Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ortak şema alanları başvurusu (önizleme)
Bazı alanlar tüm ASIM şemalarında ortaktır. Her şema, belirli bir şema bağlamındaki bazı ortak alanları kullanmaya yönelik yönergeler ekleyebilir. Örneğin, EventType alanı için izin verilen değerler, EventSchemaVersion alanının değeri gibi şemaya göre farklılık gösterebilir.
Standart Log Analytics alanları
Aşağıdaki alanlar Log Analytics tarafından çoğu durumda her kayıt için oluşturulur. Özel bağlayıcı oluşturduğunuzda bunlar geçersiz kılınabilir.
| Alan | Tür | Tartışma |
|---|---|---|
| TimeGenerated | datetime | Olayın raporlama cihazı tarafından oluşturulduğu saat. |
| Türü | String | Kaydın getirildiği özgün tablo. Bu alan, aynı olay birden çok kanaldan farklı tablolara alınabildiğinde ve aynı EventVendor ve EventProduct değerlerine sahip olduğunda kullanışlıdır. Örneğin, bir Sysmon olayı tabloya Event veya tabloya WindowsEvent toplanabilir. |
Dekont
Log Analytics, güvenlik kullanım örnekleriyle daha az ilgili olan başka alanlar da ekler. Daha fazla bilgi için bkz . Azure İzleyici Günlüklerindeki standart sütunlar.
Ortak ASIM alanları
Aşağıdaki alanlar tüm şemalar için ASIM tarafından tanımlanır:
Olay alanları
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| EventMessage | İsteğe bağlı | String | Kayıtta bulunan veya kayıttan oluşturulan genel bir ileti veya açıklama. |
| EventCount | Zorunlu | Tamsayı | Kayıt tarafından açıklanan olay sayısı. Bu değer, kaynak toplamayı desteklediğinde kullanılır ve tek bir kayıt birden çok olayı temsil edebilir. Diğer kaynaklar için olarak 1ayarlayın. |
| EventStartTime | Zorunlu | Tarih/saat | Olayın başlatıldığı saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer ad ekler. |
| EventEndTime | Zorunlu | Tarih/saat | Olayın sona erdiği saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer ad ekler. |
| Eventtype | Zorunlu | Enumerated | Kayıt tarafından bildirilen işlemi açıklar. Her şema, bu alan için geçerli olan değerlerin listesini belgeler. Özgün, kaynağa özgü değer EventOriginalType alanında depolanır. |
| EventSubType | İsteğe bağlı | Enumerated | EventType alanında bildirilen işlemin bir alt kısmını açıklar. Her şema, bu alan için geçerli olan değerlerin listesini belgeler. Özgün, kaynağa özgü değer EventOriginalSubType alanında depolanır. |
| EventResult | Zorunlu | Enumerated | Aşağıdaki değerlerden biri: Başarı, Kısmi, Hata, NA (Uygulanamaz). Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu da bu değerlere normalleştirilmelidir. Alternatif olarak, kaynak yalnızca EventResultDetails alanını sağlayabilir ve bu alan EventResult değerini türetmek için çözümlenmelidir. Örnek: Success |
| EventResultDetails | Önerilir | Enumerated | EventResult alanında bildirilen sonucun nedeni veya ayrıntıları. Her şema, bu alan için geçerli olan değerlerin listesini belgeler. Özgün, kaynağa özgü değer EventOriginalResultDetails alanında depolanır. Örnek: NXDOMAIN |
| EventUid | Önerilir | String | Microsoft Sentinel tarafından atanan kaydın benzersiz kimliği. Bu alan genellikle Log Analytics alanına eşlenir _ItemId . |
| EventOriginalUid | İsteğe bağlı | String | Kaynak tarafından sağlanıyorsa özgün kaydın benzersiz kimliği. Örnek: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | İsteğe bağlı | String | Kaynak tarafından sağlanmışsa özgün olay türü veya kimliği. Örneğin, bu alan özgün Windows olay kimliğini depolamak için kullanılır. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventType'ı türetmek için kullanılır. Örnek: 4624 |
| EventOriginalSubType | İsteğe bağlı | String | Kaynak tarafından sağlanmışsa özgün olay alt türü veya kimliği. Örneğin, bu alan özgün Windows oturum açma türünü depolamak için kullanılır. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventSubType'ı türetmek için kullanılır. Örnek: 2 |
| EventOriginalResultDetails | İsteğe bağlı | String | Kaynak tarafından sağlanan özgün sonuç ayrıntıları. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventResultDetails'i türetmek için kullanılır. |
| EventSeverity | Önerilir | Enumerated | Olayın önem derecesi. Geçerli değerler şunlardır: Informational, Low, Mediumveya High. |
| EventOriginalSeverity | İsteğe bağlı | String | Raporlama cihazı tarafından sağlanan özgün önem derecesi. Bu değer EventSeverity'yi türetmek için kullanılır. |
| EventProduct | Zorunlu | String | Olayı oluşturan ürün. Değer, Satıcılar ve Ürünler'de listelenen değerlerden biri olmalıdır. Örnek: Sysmon |
| EventProductVersion | İsteğe bağlı | String | Olayı oluşturan ürünün sürümü. Örnek: 12.1 |
| EventVendor | Zorunlu | String | Olayı oluşturan ürünün satıcısı. Değer, Satıcılar ve Ürünler'de listelenen değerlerden biri olmalıdır. Örnek: Microsoft |
| EventSchema | Zorunlu | String | Olayın normalleştirildiği şema. Her şema, şema adını belgeler. |
| EventSchemaVersion | Zorunlu | String | Şema sürümü. Her şema geçerli sürümünü belgeler. |
| EventReportUrl | İsteğe bağlı | String | Olay hakkında daha fazla bilgi sağlayan bir kaynak için olayda sağlanan URL. |
| EventOwner | İsteğe bağlı | String | Genellikle oluşturulduğu bölüm veya yan kuruluş olan olayın sahibi. |
Cihaz alanları
Farklı şemalar ve olay türleri için cihaz alanlarının rolü farklıdır. Örnek:
- Ağ Oturumu olayları için cihaz alanları genellikle olayı oluşturan cihaz hakkında bilgi sağlar
- İşlem olayları için cihaz alanları, cihazın üzerinde işlemin yürütüldüğünü belirten bilgiler sağlar.
Her şema belgesi, şema için cihazın rolünü belirtir.
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| Dvc | Diğer ad | String | Şemaya bağlı olarak, olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz tanımlayıcısı. Bu alan DvcFQDN, DvcId, DvcHostname veya DvcIpAddr alanlarının diğer adını alabilir. Görünür cihaz bulunmayan bulut kaynakları için Olay Ürünü alanıyla aynı değeri kullanın. |
| DvcIpAddr | Önerilir | IP Adresi | Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği cihazın IP adresi. Örnek: 45.21.42.12 |
| DvcHostname | Önerilir | Konak adı | Şemaya bağlı olarak, olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı. Örnek: ContosoDc |
| DvcDomain | Önerilir | String | Şemaya bağlı olarak, olayın gerçekleştiği veya olayı bildirdiği cihazın etki alanı. Örnek: Contoso |
| DvcDomainType | Koşullu | Enumerated | DvcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için DomainType'a bakın. Not: DvcDomain alanı kullanılıyorsa bu alan gereklidir. |
| DvcFQDN | İsteğe bağlı | String | Şemaya bağlı olarak, olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4DNot: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. DvcDomainType alanı kullanılan biçimi yansıtır. |
| DvcDescription | İsteğe bağlı | String | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| DvcId | İsteğe bağlı | String | Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz kimliği. Örnek: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | Koşullu | Enumerated | DvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için bkz. DvcIdType. - MDEidBirden çok kimlik varsa, listedeki ilk kimliği kullanın ve diğerlerini sırasıyla DvcAzureResourceId ve DvcMDEid alan adlarını kullanarak depolayın. Not: DvcId alanı kullanılıyorsa bu alan gereklidir. |
| DvcMacAddr | İsteğe bağlı | MAC | Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi. Örnek: 00:1B:44:11:3A:B7 |
| DvcZone | İsteğe bağlı | String | Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği ağ. Bölge, raporlama cihazı tarafından tanımlanır. Örnek: Dmz |
| DvcOs | İsteğe bağlı | String | Olayın oluştuğu veya olayı bildirdiği cihazda çalışan işletim sistemi. Örnek: Windows |
| DvcOsVersion | İsteğe bağlı | String | Olayın gerçekleştiği veya olayı bildirdiği cihazdaki işletim sisteminin sürümü. Örnek: 10 |
| DvcAction | Önerilir | String | Raporlama güvenlik sistemleri için, varsa sistem tarafından gerçekleştirilen eylem. Örnek: Blocked |
| DvcOriginalAction | İsteğe bağlı | String | Raporlama cihazı tarafından sağlanan özgün DvcAction . |
| DvcInterface | İsteğe bağlı | String | Verilerin yakalandığı ağ arabirimi. Bu alan genellikle bir ara veya dokunma cihazı tarafından yakalanan ağ ile ilgili etkinlikle ilgilidir. |
| DvcScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DvcScope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. DvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
Diğer alanlar
Şema güncelleştirmeleri
- Bu
EventOwneralan, 1 Aralık 2022'de ortak alanlara ve dolayısıyla tüm şemalara eklenmiştir. - Alan
EventUid, 26 Aralık 2022'de ortak alanlara ve dolayısıyla tüm şemalara eklenmiştir.
Satıcılar ve ürünler
Tutarlılığı korumak için izin verilen satıcıların ve ürünlerin listesi ASIM'in bir parçası olarak ayarlanır ve kullanılabilir olduğunda kaynak tarafından gönderilen değere doğrudan karşılık gelmez.
Sırasıyla EventVendor ve EventProduct alanlarında kullanılan satıcıların ve ürünlerin şu anda desteklenen listesi:
| Vendor | Ürünler |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra Id - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Burada listelenmeyen bir satıcı veya ürün için ayrıştırıcı geliştiriyorsanız, izin verilen yeni bir satıcı ve ürün belirleyicileri ayırmak için Microsoft Sentinel ekibine başvurun.
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği