType variera per schema, liksom värdet för fältet EventSchemaVersion .
Standard log analytics-fält
Följande fält genereras av Log Analytics, i de flesta fall, för varje post. De kan åsidosättas när du skapar en anpassad anslutningsapp.
| Fält | Typ | Diskussion |
|---|---|---|
| Tidsgenererad | Datum/tid | Den tid då händelsen genererades av rapporteringsenheten. |
| Typ | Sträng | Den ursprungliga tabellen som posten hämtades från. Det här fältet är användbart när samma händelse kan tas emot via flera kanaler till olika tabeller och har samma EventVendor - och EventProduct-värden . Till exempel kan en Sysmon-händelse samlas in antingen till Event tabellen eller till WindowsEvent tabellen. |
Kommentar
Log Analytics lägger också till andra fält som är mindre relevanta för säkerhetsanvändningsfall. Mer information finns i Standardkolumner i Azure Monitor-loggar.
Vanliga ASIM-fält
Följande fält definieras av ASIM för alla scheman:
Händelsefält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Händelsemeddelande | Valfritt | Sträng | Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten. |
| Antal händelser | Obligatorisk | Heltal | Antalet händelser som beskrivs av posten. Det här värdet används när källan stöder aggregering, och en enskild post kan representera flera händelser. För andra källor anger du till 1. |
| EventStartTime (på engelska) | Obligatorisk | Datum/tid | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated . |
| EventEndTime (på engelska) | Obligatorisk | Datum/tid | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated . |
| Händelsetyp | Obligatorisk | Uppräknad | Beskriver den åtgärd som rapporterats av posten. Varje schema dokumenterar listan med värden som är giltiga för det här fältet. Det ursprungliga, källspecifika värdet lagras i fältet EventOriginalType . |
| Händelseundertyp | Valfritt | Uppräknad | Beskriver en indelning av åtgärden som rapporteras i fältet EventType . Varje schema dokumenterar listan med värden som är giltiga för det här fältet. Det ursprungliga, källspecifika värdet lagras i fältet EventOriginalSubType . |
| Händelseresultat | Obligatorisk | Uppräknad | Ett av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Alternativt kan källan endast tillhandahålla fältet EventResultDetails, som ska analyseras för att härleda EventResult-värdet. Exempel: Success |
| EventResultDetails (på engelska) | Rekommenderat | Uppräknad | Orsak eller information för resultatet som rapporteras i fältet EventResult . Varje schema dokumenterar listan med värden som är giltiga för det här fältet. Det ursprungliga källspecifika värdet lagras i fältet EventOriginalResultDetails . Exempel: NXDOMAIN |
| EventUid (på engelska) | Rekommenderat | Sträng | Postens unika ID, som tilldelats av Microsoft Sentinel. Det här fältet mappas vanligtvis till Log _ItemId Analytics-fältet. |
| HändelseOriginalUid | Valfritt | Sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. Exempel: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| HändelseOriginalType | Valfritt | Sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra det ursprungliga Windows-händelse-ID:t. Det här värdet används för att härleda EventType, som bara ska ha ett av de värden som dokumenteras för varje schema. Exempel: 4624 |
| HändelseOriginalSubType | Valfritt | Sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra den ursprungliga Windows-inloggningstypen. Det här värdet används för att härleda EventSubType, som bara ska ha ett av de värden som dokumenteras för varje schema. Exempel: 2 |
| EventOriginalResultDetaljer | Valfritt | Sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. Det här värdet används för att härleda EventResultDetails, som bara ska ha ett av de värden som dokumenteras för varje schema. |
| Händelsens allvarlighetsgrad | Rekommenderat | Uppräknad | Händelsens allvarlighetsgrad. Giltiga värden är: Informational, Low, Mediumeller High. |
| HändelseOriginalSeverity (HändelseOriginalAllvarlighetsgrad) | Valfritt | Sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| EvenemangProdukt | Obligatorisk | Sträng | Produkten som genererar händelsen. Värdet bör vara ett av de värden som anges i Leverantörer och produkter. Exempel: Sysmon |
| EventProductVersion (på engelska) | Valfritt | Sträng | Den version av produkten som genererar händelsen. Exempel: 12.1 |
| EventVendor (på engelska) | Obligatorisk | Sträng | Leverantören av produkten som genererar händelsen. Värdet bör vara ett av de värden som anges i Leverantörer och produkter. Exempel: Microsoft |
| EventSchema (på engelska) | Obligatorisk | Uppräknad | Schemat som händelsen normaliseras till. Varje schema dokumenterar sitt schemanamn. |
| EventSchemaVersion (på engelska) | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Varje schema dokumenterar sin aktuella version. |
| EventReportUrl | Valfritt | URL (sträng) | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| Händelseägare | Valfritt | Sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
Enhetsfält
Enhetsfältens roll skiljer sig åt för olika scheman och händelsetyper. Till exempel:
- För nätverkssessionshändelser innehåller enhetsfält vanligtvis information om enheten som genererade händelsen
- För processhändelser innehåller enhetsfälten information om enheten om att processen körs.
Varje schemadokument anger enhetens roll för schemat.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dvc | Tillnamn | Sträng | En unik identifierare för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Det här fältet kan vara alias för fälten DvcFQDN, DvcId, DvcHostname eller DvcIpAddr. För molnkällor, för vilka det inte finns någon uppenbar enhet, använder du samma värde som fältet Händelseprodukt . |
| DvcIpAddr | Rekommenderat | IP-adress | IP-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: 45.21.42.12 |
| DvcHostname (DvcVärdnamn) | Rekommenderat | Värdnamn | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: ContosoDc |
| DvcDomain (DvcDomän) | Rekommenderat | Domän (sträng) | Domänen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: Contoso |
| DvcDomainType (DvcDomainType) | Villkorsstyrd | Uppräknad | Typ av DvcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType. Obs! Det här fältet krävs om fältet DvcDomain används. |
| DvcFQDN | Valfritt | FQDN (sträng) | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: Contoso\DESKTOP-1282V4DObs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet DvcDomainType återspeglar det format som används. |
| DvcBeskrivning | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Exempel: Primary Domain Controller. |
| DvcId | Valfritt | Sträng | Det unika ID för enheten där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Exempel: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType (DvcIdTyp) | Villkorsstyrd | Uppräknad | Typ av DvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType. - MDEidOm flera ID:er är tillgängliga använder du det första från listan och lagrar de andra med hjälp av fältnamnen DvcAzureResourceIdrespektive DvcMDEid. Obs! Det här fältet krävs om fältet DvcId används. |
| DvcMacAddr | Valfritt | MAC-adress | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: 00:1B:44:11:3A:B7 |
| DvcZone (DvcZone) | Valfritt | Sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Zonen definieras av rapporteringsenheten. Exempel: Dmz |
| DvcOs | Valfritt | Sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: Windows |
| DvcOsVersion | Valfritt | Sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: 10 |
| DvcAction (DvcAction) | Valfritt | Sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet, om tillämpligt. Exempel: Blocked |
| DvcOriginalAction | Valfritt | Sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcInterface (DvcGränssnitt) | Valfritt | Sträng | Nätverksgränssnittet som data har avbildats på. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet, som fångas upp av en mellanliggande enhet eller en tryckenhet. |
| DvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcScope (DvcScope) | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
Andra fält
Schemauppdateringar
- Fältet
EventOwnerhar lagts till i de gemensamma fälten den 1 december 2022 och därför till alla scheman. - Fältet
EventUidhar lagts till i de gemensamma fälten den 26 december 2022 och därför till alla scheman.
Leverantörer och produkter
För att upprätthålla konsekvens anges listan över tillåtna leverantörer och produkter som en del av ASIM och kan inte direkt motsvara det värde som skickas av källan när det är tillgängligt.
Den lista över leverantörer och produkter som används i fälten EventVendor respektive EventProduct är:
| Leverantör | Produkter |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
– Microsoft Entra-ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Om du utvecklar en parser för en leverantör eller produkt som inte finns med här kontaktar du Microsoft Sentinel-teamet för att allokera nya tillåtna leverantörs- och produktbeteckningar.
Nästa steg
Mer information finns i: