Megosztás a következőn keresztül:


Advanced Security Information Model (ASIM) sémák

Az Advanced Security Information Model (ASIM) séma olyan mezők készlete, amelyek egy tevékenységet jelölnek. A normalizált sémák mezőinek lekérdezésben való használatával biztosítható, hogy a lekérdezés minden normalizált forrással működjön.

Az ASIM-architektúra sémáinak illeszkedéséről az ASIM-architektúradiagramon tájékozódhat.

A sémahivatkozások az egyes sémákat alkotó mezőket ismertetik. Az ASIM jelenleg a következő sémákat határozza meg:

Séma Verzió Állam
Esemény naplózása 0,1 Előnézet
Hitelesítési esemény 0.1.3 Előnézet
DNS-tevékenység 0.1.7 Előnézet
DHCP-tevékenység 0,1 Előnézet
Fájltevékenység 0.2.1 Előnézet
Hálózati munkamenet 0.2.6 Előnézet
Folyamatesemény 0.1.4 Előnézet
Beállításjegyzék-esemény 0.1.2 Előnézet
Felhasználókezelés 0,1 Előnézet
Webes munkamenet 0.2.6 Előnézet

Fontos

Az ASIM-sémák és -elemzők jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Sémafogalmak

Az alábbi fogalmak segítenek megérteni a séma referenciadokumentumait, és normalizált módon kiterjeszteni a sémát arra az esetre, ha az adatok olyan információkat tartalmaznak, amelyekre a séma nem terjed ki.

Fogalom Leírás
Mezőnevek Az egyes sémák középpontjában a mezőnevek állnak. A mezőnevek a következő csoportokhoz tartoznak:

- Az összes sémához gyakran használt mezők.
- A sémára jellemző mezők.
- A sémában részt venni kívánt entitásokat, például felhasználókat ábrázoló mezők. Az entitásokat ábrázoló mezők a sémákban hasonlóak.

Ha a források olyan mezőkkel rendelkeznek, amelyek nem jelennek meg a dokumentált sémában, a rendszer normalizálja őket a konzisztencia fenntartása érdekében. Ha a további mezők egy entitást jelölnek, az entitásmező irányelvei alapján normalizáljuk őket. Ellenkező esetben a sémák az összes séma konzisztenciájának megőrzésére törekszenek.

Bár például a DNS-kiszolgáló tevékenységnaplói nem adnak meg felhasználói adatokat, a végpontról származó DNS-tevékenységnaplók tartalmazhatnak felhasználói adatokat, amelyek a felhasználói entitások irányelvei szerint normalizálhatók.
Mezőtípusok Minden sémamezőnek van típusa. A Log Analytics-munkaterület korlátozott adattípusokkal rendelkezik. Emiatt a Microsoft Sentinel számos sémamezőhöz logikai típust használ, amelyet a Log Analytics nem kényszerít, de a sémakompatibilitáshoz szükséges. A logikai mezőtípusok biztosítják, hogy az értékek és a mezőnevek is konzisztensek legyenek a források között.

További információ: Logikai típusok.
Mezőosztály A mezők több osztályt is tartalmazhatnak, amelyek meghatározzák, hogy mikor kell végrehajtani a mezőket egy elemzővel:

- A kötelező mezőknek minden elemzőben meg kell jelenniük. Ha a forrás nem ad meg információt erről az értékről, vagy az adatok más módon nem adhatók hozzá, akkor nem támogatja a normalizált sémára hivatkozó tartalomelemek többségét.
- Ha elérhető, az ajánlott mezőket normalizálni kell. Előfordulhat azonban, hogy nem minden forrásban érhetők el. Minden olyan tartalomelemnek, amely a normalizált sémára hivatkozik, figyelembe kell vennie a rendelkezésre állást.
- Az opcionális mezők, ha elérhetők, normalizálhatók vagy eredeti formájukban hagyhatók. A minimális elemző általában teljesítménybeli okokból nem normalizálja őket.
- A feltételes mezők kötelezőek, ha az általuk követett mező fel van töltve. A feltételes mezőket általában egy másik mező értékének leírására használják. A DvcIdType közös mező például a DvcId közös mező értékét írja le, ezért kötelező, ha az utóbbi fel van töltve.
- Az alias egy feltételes mező speciális típusa, és kötelező, ha az aliasos mező fel van töltve.
Gyakori mezők Egyes mezők gyakoriak az összes ASIM-sémában. Az egyes sémák útmutatást adhatnak az adott séma néhány gyakori mezőjének használatához. Az EventType mező engedélyezett értékei például sémánként eltérőek lehetnek, akárcsak az EventSchemaVersion mező értéke.
Entitások Az események entitások, például felhasználók, gazdagépek, folyamatok vagy fájlok körül fejlődnek. Minden entitásnak több mezőre is szüksége lehet a leírásához. Előfordulhat például, hogy egy gazdagépnek neve és IP-címe van.

Egyetlen rekord több azonos típusú entitást is tartalmazhat, például egy forrás- és egy cél gazdagépet is.

Az ASIM azt határozza meg, hogyan lehet egységesen leírni az entitásokat, és az entitások lehetővé teszik a sémák kiterjesztését.

Bár például a hálózati munkamenet sémája nem tartalmaz folyamatinformációkat, egyes eseményforrások olyan folyamatinformációkat nyújtanak, amelyek hozzáadhatók. További információ: Entitások.
Aliasok Az aliasok több nevet is engedélyeznek egy megadott értékhez. Bizonyos esetekben a különböző felhasználók azt várják, hogy egy mező neve eltérő legyen. A DNS terminológiájában például egy DnsQuery nevű mezőre lehet számítani, míg általában egy tartománynevet. Az aliastartomány mindkét név használatának engedélyezésével segíti a felhasználót.

Bizonyos esetekben egy alias több mező egyikének értékét is tartalmazhatja attól függően, hogy mely értékek érhetők el az eseményben. A Dvc aliasa például a DvcFQDN, a DvcId, a DvcHostname vagy a DvcIpAddr vagy az Event Product mezőket. Ha egy alias több értékkel is rendelkezhet, a típusának sztringnek kell lennie az összes lehetséges aliasolt értékhez. Ennek eredményeképpen, amikor értéket rendel egy ilyen aliashoz, a KQL függvény használatával sztringgé kell alakítania a típust.

A natív normalizált táblák nem tartalmaznak aliasokat, mivel ezek duplikált adattárolást jelentenek. Ehelyett a csonkelemzők hozzáadják az aliasokat. Ha aliasokat szeretne implementálni az elemzőkben, hozzon létre egy másolatot az eredeti értékről az extend operátor használatával.

Logikai típusok

Minden sémamezőnek van típusa. Néhány beépített, Log Analytics-típusú, például string, int, datetimevagy dynamic. A többi mező logikai típussal rendelkezik, amely a mezőértékek normalizálásának módját jelöli.

Adattípus Fizikai típus Formátum és érték
Logikai Bool A logikai értékek numerikus vagy sztringes ábrázolása helyett használja a beépített KQL-adattípust bool .
Felsorolt Sztring A mezőhöz explicit módon definiált értékek listája. A sémadefiníció felsorolja az elfogadott értékeket.
Dátum/idő A betöltési módszer képességeitől függően használja az alábbi fizikai ábrázolások egyikét csökkenő prioritásban:

- Log Analytics beépített datetime típus
- Egy egész szám mező a Log Analytics dátum/idő numerikus ábrázolása használatával.
- Sztringmező a Log Analytics dátum/idő numerikus ábrázolása használatával
- Egy sztringmező, amely egy támogatott Log Analytics-dátum-/időformátumot tárol.
A Log Analytics dátum- és időábrázolása hasonló, de eltér a Unix időábrázolásától. További információkért tekintse meg az átalakításra vonatkozó irányelveket.

Megjegyzés: Adott esetben az időzónát módosítani kell.
MAC-cím Sztring Kettőspont-hexadecimális jelölés.
IP-cím Sztring A Microsoft Sentinel-sémák nem rendelkeznek külön IPv4- és IPv6-címekkel. Bármely IP-címmező tartalmazhat egy IPv4-címet vagy egy IPv6-címet az alábbiak szerint:

- IPv4 pont-decimális jelölésben.
- IPv6 8 hextets jelöléssel, amely lehetővé teszi a rövid űrlapot.

Példa:
- IPv4: 192.168.10.10
- IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
- Rövid IPv6-űrlap: 1080::8:800:200C:417A
FQDN Sztring Egy teljes tartománynév pont jelöléssel, például learn.microsoft.com. További információt az Eszköz entitás című témakörben talál.
Állomásnév Sztring A gazdagépnév, amely nem teljes tartománynév, legfeljebb 63 karaktert tartalmaz, beleértve a betűket, számokat és kötőjeleket. További információt az Eszköz entitás című témakörben talál.
DomainType Enumerated A tartomány és az FQDN mezőkben tárolt tartomány típusa. Az értékek listájáért és további információkért tekintse meg az Eszköz entitást.
DvcIdType Enumerated A DvcId mezőkben tárolt eszközazonosító típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t.
DeviceType Enumerated A DeviceType mezőkben tárolt eszköz típusa. Lehetséges értékek:
- Computer
- Mobile Device
- IOT Device
- Other. További információt az Eszköz entitás című témakörben talál.
Felhasználónév Sztring Érvényes felhasználónév az egyik támogatott típusban. További információt a Felhasználó entitás című témakörben talál.
UsernameType Enumerated A felhasználónévmezőkben tárolt felhasználónév típusa. További információkért és a támogatott értékek listájáért tekintse meg a Felhasználó entitást.
UserIdType Enumerated A felhasználói azonosító mezőkben tárolt azonosító típusa.

A támogatott értékek a következőkSID: , UIS, AADID, OktaIdAWSIdés PUID. További információt a Felhasználó entitás című témakörben talál.
UserType Enumerated A felhasználó típusa. További információkért és az engedélyezett értékek listájáért tekintse meg a Felhasználó entitást.
AppType Enumerated Az alkalmazás típusa. A támogatott értékek a következők: Process
, Service, Resource, URLSaaS application, CSPés Other.
Country Sztring Az ISO 3166-1 szabványt használó sztring a következő prioritásnak megfelelően:

- Alfa-2 kódok, például US a Egyesült Államok.
- Alfa-3 kódok, például USA a Egyesült Államok.
- Rövid név.

A kódok listája a Nemzetközi Szabványügyi Szervezet (ISO) webhelyén található.
Régió Sztring Az ország/régió alosztály neve az ISO 3166-2 használatával.

A kódok listája a Nemzetközi Szabványügyi Szervezet (ISO) webhelyén található.
Város Sztring
Longitude Kétszeres ISO 6709 koordináta-ábrázolás (aláírt decimális).
Latitude Kétszeres ISO 6709 koordináta-ábrázolás (aláírt decimális).
MD5 Sztring 32 hexás karakter.
SHA1 Sztring 40 hexás karakter.
SHA256 Sztring 64 hexás karakter.
SHA512 Sztring 128 hexás karakter.

Entitások

Az események entitások, például felhasználók, gazdagépek, folyamatok vagy fájlok körül fejlődnek. Az entitásábrázolás lehetővé teszi, hogy több azonos típusú entitás egyetlen rekord része legyen, és ugyanazon entitások több attribútumát is támogatja.

Az entitásfunkciók engedélyezéséhez az entitás-ábrázolás az alábbi irányelvekkel rendelkezik:

Irányelv Leírás
Leírók és aliasok Mivel egy esemény gyakran több azonos típusú entitást is tartalmaz, például a forrás- és célgazdaszámítógépeket, a leírók előtagként szolgálnak az adott entitáshoz társított összes mező azonosításához.

A normalizálás fenntartása érdekében az ASIM egy kis standard leírókészletet használ, és kiválasztja az entitások adott szerepköréhez legmegfelelőbbeket.

Ha egy adott típusú entitás releváns egy eseményhez, nincs szükség leíró használatára. Emellett a leíró nélküli mezők halmaza minden típushoz a leggyakrabban használt entitást aliasként használja.
Azonosítók és típusok A normalizált sémák több azonosítót is lehetővé tesz minden entitáshoz, amelyek várhatóan együtt léteznek az eseményekben. Ha a forrásesemény más entitásazonosítókkal is rendelkezik, amelyek nem rendelhetők hozzá a normalizált sémához, tartsa őket a forrásűrlapon, vagy használja az AdditionalFields dinamikus mezőt.

Az azonosítók típusadatainak megőrzéséhez tárolja a típust, ha van ilyen, egy azonos nevű mezőben és a Type utótagban. Például: UserIdType.
Attribútumok Az entitások gyakran más attribútumokkal is rendelkeznek, amelyek nem szolgálnak azonosítóként, és leíróval is minősíthetők. Ha például a forrásfelhasználó tartományinformációkkal rendelkezik, a normalizált mező a SrcUserDomain.

Minden séma explicit módon határozza meg a központi entitásokat és az entitásmezőket. Az alábbi irányelvek lehetővé teszik a központi sémamezők megértését, valamint a sémák normalizált módon történő kiterjesztését a sémában explicit módon nem definiált entitások vagy entitásmezők használatával.

A Felhasználó entitás

A felhasználók központi szerepet látnak az események által jelentett tevékenységekben. Az ebben a szakaszban felsorolt mezők a műveletben részt vevő felhasználók leírására szolgálnak. Az előtagok a felhasználó tevékenységben betöltött szerepének kijelölésére szolgálnak. Az előtagok SrcDst a hálózati események felhasználói szerepkörének kijelölésére szolgálnak, amelyekben a forrásrendszer és a célrendszer kommunikál. Az "Actor" és a "Target" előtagok rendszerorientált eseményekhez, például folyamateseményekhez használatosak.

A felhasználó azonosítója és hatóköre

Mező Osztály Típus Leírás
UserId Választható Sztring A felhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása.
UserScope Választható húr Az a hatókör, amelyben a UserId és a Felhasználónév definiálva van. Például egy Microsoft Entra-bérlő tartományneve. A UserIdType mező a mezőhöz társított típust is jelöli.
UserScopeId Választható húr Annak a hatókörnek az azonosítója, amelyben a UserId és a Felhasználónév definiálva van. Például egy Microsoft Entra-bérlői címtárazonosító. A UserIdType mező a mezőhöz társított típust is jelöli.
UserIdType Választható UserIdType A UserId mezőben tárolt azonosító típusa.
UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid Választható Sztring Adott felhasználói azonosítók tárolására használt mezők. Válassza ki az eseményhez leginkább társított azonosítót a UserIdben tárolt elsődleges azonosítóként. Töltse ki a releváns azonosító mezőt a UserId mellett, még akkor is, ha az esemény csak egy azonosítóval rendelkezik.
UserAADTenant, UserAWSAccount Választható Sztring Adott hatókörök tárolására használt mezők. Használja a UserScope mezőt a UserId mezőben tárolt azonosítóhoz társított hatókörhöz. Töltse ki a releváns hatókörmezőt a UserScope mellett, még akkor is, ha az esemény csak egy azonosítóval rendelkezik.

A felhasználói azonosítók típusának engedélyezett értékei a következők:

Típus Leírás Példa
SID Windows-felhasználói azonosító. S-1-5-21-1377283216-344919071-3415362939-500
UID Linuxos felhasználói azonosító. 4578
AADID Microsoft Entra felhasználói azonosító. 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
OktaId Egy Okta felhasználói azonosító. 00urjk4znu3BcncfY0h7
AWSId Egy AWS-felhasználói azonosító. 72643944673
PUID Microsoft 365-ös felhasználói azonosító. 10032001582F435C
SalesforceId Egy Salesforce felhasználói azonosító. 00530000009M943

A felhasználónév

Mező Osztály Típus Leírás
Felhasználónév Választható Sztring A forrás felhasználóneve, beleértve a tartományinformációkat is, ha elérhetők. Csak akkor használja az egyszerű űrlapot, ha a tartományinformációk nem érhetők el. Tárolja a Felhasználónév típust a UsernameType mezőben.
UsernameType Választható UsernameType A Felhasználónév mezőben tárolt felhasználónév típusát adja meg.
UserUPN, WindowsUsername, DNUsername, SimpleUsername Választható Sztring A további felhasználónevek tárolására használt mezők, ha az eredeti esemény több felhasználónevet is tartalmaz. Válassza ki az eseményhez leginkább társított felhasználónevet a felhasználónévben tárolt elsődleges felhasználónévként.

A felhasználónévtípus megengedett értékei a következők:

Típus Leírás Példa
UPN UPN- vagy e-mail-cím felhasználónév-tervezője. johndow@contoso.com
Windows Windows-felhasználónév, tartományt is beleértve. Contoso\johndow
DN LDAP-megkülönböztetett névkijelölő. CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
Egyszerű Egyszerű felhasználónév tartománytervező nélkül. johndow
AWSId Egy AWS-felhasználói azonosító. 72643944673

További felhasználói mezők

Mező Osztály Típus Leírás
UserType Választható UserType A forrásfelhasználó típusa. A támogatott értékek a következők:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Service
- Anonymous
- Other.

Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti érték tárolása az OriginalUserType mezőben.
OriginalUserType Választható Sztring Ha a jelentéskészítő eszköz megadja, az eredeti célfelhasználó típusa.

Az eszköz entitása

Az eszközök vagy gazdagépek az eseményben részt vesző rendszerek általános kifejezései. Az Dvc előtag az elsődleges eszköz kijelölésére szolgál, amelyen az esemény történik. Egyes események, például a hálózati munkamenetek, rendelkeznek forrás- és céleszközökkel, amelyeket az előtag Src és Dsta . Ilyen esetben az előtagot Dvc az eseményt jelentő eszköz használja, amely lehet a forrás, a cél vagy a monitorozási eszköz.

Az eszköz aliasai

Mező Osztály Típus Leírás
Dvc, Src, Dst Kötelező Sztring Az Dvceszköz egyedi azonosítójaként az "Src" vagy a "Dst" mezőket használjuk. Az eszközhöz leginkább elérhető értékre van állítva. Ezek a mezők az FQDN, a DvcId, a Hostname vagy az IpAddr mezők aliasát is tartalmazhatják. Olyan felhőforrások esetében, amelyeknél nincs látható eszköz, használja ugyanazt az értéket, mint az Eseménytermék mező.

Az eszköz neve

A jelentett eszköznevek tartalmazhatnak csak állomásnevet vagy teljes tartománynevet (FQDN), amely tartalmazza a gazdagépnevet és a tartománynevet. A teljes tartománynév több formátum használatával is kifejezhető. Az alábbi mezők támogatják azokat a különböző változatokat, amelyekben az eszköz neve szerepelhet.

Mező Osztály Típus Leírás
Állomásnév Ajánlott Hostname (Gazdanév) Az eszköz rövid állomásneve.
Tartomány Ajánlott Sztring Annak az eszköznek a tartománya, amelyen az esemény történt, a gazdagép neve nélkül.
DomainType Ajánlott Enumerated A tartomány típusa. A támogatott értékek közé tartoznak a következők FQDN : és Windows. Erre a mezőre a Tartomány mező használata esetén van szükség.
FQDN Választható Sztring Az eszköz teljes tartományneve, beleértve a gazdagépnevet és a tartományt is. Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. A DomainType mező a használt formátumot tükrözi.

Példa:

Mező Bemenet értéke appserver.contoso.com bemeneti érték appserver
Állomásnév appserver appserver
Tartomány contoso.con <üres>
DomainType FQDN <üres>
FQDN appserver.contoso.com <üres>

Ha a forrás által megadott érték teljes tartománynév, vagy ha az érték vagy teljes tartománynév vagy rövid állomásnév, az elemzőnek ki kell számítania a 4 értéket. Használja az ASIM segédfüggvényeket_ASIM_ResolveFQDN_ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNés _ASIM_ResolveDvcFQDN egyszerűen beállíthatja mind a négy mezőt egyetlen bemeneti érték alapján. További információ: ASIM segédfüggvények.

Az eszköz azonosítója és hatóköre

Mező Osztály Típus Leírás
DvcId Választható Sztring Az eszköz egyedi azonosítója. Például: 41502da5-21b7-48ec-81c9-baeea8d7d669
Hatókörazonosító Választható Sztring A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Hatókör-leképezés egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra.
Hatókör Választható Sztring A felhőplatform hatóköre, amelyhez az eszköz tartozik. Hatókör-leképezés egy Azure-előfizetésre és egy AWS-fiókra.
DvcIdType Választható Enumerated A DvcId típusa. Ez a mező általában a Hatókör és a Hatókörazonosító típusát is azonosítja. Erre a mezőre a DvcId mező használata esetén van szükség.
DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId Választható Sztring További eszközazonosítók tárolására használt mezők, ha az eredeti esemény több eszközazonosítót is tartalmaz. Válassza ki az eseményhez leginkább társított eszközazonosítót a DvcId-ben tárolt elsődleges azonosítóként.

Vegye figyelembe, hogy a névvel ellátott mezőknek elő kell illesztenie egy szerepkör-előtagot, például Src vagy Dst, de nem szabad előtagot előszedni, Dvc ha az adott szerepkörben használják.

Az eszközazonosító-típus engedélyezett értékei a következők:

Típus Leírás
MDEid A Végponthoz készült Microsoft Defender által hozzárendelt rendszerazonosító.
AzureResourceId Az Azure-erőforrás azonosítója.
MD4IoTid A Microsoft Defender for IoT erőforrás-azonosítója.
VMConnectionId Az Azure Monitor VM Insights-megoldás erőforrás-azonosítója.
AwsVpcId AWS VPC-azonosító.
VectraId Vectra AI által hozzárendelt erőforrás-azonosító.
Egyéb A fentiekben nem szereplő azonosítótípus.

Az Azure Monitor VM Insights-megoldás például a hálózati munkamenetek adatait tartalmazza a VMConnection. A tábla egy Azure-erőforrás-azonosítót biztosít a _ResourceId mezőben, és egy virtuálisgép-elemzési eszközazonosítót a Machine mezőben. Ezeket az azonosítókat a következő leképezés használatával jelölheti:

Mező Leképezés
DvcId A Machine tábla mezője VMConnection .
DvcIdType Az érték VMConnectionId
DvcAzureResourceId A _ResourceId tábla mezője VMConnection .

További eszközmezők

Mező Osztály Típus Leírás
IpAddr Ajánlott IP-cím Az eszköz IP-címe.

Példa: 45.21.42.12
DvcDescription Választható Sztring Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller
MacAddr Választható MAC Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette.

Példa: 00:1B:44:11:3A:B7
Övezet Választható Sztring Az a hálózat, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt. A zónát a jelentéskészítő eszköz határozza meg.

Példa: Dmz
DvcOs Választható Sztring Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette.

Példa: Windows
DvcOsVersion Választható Sztring Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette.

Példa: 10
DvcAction Választható Sztring A biztonsági rendszerek jelentéséhez a rendszer által végrehajtott művelet, ha van ilyen.

Példa: Blocked
DvcOriginalAction Választható Sztring A jelentéskészítő eszköz által megadott eredeti DvcAction .
Interfész Választható Sztring Az a hálózati adapter, amelyen az adatokat rögzítették. Ez a mező általában a hálózattal kapcsolatos tevékenységekre vonatkozik, amelyeket egy köztes vagy koppintásos eszköz rögzít.

Vegye figyelembe, hogy a Dvc előtaggal rendelkező listában szereplő mezőknek előtagként kell előtagot felfűznie egy szerepkör-előtagra, például Src vagy Dst, de a szerepkörben való használat esetén nem szabad előtagot Dvc előszedni.

Minta entitásleképezés

Ez a szakasz a Windows 4624-es eseményt használja példaként a Microsoft Sentinel eseményadatainak normalizálására.

Az esemény a következő entitásokkal rendelkezik:

Microsoft-terminológia Az eredeti eseménymező előtagja ASIM mezőelőtag Leírás
Tárgy Subject Actor Az a felhasználó, aki a sikeres bejelentkezéssel kapcsolatos információkat jelentette.
Új bejelentkezés Target TargetUser Az a felhasználó, akinél a bejelentkezést végrehajtották.
Folyamat - ActingProcess A bejelentkezést megkísérlő folyamat.
Hálózati információk - Src Az a gép, amelyről bejelentkezési kísérletet hajtottak végre.

Ezen entitások alapján a Windows 4624-esemény normalizálása az alábbiak szerint történik (egyes mezők nem kötelezőek):

Normalizált mező Eredeti mező Érték a példában Jegyzetek
ActorUserId SubjectUserSid S-1-5-18
ActorUserIdType - SID
ActorUserName SubjectDomainName\ SubjectUserName WORKGROUP\WIN-GG82ULGC9GO$ A két mező összefűzésével készült
ActorUserNameType - Windows
ActorSessionId SubjectLogonId 0x3e7
TargetUserId TargetUserSid S-1-5-21-1377283216-344919071-3415362939-500
UserId TargetUserSid Alias
TargetUserIdType - SID
TargetUserName TargetDomainName\ TargetUserName Rendszergazda\WIN-GG82ULGC9GO$ A két mező összefűzésével készült
Felhasználónév TargetDomainName\ TargetUserName Alias
TargetUserNameType - Windows
TargetSessionId TargetLogonId 0x8dcdc
ActingProcessName ProcessName C:\Windows\System32\svchost.exe
ActingProcessId ProcessId 0x44c
SrcHostname WorkstationName Windows
SrcIpAddr IpAddress 127.0.0.1.
SrcPortNumber IpPort 0
TargetHostname Számítógép WIN-GG82ULGC9GO
Állomásnév Számítógép Alias

Következő lépések

Ez a cikk áttekintést nyújt a Microsoft Sentinel és az ASIM normalizálásáról.

További információk: