Aracılığıyla paylaş


Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları

Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şeması, etkinliği temsil eden bir alan kümesidir. Bir sorguda, normalleştirilmiş şemadaki alanları kullanmak, sorgunun normalleştirilmiş her kaynakla çalışmasını sağlar.

Şemaların ASIM mimarisine nasıl uygun olduğunu anlamak için ASIM mimari diyagramına bakın.

Şema başvuruları, her şemayı oluşturan alanları özetler. ASIM şu anda aşağıdaki şemaları tanımlar:

Şema Sürüm Status
Denetim Olayı 0,1 Önizle
Kimlik Doğrulama Olayı 0.1.3 Önizle
DNS Etkinliği 0.1.7 Önizle
DHCP Etkinliği 0,1 Önizle
Dosya Etkinliği 0.2.1 Önizle
Ağ Oturumu 0.2.6 Önizle
İşlem Olayı 0.1.4 Önizle
Kayıt Defteri Olayı 0.1.2 Önizle
Kullanıcı Yönetimi 0,1 Önizle
Web Oturumu 0.2.6 Önizle

Önemli

ASIM şemaları ve ayrıştırıcıları şu anda önizleme aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Şema kavramları

Aşağıdaki kavramlar, şema başvuru belgelerinin anlaşılmasına ve verilerinizin şemanın kapsamadığı bilgileri içermesi durumunda şemayı normalleştirilmiş bir şekilde genişletmeye yardımcı olur.

Kavram Tanım
Alan adları Her şemanın çekirdeğinde alan adları bulunur. Alan adları aşağıdaki gruplara aittir:

- Tüm şemalarda ortak olan alanlar.
- Şemaya özgü alanlar.
- Şemada yer alan kullanıcılar gibi varlıkları temsil eden alanlar. Varlıkları temsil eden alanlar, şemalar arasında benzerdir.

Kaynaklar belgelenen şemada sunulmamış alanlara sahip olduğunda tutarlılığı korumak için normalleştirilir. Ek alanlar bir varlığı temsil ederse, varlık alanı yönergelerine göre normalleştirilir. Aksi takdirde, şemalar tüm şemalarda tutarlılığı korumak için çabalar.

Örneğin, DNS sunucusu etkinlik günlükleri kullanıcı bilgilerini sağlamasa da, bir uç noktadan gelen DNS etkinlik günlükleri kullanıcı bilgilerini içerebilir ve bu bilgiler kullanıcı varlığı yönergelerine göre normalleştirilebilir.
Alan türleri Her şema alanının bir türü vardır. Log Analytics çalışma alanı sınırlı sayıda veri türüne sahiptir. Bu nedenle Microsoft Sentinel, Log Analytics'in zorlamadığı ancak şema uyumluluğu için gerekli olduğu birçok şema alanı için mantıksal bir tür kullanır. Mantıksal alan türleri hem değerlerin hem de alan adlarının kaynaklar arasında tutarlı olmasını sağlar.

Daha fazla bilgi için bkz . Mantıksal türler.
Alan sınıfı Alanların bir ayrıştırıcı tarafından ne zaman uygulanması gerektiğini tanımlayan birkaç sınıfı olabilir:

- Zorunlu alanlar her ayrıştırıcıda görünmelidir. Kaynağınız bu değer için bilgi sağlamazsa veya veriler başka şekilde eklenemezse, normalleştirilmiş şemaya başvuran içerik öğelerinin çoğunu desteklemez.
- Varsa önerilen alanlar normalleştirilmelidir. Ancak, bunlar her kaynakta kullanılamayabilir. Normalleştirilmiş şemaya başvuran tüm içerik öğeleri kullanılabilirliği dikkate almalıdır.
- varsa, isteğe bağlı alanlar normalleştirilebilir veya özgün biçimlerinde bırakılabilir. Genellikle, minimum ayrıştırıcı performans nedenleriyle bunları normalleştirmez.
- Takip ettikleri alan doldurulursa koşullu alanlar zorunludur. Koşullu alanlar genellikle başka bir alandaki değeri tanımlamak için kullanılır. Örneğin, ortak DvcIdType alanı, ortak DvcId alanında int değerini açıklar ve bu nedenle ikinci alan doldurulursa zorunludur.
- Diğer ad , koşullu alanın özel bir türüdür ve diğer ad alanı doldurulduysa zorunludur.
Ortak alanlar Bazı alanlar tüm ASIM şemalarında ortaktır. Her şema, belirli bir şema bağlamındaki bazı ortak alanları kullanmaya yönelik yönergeler ekleyebilir. Örneğin, EventType alanı için izin verilen değerler, EventSchemaVersion alanının değeri gibi şemaya göre farklılık gösterebilir.
Varlıklar Olaylar, kullanıcılar, konaklar, işlemler veya dosyalar gibi varlıklar etrafında gelişir. Her varlığı açıklamak için birkaç alan gerekebilir. Örneğin, bir konağın adı ve IP adresi olabilir.

Tek bir kayıt, hem kaynak hem de hedef konak gibi aynı türde birden çok varlık içerebilir.

ASIM, varlıkların tutarlı bir şekilde nasıl tanımlandığı tanımlar ve varlıklar şemaların genişletilmesine olanak sağlar.

Örneğin, Ağ Oturumu şeması işlem bilgilerini içermese de, bazı olay kaynakları eklenebilecek işlem bilgileri sağlar. Daha fazla bilgi için bkz . Varlıklar.
Takma Diğer adlar, belirtilen bir değer için birden çok ada izin verir. Bazı durumlarda, farklı kullanıcılar bir alanın farklı adlara sahip olmasını bekler. Örneğin, DNS terminolojisinde DnsQuery adlı bir alan bekleyebilirsiniz ancak daha genel olarak bir etki alanı adı içerir. Domain diğer adı, her iki adın da kullanılmasına izin vererek kullanıcıya yardımcı olur.

Bazı durumlarda, bir diğer ad, olayda hangi değerlerin kullanılabildiğine bağlı olarak çeşitli alanlardan birinin değerine sahip olabilir. Örneğin, Dvc diğer adı, DvcFQDN, DvcId, DvcHostname veya DvcIpAddr ya da Olay Ürünü alanlarıdır. Bir diğer ad birkaç değere sahip olabileceğinde, türünün tüm olası diğer ad değerlerini barındırmak için bir dize olması gerekir. Sonuç olarak, böyle bir diğer ada bir değer atarken, KQL işlevi dizesini kullanarak türü dizeye dönüştürdüğünüzden emin olun.

Yerel normalleştirilmiş tablolar , yinelenen veri depolaması anlamına olacağından diğer ad içermez. Bunun yerine saplama ayrıştırıcıları diğer adları ekler. Ayrıştırıcılarda diğer adları uygulamak için işlecini kullanarak özgün değerin extend bir kopyasını oluşturun.

Mantıksal türler

Her şema alanının bir türü vardır. Bazılarında , , veya dynamicgibi stringintdatetimeyerleşik Log Analytics türleri vardır. Diğer alanlar, alan değerlerinin nasıl normalleştirileceğine ilişkin bir Mantıksal türe sahiptir.

Veri türü Fiziksel tür Biçim ve değer
Boole Boole Boole değerlerinin sayısal veya dize gösterimi yerine yerleşik KQL bool veri türünü kullanın.
Numaralandırılmış String Alan için açıkça tanımlandığı gibi değerlerin listesi. Şema tanımı kabul edilen değerleri listeler.
Tarih/Saat Alma yöntemi özelliğine bağlı olarak, azalan öncelikli olarak aşağıdaki fiziksel gösterimlerden herhangi birini kullanın:

- Log Analytics yerleşik tarih saat türü
- Log Analytics tarih saat sayısal gösterimini kullanan bir tamsayı alanı.
- Log Analytics tarih saat sayısal gösterimini kullanan bir dize alanı
- Desteklenen bir Log Analytics tarih/saat biçiminin depolendiği dize alanı.
Log Analytics tarih ve saat gösterimi Unix saat gösterimine benzer ancak farklıdır. Daha fazla bilgi için dönüştürme yönergelerine bakın.

Not: Uygun olduğunda saat dilimi ayarlanmalıdır.
MAC adresi String İki nokta üst üste onaltılık gösterimi.
IP adresi String Microsoft Sentinel şemalarında ayrı IPv4 ve IPv6 adresleri yoktur. Herhangi bir IP adresi alanı aşağıdaki gibi bir IPv4 adresi veya IPv6 adresi içerebilir:

- Noktalı ondalık gösteriminde IPv4 .
- 8 onaltılık gösteriminde IPv6 , kısa forma izin verir.

Örnek:
- IPv4: 192.168.10.10
- IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
- IPv6 kısa biçimi: 1080::8:800:200C:417A
FQDN String Nokta gösterimi kullanan tam etki alanı adı, örneğin, learn.microsoft.com. Daha fazla bilgi için bkz . Cihaz varlığı.
Ana Bilgisayar Adı String FQDN olmayan bir konak adı harf, sayı ve kısa çizgi içeren en fazla 63 karakter içerir. Daha fazla bilgi için bkz . Cihaz varlığı.
Domaintype Enumerated Etki alanı ve FQDN alanlarında depolanan etki alanı türü. Değerlerin listesi ve daha fazla bilgi için bkz . Cihaz varlığı.
DvcIdType Enumerated DvcId alanlarında depolanan cihaz kimliğinin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için bkz. DvcIdType.
Devicetype Enumerated DeviceType alanlarında depolanan cihazın türü. Olası değerler arasında şunlar bulunur:
- Computer
- Mobile Device
- IOT Device
- Other. Daha fazla bilgi için bkz . Cihaz varlığı.
Kullanıcı adı String Desteklenen türlerden birinde geçerli bir kullanıcı adı. Daha fazla bilgi için bkz . Kullanıcı varlığı.
UsernameType Enumerated Kullanıcı adı alanlarında depolanan kullanıcı adı türü. Daha fazla bilgi ve desteklenen değerlerin listesi için bkz . Kullanıcı varlığı.
UserIdType Enumerated Kullanıcı kimliği alanlarında depolanan kimliğin türü.

Desteklenen değerler , , , AADID, , AWSIdve PUIDdeğerleridirSID. OktaIdUIS Daha fazla bilgi için bkz . Kullanıcı varlığı.
Usertype Enumerated Kullanıcının türü. İzin verilen değerlerin listesi ve daha fazla bilgi için bkz . Kullanıcı varlığı.
AppType Enumerated Bir uygulamanın türü. Desteklenen değerler şunlardır: Process
, , ResourceService, URL, SaaS application, , CSPve Other.
Ülke String Aşağıdaki önceliğe göre ISO 3166-1 kullanan bir dize:

- Birleşik Devletler gibi US Alfa-2 kodları.
- Birleşik Devletler gibi USA Alfa-3 kodları.
- Kısa ad.

Kodların listesi Uluslararası Standartlar Örgütü (ISO) web sitesinde bulunabilir.
Bölge String ISO 3166-2 kullanan ülke alt bölüm adı.

Kodların listesi Uluslararası Standartlar Örgütü (ISO) web sitesinde bulunabilir.
Şehir String
Boylam Çift ISO 6709 koordinat gösterimi (imzalı ondalık).
Enlem Çift ISO 6709 koordinat gösterimi (imzalı ondalık).
MD5 String 32 onaltılık karakter.
SHA1 String 40 onaltılık karakter.
SHA256 String 64 onaltılık karakter.
SHA512 String 128 onaltılık karakter.

Varlıklar

Olaylar, kullanıcılar, konaklar, işlemler veya dosyalar gibi varlıklar etrafında gelişir. Varlık gösterimi, aynı türdeki çeşitli varlıkların tek bir kaydın parçası olmasını sağlar ve aynı varlıklar için birden çok özniteliği destekler.

Varlık işlevselliğini etkinleştirmek için varlık gösterimi aşağıdaki yönergelere sahiptir:

Yönerge Tanım
Tanımlayıcılar ve diğer adlar Tek bir olay genellikle kaynak ve hedef konaklar gibi aynı türde birden fazla varlık içerdiğinden, tanımlayıcılar belirli bir varlıkla ilişkili tüm alanları tanımlamak için ön ek olarak kullanılır.

ASIM, normalleştirmeyi korumak için küçük bir standart tanımlayıcı kümesi kullanır ve varlıkların belirli rolü için en uygun olanları seçmektedir.

Türün tek bir varlığı bir olay için uygunsa, tanımlayıcı kullanmaya gerek yoktur. Ayrıca, tanımlayıcısı olmayan bir alan kümesi her tür için en çok kullanılan varlığı diğer ad olarak kullanır.
Tanımlayıcılar ve türler Normalleştirilmiş şema, her varlık için olaylar içinde birlikte olmasını beklediğimiz çeşitli tanımlayıcılara olanak tanır. Kaynak olayda normalleştirilmiş şemayla eşlenebilen başka varlık tanımlayıcıları varsa, bunları kaynak formda tutun veya AdditionalFields dinamik alanını kullanın.

Tanımlayıcıların tür bilgilerini korumak için, türü uygun olduğunda aynı ada ve Tür son ekine sahip bir alanda depolayın. Örneğin, UserIdType.
Öznitelikler Varlıklar genellikle tanımlayıcı işlevi olmayan başka özniteliklere sahiptir ve tanımlayıcı ile de nitelenebilir. Örneğin, kaynak kullanıcının etki alanı bilgileri varsa, normalleştirilmiş alan SrcUserDomain olur.

Her şema, merkezi varlıkları ve varlık alanlarını açıkça tanımlar. Aşağıdaki yönergeler, merkezi şema alanlarını ve şemada açıkça tanımlanmayan diğer varlıkları veya varlık alanlarını kullanarak şemaları normalleştirilmiş bir şekilde genişletmeyi anlamanıza olanak tanır.

Kullanıcı varlığı

Kullanıcılar, olaylar tarafından bildirilen etkinliklerin merkezinde yer alır. Bu bölümde listelenen alanlar, eyleme katılan kullanıcıları açıklamak için kullanılır. Ön ekler, kullanıcının etkinlikteki rolünü tanımlamak için kullanılır. ve ön ekleri Src Dst , bir kaynak sistemin ve hedef sistemin iletişim kuracakları ağ ile ilgili olaylarda kullanıcı rolünü tanımlamak için kullanılır. 'Actor' ve 'Target' ön ekleri, işlem olayları gibi sistem odaklı olaylar için kullanılır.

Kullanıcı kimliği ve kapsamı

Alan Sınıf Türü Tanım
UserId İsteğe bağlı String Kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi.
UserScope İsteğe bağlı Dize UserId ve Kullanıcı Adı'nın tanımlandığı kapsam. Örneğin, bir Microsoft Entra kiracı etki alanı adı. UserIdType alanı, bu alanla ilişkilendirilmiş türü de temsil eder.
UserScopeId İsteğe bağlı Dize UserId ve Kullanıcı Adı'nın tanımlandığı kapsamın kimliği. Örneğin, bir Microsoft Entra kiracısı dizin kimliği. UserIdType alanı, bu alanla ilişkilendirilmiş türü de temsil eder.
UserIdType İsteğe bağlı UserIdType UserId alanında depolanan kimliğin türü.
UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid İsteğe bağlı String Belirli kullanıcı kimliklerini depolamak için kullanılan alanlar. UserId içinde depolanan birincil kimlik olarak olayla en çok ilişkili kimliği seçin. Olayın yalnızca bir kimliği olsa bile, UserId'ye ek olarak ilgili belirli kimlik alanını doldurun.
UserAADTenant, UserAWSAccount İsteğe bağlı String Belirli kapsamları depolamak için kullanılan alanlar. UserId alanında depolanan kimlikle ilişkili kapsam için UserScope alanını kullanın. Olayın yalnızca bir kimliği olsa bile UserScope'a ek olarak ilgili kapsam alanını doldurun.

Kullanıcı kimliği türü için izin verilen değerler şunlardır:

Türü Tanım Örnek
SİD Windows kullanıcı kimliği. S-1-5-21-1377283216-344919071-3415362939-500
UID Linux kullanıcı kimliği. 4578
AADID Microsoft Entra kullanıcı kimliği. 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
OktaId Okta kullanıcı kimliği. 00urjk4znu3BcncfY0h7
AWSId AWS kullanıcı kimliği. 72643944673
PUID Microsoft 365 kullanıcı kimliği. 10032001582F435C
SalesforceId Salesforce kullanıcı kimliği. 00530000009M943

Kullanıcı adı

Alan Sınıf Türü Tanım
Kullanıcı adı İsteğe bağlı String Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak kullanıcı adı. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü UsernameType alanında depolayın.
UsernameType İsteğe bağlı UsernameType Kullanıcı adı alanında depolanan kullanıcı adının türünü belirtir.
UserUPN, WindowsUsername, DNUsername, SimpleUsername İsteğe bağlı String Özgün olay birden çok kullanıcı adı içeriyorsa, ek kullanıcı adlarını depolamak için kullanılan alanlar. Kullanıcı adı'nda depolanan birincil kullanıcı adı olarak olayla en çok ilişkili kullanıcı adını seçin.

Kullanıcı adı türü için izin verilen değerler şunlardır:

Türü Tanım Örnek
UPN UPN veya E-posta adresi kullanıcı adı belirleyicisi. johndow@contoso.com
Windows Etki alanı içeren bir Windows kullanıcı adı. Contoso\johndow
DN LDAP ayırt edici ad belirleyicisi. CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
Basit Etki alanı belirleyicisi olmayan basit bir kullanıcı adı. johndow
AWSId AWS kullanıcı kimliği. 72643944673

Ek kullanıcı alanları

Alan Sınıf Türü Tanım
Usertype İsteğe bağlı UserType Kaynak kullanıcının türü. Desteklenen değerler şunlardır:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Service
- Anonymous
- Other.

Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu da bu değerlere normalleştirilmelidir. Özgün değeri OriginalUserType alanında depolayın.
OriginalUserType İsteğe bağlı String Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü.

Cihaz varlığı

Cihazlar veya konaklar, olayda yer alan sistemler için kullanılan yaygın terimlerdir. Ön Dvc ek, olayın gerçekleştiği birincil cihazı tanımlamak için kullanılır. Ağ oturumları gibi bazı olaylar, ve ön eki Src tarafından belirlenen kaynak ve Dsthedef cihazlara sahiptir. Böyle bir durumda ön ek, Dvc kaynak, hedef veya izleme cihazı olabilecek olayı bildiren cihaz için kullanılır.

Cihaz diğer adları

Alan Sınıf Türü Tanım
Dvc, Src, Dst Zorunlu String Dvc, 'Src' veya 'Dst' alanları cihazın benzersiz tanımlayıcısı olarak kullanılır. Cihaz için tanımlanan en iyi kullanılabilir değere ayarlanır. Bu alanlar FQDN, DvcId, Hostname veya IpAddr alanlarının diğer adını alabilir. Görünür cihaz bulunmayan bulut kaynakları için Olay Ürünü alanıyla aynı değeri kullanın.

Cihaz adı

Bildirilen cihaz adları yalnızca bir konak adı veya ana bilgisayar adı ve etki alanı adı içeren tam etki alanı adı (FQDN) içerebilir. FQDN birkaç biçim kullanılarak ifade edilebilir. Aşağıdaki alanlar, cihaz adının sağlanabileceği farklı değişkenlerin desteklenmesini sağlar.

Alan Sınıf Türü Tanım
Ana Bilgisayar Adı Önerilir Konak adı Cihazın kısa konak adı.
Etki alanı Önerilir String Olayın gerçekleştiği cihazın etki alanı, ana bilgisayar adı olmadan.
Domaintype Önerilir Enumerated Etki Alanı türü. Desteklenen değerler ve değerlerini içerir FQDN Windows. Etki alanı kullanılıyorsa bu alan gereklidir.
FQDN İsteğe bağlı String Hem Ana Bilgisayar adı hem de Etki Alanı dahil olmak üzere cihazın FQDN'si. Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. DomainType alanı, kullanılan biçimi yansıtır.

Örnek:

Alan Giriş değeri appserver.contoso.com giriş değeri appserver
Ana Bilgisayar Adı appserver appserver
Etki alanı contoso.con <empty>
Domaintype FQDN <empty>
FQDN appserver.contoso.com <empty>

Kaynak tarafından sağlanan değer bir FQDN olduğunda veya değer ya da FQDN ya da kısa bir konak adı olduğunda, ayrıştırıcının 4 değeri hesaplaması gerekir. Dört alanın tümünü tek bir giriş değerine göre kolayca ayarlamak için ASIM yardımcı işlevlerini _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNve _ASIM_ResolveDvcFQDN kullanın. Daha fazla bilgi için bkz . ASIM yardımcı işlevleri.

Cihaz kimliği ve Kapsamı

Alan Sınıf Türü Tanım
DvcId İsteğe bağlı String Cihazın benzersiz kimliği. Örnek: 41502da5-21b7-48ec-81c9-baeea8d7d669
Scopeıd İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsam kimliği. Kapsam , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
Scope İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsamı. Kapsam , Azure'da bir aboneliğe ve AWS'de bir hesaba eşler.
DvcIdType İsteğe bağlı Enumerated DvcId türü. Bu alan genellikle Scope ve ScopeId türlerini de tanımlar. DvcId alanı kullanılıyorsa bu alan gereklidir.
DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVM Bağlan ionId, DvcVectraId, DvcAwsVpcId İsteğe bağlı String Özgün olay birden çok cihaz kimliği içeriyorsa, ek cihaz kimliklerini depolamak için kullanılan alanlar. Olayla en çok ilişkili cihaz kimliğini DvcId'de depolanan birincil kimlik olarak seçin.

adlı alanların veya Dstgibi Src bir rol ön eki eklemesi, ancak bu rolde kullanılıyorsa ikinci Dvc bir ön ek eklememesi gerektiğini unutmayın.

Cihaz kimliği türü için izin verilen değerler şunlardır:

Türü Tanım
MDEid Uç Nokta için Microsoft Defender tarafından atanan sistem kimliği.
AzureResourceId Azure kaynak kimliği.
MD4IoTid IoT için Microsoft Defender kaynak kimliği.
VM Bağlan ionId Azure İzleyici VM Analizler çözüm kaynak kimliği.
AwsVpcId AWS VPC Kimliği.
VectraId Vectra AI tarafından atanan kaynak kimliği.
Diğer Yukarıda listelenmeyen bir kimlik türü.

Örneğin, Azure İzleyici VM Analizler çözümü içinde VMConnectionağ oturumları bilgileri sağlar. Tablo, alanında bir Azure Kaynak Kimliği _ResourceId ve alanda vm içgörülerine özgü cihaz kimliği Machine sağlar. Bu kimlikleri temsil etmek için aşağıdaki eşlemeyi kullanın:

Alan Eşle
DvcId Machine Tablodaki VMConnection alan.
DvcIdType Değer VMConnectionId
DvcAzureResourceId _ResourceId Tablodaki VMConnection alan.

Ek cihaz alanları

Alan Sınıf Türü Tanım
IpAddr Önerilir IP Adresi Cihazın IP adresi.

Örnek: 45.21.42.12
DvcDescription İsteğe bağlı String Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller.
MacAddr İsteğe bağlı MAC Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi.

Örnek: 00:1B:44:11:3A:B7
Bölge İsteğe bağlı String Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği ağ. Bölge, raporlama cihazı tarafından tanımlanır.

Örnek: Dmz
DvcOs İsteğe bağlı String Olayın oluştuğu veya olayı bildirdiği cihazda çalışan işletim sistemi.

Örnek: Windows
DvcOsVersion İsteğe bağlı String Olayın gerçekleştiği veya olayı bildirdiği cihazdaki işletim sisteminin sürümü.

Örnek: 10
DvcAction İsteğe bağlı String Raporlama güvenlik sistemleri için, varsa sistem tarafından gerçekleştirilen eylem.

Örnek: Blocked
DvcOriginalAction İsteğe bağlı String Raporlama cihazı tarafından sağlanan özgün DvcAction .
Arabirim İsteğe bağlı String Verilerin yakalandığı ağ arabirimi. Bu alan genellikle bir ara veya dokunma cihazı tarafından yakalanan ağ ile ilgili etkinlikle ilgilidir.

Listede Dvc ön ekiyle adlandırılan alanların veya Dstgibi Src bir rol ön eki eklemesi, ancak bu rolde kullanılıyorsa ikinci Dvc bir ön ek eklememesi gerektiğini unutmayın.

Örnek varlık eşlemesi

Bu bölümde, olay verilerinin Microsoft Sentinel için nasıl normalleştirildiğine ilişkin bir örnek olarak Windows olay 4624 kullanılır.

Bu olay aşağıdaki varlıklara sahiptir:

Microsoft terminolojisi Özgün olay alanı ön eki ASIM alan ön eki Tanım
Konu Subject Actor Başarılı bir oturum açma hakkında bilgi bildiren kullanıcı.
Yeni Oturum Açma Target TargetUser Oturum açma işleminin gerçekleştirildiği kullanıcı.
Işlem - ActingProcess Oturum açmayı denemiş olan işlem.
Ağ bilgileri - Src Oturum açma girişiminin gerçekleştirildiği makine.

Bu varlıklara bağlı olarak, Windows olay 4624 aşağıdaki gibi normalleştirilir (bazı alanlar isteğe bağlıdır):

Normalleştirilmiş alan Özgün alan Örnekteki değer Notlar
ActorUserId SubjectUserSid S-1-5-18
ActorUserIdType - SID
ActorUserName SubjectDomainName\ SubjectUserName WORKGROUP\WIN-GG82ULGC9GO$ İki alan birleşerek derlenir
ActorUserNameType - Windows
ActorSessionId SubjectLogonId 0x3e7
TargetUserId TargetUserSid S-1-5-21-1377283216-344919071-3415362939-500
UserId TargetUserSid Diğer ad
TargetUserIdType - SID
TargetUserName TargetDomainName\ TargetUserName Yönetici istrator\WIN-GG82ULGC9GO$ İki alan birleşerek derlenir
Kullanıcı adı TargetDomainName\ TargetUserName Diğer ad
TargetUserNameType - Windows
TargetSessionId TargetLogonId 0x8dcdc
ActingProcessName ProcessName C:\Windows\System32\svchost.exe
ActingProcessId ProcessId 0x44c
SrcHostname WorkstationName Windows
SrcIpAddr Ipaddress 127.0.0.1
SrcPortNumber IpPort 0
TargetHostname Bilgisayar WIN-GG82ULGC9GO
Ana Bilgisayar Adı Bilgisayar Diğer ad

Sonraki adımlar

Bu makalede, Microsoft Sentinel ve ASIM'de normalleştirmeye genel bir bakış sağlanır.

Daha fazla bilgi için bkz.