Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bazı alanlar tüm ASIM şemalarında ortaktır. Her şema, belirli bir şema bağlamındaki bazı ortak alanları kullanmaya yönelik yönergeler ekleyebilir. Örneğin, EventType alanı için izin verilen değerler, EventSchemaVersion alanının değeri gibi şemaya göre farklılık gösterebilir.
Standart Log Analytics alanları
Aşağıdaki alanlar Log Analytics tarafından çoğu durumda her kayıt için oluşturulur. Özel bağlayıcı oluşturduğunuzda bunlar geçersiz kılınabilir.
| Alan | Tür | Tartışma |
|---|---|---|
| Zaman Oluşturuldu | Tarih/Zaman | Olayın raporlama cihazı tarafından oluşturulduğu saat. |
| Tür | Dize | Kaydın getirildiği özgün tablo. Bu alan, aynı olay birden çok kanaldan farklı tablolara alınabildiğinde ve aynı EventVendor ve EventProduct değerlerine sahip olduğunda kullanışlıdır. Örneğin, bir Sysmon olayı tabloya Event veya tabloya WindowsEvent toplanabilir. |
Not
Log Analytics, güvenlik kullanım örnekleriyle daha az ilgili olan başka alanlar da ekler. Daha fazla bilgi için bkz . Azure İzleyici Günlüklerindeki standart sütunlar.
Ortak ASIM alanları
Aşağıdaki alanlar tüm şemalar için ASIM tarafından tanımlanır:
Olay alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| Etkinlik Mesajı | İsteğe bağlı | Dize | Kayıtta bulunan veya kayıttan oluşturulan genel bir ileti veya açıklama. |
| Olay Sayısı | Zorunlu | Tamsayı | Kayıt tarafından açıklanan olay sayısı. Bu değer, kaynak toplamayı desteklediğinde kullanılır ve tek bir kayıt birden çok olayı temsil edebilir. Diğer kaynaklar için olarak 1ayarlayın. |
| Olay Başlangıç Zamanı | Zorunlu | Tarih/saat | Olayın başlatıldığı saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer ad ekler. |
| EventEndTime (Olay Bitiş Zamanı) | Zorunlu | Tarih/saat | Olayın sona erdiği saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer ad ekler. |
| Olay Türü | Zorunlu | Numaralandırılmış | Kayıt tarafından bildirilen işlemi açıklar. Her şema, bu alan için geçerli olan değerlerin listesini belgeler. Özgün, kaynağa özgü değer EventOriginalType alanında depolanır. |
| EventSubType (Olay Alt Türü) | İsteğe bağlı | Numaralandırılmış | EventType alanında bildirilen işlemin bir alt kısmını açıklar. Her şema, bu alan için geçerli olan değerlerin listesini belgeler. Özgün, kaynağa özgü değer EventOriginalSubType alanında depolanır. |
| Olay Sonucu | Zorunlu | Numaralandırılmış | Aşağıdaki değerlerden biri: Başarı, Kısmi, Hata, NA (Uygulanamaz). Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu da bu değerlere normalleştirilmelidir. Alternatif olarak, kaynak yalnızca EventResultDetails alanını sağlayabilir ve bu alan EventResult değerini türetmek için çözümlenmelidir. Örnek: Success |
| OlaySonuçDetaylar | Önerilir | Numaralandırılmış | EventResult alanında bildirilen sonucun nedeni veya ayrıntıları. Her şema, bu alan için geçerli olan değerlerin listesini belgeler. Özgün, kaynağa özgü değer EventOriginalResultDetails alanında depolanır. Örnek: NXDOMAIN |
| EventUid | Önerilir | Dize | Microsoft Sentinel tarafından atanan kaydın benzersiz kimliği. Bu alan genellikle Log Analytics alanına eşlenir _ItemId . |
| EventOriginalUid | İsteğe bağlı | Dize | Kaynak tarafından sağlanıyorsa özgün kaydın benzersiz kimliği. Örnek: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | İsteğe bağlı | Dize | Kaynak tarafından sağlanmışsa özgün olay türü veya kimliği. Örneğin, bu alan özgün Windows olay kimliğini depolamak için kullanılır. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventType'ı türetmek için kullanılır. Örnek: 4624 |
| EventOriginalSubType | İsteğe bağlı | Dize | Kaynak tarafından sağlanmışsa özgün olay alt türü veya kimliği. Örneğin, bu alan özgün Windows oturum açma türünü depolamak için kullanılır. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventSubType'ı türetmek için kullanılır. Örnek: 2 |
| OlayOrijinalSonuçDetaylar | İsteğe bağlı | Dize | Kaynak tarafından sağlanan özgün sonuç ayrıntıları. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventResultDetails'i türetmek için kullanılır. |
| Olay Şiddeti | Önerilir | Numaralandırılmış | Olayın önem derecesi. Geçerli değerler şunlardır: Informational, Low, Mediumveya High. |
| OlayOrijinalŞiddet | İsteğe bağlı | Dize | Raporlama cihazı tarafından sağlanan özgün önem derecesi. Bu değer EventSeverity'yi türetmek için kullanılır. |
| EventProduct (Etkinlik Ürünü) | Zorunlu | Dize | Olayı oluşturan ürün. Değer, Satıcılar ve Ürünler'de listelenen değerlerden biri olmalıdır. Örnek: Sysmon |
| EventProductVersion (EtkinlikÜrün Sürümü) | İsteğe bağlı | Dize | Olayı oluşturan ürünün sürümü. Örnek: 12.1 |
| Etkinlik Satıcısı | Zorunlu | Dize | Olayı oluşturan ürünün satıcısı. Değer, Satıcılar ve Ürünler'de listelenen değerlerden biri olmalıdır. Örnek: Microsoft |
| Olay Şeması | Zorunlu | Numaralandırılmış | Olayın normalleştirildiği şema. Her şema, şema adını belgeler. |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dizeli) | Şema sürümü. Her şema geçerli sürümünü belgeler. |
| EventReportUrl | İsteğe bağlı | URL (Dizgi) | Olay hakkında daha fazla bilgi sağlayan bir kaynak için olayda sağlanan URL. |
| Etkinlik Sahibi | İsteğe bağlı | Dize | Genellikle oluşturulduğu bölüm veya yan kuruluş olan olayın sahibi. |
Cihaz alanları
Farklı şemalar ve olay türleri için cihaz alanlarının rolü farklıdır. Örneğin:
- Ağ Oturumu olayları için cihaz alanları genellikle olayı oluşturan cihaz hakkında bilgi sağlar
- İşlem olayları için cihaz alanları, cihazın üzerinde işlemin yürütüldüğünü belirten bilgiler sağlar.
Her şema belgesi, şema için cihazın rolünü belirtir.
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| Dvc | Diğer ad | Dize | Şemaya bağlı olarak, olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz tanımlayıcısı. Bu alan DvcFQDN, DvcId, DvcHostname veya DvcIpAddr alanlarının diğer adını alabilir. Görünür cihaz bulunmayan bulut kaynakları için Olay Ürünü alanıyla aynı değeri kullanın. |
| DvcIpAddr | Önerilir | IP Adresi | Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği cihazın IP adresi. Örnek: 45.21.42.12 |
| DvcAna Bilgisayar Adı | Önerilir | Konak adı | Şemaya bağlı olarak, olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı. Örnek: ContosoDc |
| DvcEtki Alanı | Önerilir | Alan (Dizili) | Şemaya bağlı olarak, olayın gerçekleştiği veya olayı bildirdiği cihazın etki alanı. Örnek: Contoso |
| DvcEtki Alanı Türü | Koşullu | Numaralandırılmış | DvcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için DomainType'a bakın. Not: DvcDomain alanı kullanılıyorsa bu alan gereklidir. |
| DvcFQDN | İsteğe bağlı | FQDN (Dizeli) | Şemaya bağlı olarak, olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4DNot: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. DvcDomainType alanı kullanılan biçimi yansıtır. |
| DvcAçıklama | İsteğe bağlı | Dize | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| DvcId Kimliği | İsteğe bağlı | Dize | Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz kimliği. Örnek: 41502da5-21b7-48ec-81c9-baeea8d7d669Birden çok kimlik varsa, listedeki ilk kimliği kullanın ve DvcAzureResourceId, DvcMDEid vb. alan adlarını kullanarak diğerlerini depolayın. |
| DvcIdType | Koşullu | Numaralandırılmış | DvcId türü. İzin verilen değerlerin listesi , , MD4IoTidMDEid, , VMConnectionId, AwsVpcId, VectraId, AppGateIdFQDNve OtherşeklindedirAzureResourceId. Cihaz kimliği olarak kullanmak FQDN , ana bilgisayar adının yeniden kullanılması anlamına gelir. Bunu yalnızca son çare olarak kullanın.Not: DvcId alanı kullanılıyorsa bu alan gereklidir. |
| DvcMacAddr | İsteğe bağlı | MAC adresi | Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi. Örnek: 00:1B:44:11:3A:B7 |
| DvcZone (DvcBölgesi) | İsteğe bağlı | Dize | Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği ağ. Bölge, raporlama cihazı tarafından tanımlanır. Örnek: Dmz |
| DvcO'lar | İsteğe bağlı | Dize | Olayın oluştuğu veya olayı bildirdiği cihazda çalışan işletim sistemi. Örnek: Windows |
| DvcOsVersion | İsteğe bağlı | Dize | Olayın gerçekleştiği veya olayı bildirdiği cihazdaki işletim sisteminin sürümü. Örnek: 10 |
| DvcAction | İsteğe bağlı | Dize | Raporlama güvenlik sistemleri için, varsa sistem tarafından gerçekleştirilen eylem. Örnek: Blocked |
| DvcOriginalAction | İsteğe bağlı | Dize | Raporlama cihazı tarafından sağlanan özgün DvcAction . |
| Dvc Arayüzü | İsteğe bağlı | Dize | Verilerin yakalandığı ağ arabirimi. Bu alan genellikle bir ara veya dokunma cihazı tarafından yakalanan ağ ile ilgili etkinlikle ilgilidir. |
| DvcScopeId | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DvcScope | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsamı. DvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
Diğer alanlar
Şema güncelleştirmeleri
- Bu
EventOwneralan, 1 Aralık 2022'de ortak alanlara ve dolayısıyla tüm şemalara eklenmiştir. - Alan
EventUid, 26 Aralık 2022'de ortak alanlara ve dolayısıyla tüm şemalara eklenmiştir.
Satıcılar ve ürünler
Tutarlılığı korumak için izin verilen satıcıların ve ürünlerin listesi ASIM'in bir parçası olarak ayarlanır ve kullanılabilir olduğunda kaynak tarafından gönderilen değere doğrudan karşılık gelmez.
Sırasıyla EventVendor ve EventProduct alanlarında kullanılan satıcıların ve ürünlerin şu anda desteklenen listesi:
| Satıcı | Ürünler |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra Id - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Burada listelenmeyen bir satıcı veya ürün için ayrıştırıcı geliştiriyorsanız, izin verilen yeni satıcı ve ürün belirleyicileri ayırmak için Microsoft Sentinel ekibine başvurun.
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği