進階安全性資訊模型 (ASIM) 通用架構欄位參考 (預覽)
某些欄位適用於所有 ASIM 架構。 每個架構可能會新增使用特定架構內容中一些常見欄位的指導方針。 例如,EventType 字段允許的值可能會因架構而異,因為 EventSchemaVersion 字段的值可能會有所不同。
標準 Log Analytics 欄位
在大部分情況下,Log Analytics 會針對每個記錄產生下列字段。 當您 建立自定義連接器時,可以覆寫它們。
| 欄位 | 類型 | 討論 |
|---|---|---|
| TimeGenerated | Datetime | 報告裝置產生事件的時間。 |
| 型別 | String | 從中擷取記錄的原始數據表。 當可以透過多個通道接收到不同數據表的相同事件,而且具有相同 的 EventVendor 和 EventProduct 值時,此字段就很有用。 例如,可以將 Sysmon 事件收集到 Event 數據表或 WindowsEvent 數據表。 |
注意
Log Analytics 也會新增其他與安全性使用案例較不相關的字段。 如需詳細資訊,請參閱 Azure 監視器記錄中的標準數據行。
一般 ASIM 欄位
下列欄位是由 ASIM 針對所有架構所定義:
事件欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventMessage | 選擇性 | String | 包含在記錄中或從記錄產生的一般訊息或描述。 |
| EventCount | 必要 | 整數 | 記錄所描述的事件數目。 當來源支持匯總,而單一記錄可能會代表多個事件時,就會使用此值。 若為其他來源,請將 設定為 1。 |
| EventStartTime | 必要 | 日期時間 | 事件開始的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生第一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
| EventEndTime | 必要 | 日期時間 | 事件結束的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生最後一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
| EventType | 必要 | 枚舉 | 描述記錄所報告的作業。 每個架構都會記錄此欄位的有效值清單。 原始的來源特定值會儲存在 EventOriginalType 欄位中。 |
| EventSubType | 選擇性 | 枚舉 | 描述 EventType 欄位中所報告的作業細分。 每個架構都會記錄此欄位的有效值清單。 原始的來源特定值會儲存在 EventOriginalSubType 字段中。 |
| EventResult | 必要 | 枚舉 | 下列其中一個值: Success、 Partial、 Failure、 NA (不適用)。 您可以使用不同的詞彙,在來源記錄中提供此值,這應該會正規化為這些值。 或者,來源可能只 提供 EventResultDetails 字段,應該加以分析以衍生 EventResult 值。 範例: Success |
| EventResultDetails | 建議需求 | 枚舉 | EventResult 字段中所報告結果的原因或詳細數據。 每個架構都會記錄此欄位的有效值清單。 原始的來源特定值會儲存在 EventOriginalResultDetails 欄位中。 範例: NXDOMAIN |
| EventUid | 建議需求 | String | 記錄的唯一標識碼,由Microsoft Sentinel 指派。 此欄位通常對應至 _ItemId Log Analytics 欄位。 |
| EventOriginalUid | 選擇性 | String | 如果來源提供,則為原始記錄的唯一標識符。 範例: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | 選擇性 | String | 來源所提供的原始事件類型或標識碼。 例如,此欄位用來儲存原始的 Windows 事件識別碼。 這個值是用來衍生 EventType,每個架構應該只有一個記錄的值。 範例: 4624 |
| EventOriginalSubType | 選擇性 | String | 如果來源提供,則為原始事件子類型或標識符。 例如,此欄位是用來儲存原始 Windows 登入類型。 這個值是用來衍生 EventSubType,每個架構應該只記錄其中一個值。 範例: 2 |
| EventOriginalResultDetails | 選擇性 | String | 來源所提供的原始結果詳細數據。 這個值是用來衍生 EventResultDetails,每個架構應該只記錄其中一個值。 |
| EventSeverity | 建議需求 | 枚舉 | 事件的嚴重性。 有效值為:Informational、、LowMedium、 或 High。 |
| EventOriginalSeverity | 選擇性 | String | 報告裝置所提供的原始嚴重性。 這個值是用來衍生 EventSeverity。 |
| EventProduct | 必要 | String | 產生事件的產品。 此值應該是廠商和產品中列出的其中一個值。 範例: Sysmon |
| EventProductVersion | 選擇性 | String | 產生事件的產品版本。 範例: 12.1 |
| EventVendor | 必要 | String | 產生事件的產品的廠商。 此值應該是廠商和產品中列出的其中一個值。 範例: Microsoft |
| EventSchema | 必要 | String | 事件正規化的架構。 每個架構都會記錄其架構名稱。 |
| EventSchemaVersion | 必要 | String | 結構描述的版本。 每個架構都會記錄其目前版本。 |
| EventReportUrl | 選擇性 | String | 事件中提供的 URL,此資源會提供事件的詳細資訊。 |
| EventOwner | 選擇性 | String | 事件的擁有者,通常是產生事件的部門或子公司。 |
裝置欄位
不同架構和事件類型的裝置欄位角色不同。 例如:
- 針對網路會話事件,裝置欄位通常會提供產生事件之裝置的相關信息
- 針對 [處理] 事件,裝置欄位會提供執行進程之裝置上的資訊。
每個架構檔都會指定架構裝置的角色。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Dvc | Alias | String | 發生事件或報告事件之裝置的唯一標識符,視架構而定。 此欄位可能會將 DvcFQDN、DvcId、DvcHostname 或 DvcIpAddr 字段別名。 對於沒有明顯裝置的雲端來源,請使用與 [事件產品 ] 字段相同的值。 |
| DvcIpAddr | 建議需求 | IP 位址 | 發生事件或報告事件之裝置的IP位址,視架構而定。 範例: 45.21.42.12 |
| DvcHostname | 建議需求 | 主機名稱 | 發生事件或報告事件的裝置主機名,視架構而定。 範例: ContosoDc |
| DvcDomain | 建議需求 | String | 發生事件或報告事件之裝置的網域,視架構而定。 範例: Contoso |
| DvcDomainType | 條件 | 枚舉 | DvcDomain 的類型。 如需允許值和進一步資訊的清單,請參閱 DomainType。 注意:如果使用 DvcDomain 字段,則需要此欄位。 |
| DvcFQDN | 選擇性 | String | 發生事件或報告事件的裝置主機名,視架構而定。 範例: Contoso\DESKTOP-1282V4D注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 DvcDomainType 字段會反映所使用的格式。 |
| DvcDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| DvcId | 選擇性 | String | 發生事件或報告事件之裝置的唯一標識符,視架構而定。 範例: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | 條件 | 枚舉 | DvcId 的類型。 如需允許值和進一步資訊的清單,請參閱 DvcIdType。 - MDEid如果有多個標識碼可用,請使用清單中的第一個標識符,並使用功能變數名稱 DvcAzureResourceId 和 DvcMDEid 分別儲存其他識別碼。 注意:如果使用 DvcId 字段,則需要此欄位。 |
| DvcMacAddr | 選擇性 | MAC | 發生事件或報告事件的裝置 MAC 位址。 範例: 00:1B:44:11:3A:B7 |
| DvcZone | 選擇性 | String | 發生事件或報告事件的網路,視架構而定。 區域是由報告裝置所定義。 範例: Dmz |
| DvcOs | 選擇性 | String | 在發生事件或報告事件的裝置上執行的作業系統。 範例: Windows |
| DvcOsVersion | 選擇性 | String | 發生事件或報告事件的裝置上的操作系統版本。 範例: 10 |
| DvcAction | 建議需求 | String | 針對報告安全性系統,如果適用,則為系統所採取的動作。 範例: Blocked |
| DvcOriginalAction | 選擇性 | String | 報告裝置所提供的原始 DvcAction 。 |
| DvcInterface | 選擇性 | String | 擷取數據的網路介面。 此字段通常與中繼或點選裝置所擷取的網路相關活動相關。 |
| DvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍標識碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| DvcScope | 選擇性 | String | 裝置所屬的雲端平台範圍。 DvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
其他欄位
架構更新
- 欄位
EventOwner已於 2022 年 12 月 1 日新增至通用欄位,因此已新增至所有架構。 - 欄位
EventUid已於 2022 年 12 月 26 日新增至通用欄位,因此已新增至所有架構。
廠商和產品
為了維持一致性,允許的廠商和產品清單會設定為 ASIM 的一部分,而且可能無法在可用時直接對應至來源所傳送的值。
EventVendor 和 EventProduct 字段中目前支援的廠商和產品清單分別為:
| 廠商 | 產品 |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra 識別符 - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
如果您要為廠商或未列於此處的產品開發剖析器,請連絡 Microsoft Sentinel 小組,以配置新的允許廠商和產品指定者。
下一步
如需詳細資訊,請參閱