Advanced Security Information Model (ASIM) sémák
Az Advanced Security Information Model (ASIM) séma olyan mezők készlete, amelyek egy tevékenységet jelölnek. A normalizált sémák mezőinek lekérdezésben való használatával biztosítható, hogy a lekérdezés minden normalizált forrással működjön.
Az ASIM-architektúra sémáinak illeszkedéséről az ASIM-architektúradiagramon tájékozódhat.
A sémahivatkozások az egyes sémákat alkotó mezőket ismertetik. Az ASIM jelenleg a következő sémákat határozza meg:
| Séma | Verzió | Állam |
|---|---|---|
| Esemény naplózása | 0,1 | Előnézet |
| Hitelesítési esemény | 0.1.3 | Előnézet |
| DNS-tevékenység | 0.1.7 | Előnézet |
| DHCP-tevékenység | 0,1 | Előnézet |
| Fájltevékenység | 0.2.1 | Előnézet |
| Hálózati munkamenet | 0.2.6 | Előnézet |
| Folyamatesemény | 0.1.4 | Előnézet |
| Beállításjegyzék-esemény | 0.1.2 | Előnézet |
| Felhasználókezelés | 0,1 | Előnézet |
| Webes munkamenet | 0.2.6 | Előnézet |
Fontos
Az ASIM-sémák és -elemzők jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Sémafogalmak
Az alábbi fogalmak segítenek megérteni a séma referenciadokumentumait, és normalizált módon kiterjeszteni a sémát arra az esetre, ha az adatok olyan információkat tartalmaznak, amelyekre a séma nem terjed ki.
| Fogalom | Leírás |
|---|---|
| Mezőnevek | Az egyes sémák középpontjában a mezőnevek állnak. A mezőnevek a következő csoportokhoz tartoznak: - Az összes sémához gyakran használt mezők. - A sémára jellemző mezők. - A sémában részt venni kívánt entitásokat, például felhasználókat ábrázoló mezők. Az entitásokat ábrázoló mezők a sémákban hasonlóak. Ha a források olyan mezőkkel rendelkeznek, amelyek nem jelennek meg a dokumentált sémában, a rendszer normalizálja őket a konzisztencia fenntartása érdekében. Ha a további mezők egy entitást jelölnek, az entitásmező irányelvei alapján normalizáljuk őket. Ellenkező esetben a sémák az összes séma konzisztenciájának megőrzésére törekszenek. Bár például a DNS-kiszolgáló tevékenységnaplói nem adnak meg felhasználói adatokat, a végpontról származó DNS-tevékenységnaplók tartalmazhatnak felhasználói adatokat, amelyek a felhasználói entitások irányelvei szerint normalizálhatók. |
| Mezőtípusok | Minden sémamezőnek van típusa. A Log Analytics-munkaterület korlátozott adattípusokkal rendelkezik. Emiatt a Microsoft Sentinel számos sémamezőhöz logikai típust használ, amelyet a Log Analytics nem kényszerít, de a sémakompatibilitáshoz szükséges. A logikai mezőtípusok biztosítják, hogy az értékek és a mezőnevek is konzisztensek legyenek a források között. További információ: Logikai típusok. |
| Mezőosztály | A mezők több osztályt is tartalmazhatnak, amelyek meghatározzák, hogy mikor kell végrehajtani a mezőket egy elemzővel: - A kötelező mezőknek minden elemzőben meg kell jelenniük. Ha a forrás nem ad meg információt erről az értékről, vagy az adatok más módon nem adhatók hozzá, akkor nem támogatja a normalizált sémára hivatkozó tartalomelemek többségét. - Ha elérhető, az ajánlott mezőket normalizálni kell. Előfordulhat azonban, hogy nem minden forrásban érhetők el. Minden olyan tartalomelemnek, amely a normalizált sémára hivatkozik, figyelembe kell vennie a rendelkezésre állást. - Az opcionális mezők, ha elérhetők, normalizálhatók vagy eredeti formájukban hagyhatók. A minimális elemző általában teljesítménybeli okokból nem normalizálja őket. - A feltételes mezők kötelezőek, ha az általuk követett mező fel van töltve. A feltételes mezőket általában egy másik mező értékének leírására használják. A DvcIdType közös mező például a DvcId közös mező értékét írja le, ezért kötelező, ha az utóbbi fel van töltve. - Az alias egy feltételes mező speciális típusa, és kötelező, ha az aliasos mező fel van töltve. |
| Gyakori mezők | Egyes mezők gyakoriak az összes ASIM-sémában. Az egyes sémák útmutatást adhatnak az adott séma néhány gyakori mezőjének használatához. Az EventType mező engedélyezett értékei például sémánként eltérőek lehetnek, akárcsak az EventSchemaVersion mező értéke. |
| Entitások | Az események entitások, például felhasználók, gazdagépek, folyamatok vagy fájlok körül fejlődnek. Minden entitásnak több mezőre is szüksége lehet a leírásához. Előfordulhat például, hogy egy gazdagépnek neve és IP-címe van. Egyetlen rekord több azonos típusú entitást is tartalmazhat, például egy forrás- és egy cél gazdagépet is. Az ASIM azt határozza meg, hogyan lehet egységesen leírni az entitásokat, és az entitások lehetővé teszik a sémák kiterjesztését. Bár például a hálózati munkamenet sémája nem tartalmaz folyamatinformációkat, egyes eseményforrások olyan folyamatinformációkat nyújtanak, amelyek hozzáadhatók. További információ: Entitások. |
| Aliasok | Az aliasok több nevet is engedélyeznek egy megadott értékhez. Bizonyos esetekben a különböző felhasználók azt várják, hogy egy mező neve eltérő legyen. A DNS terminológiájában például egy DnsQuery nevű mezőre lehet számítani, míg általában egy tartománynevet. Az aliastartomány mindkét név használatának engedélyezésével segíti a felhasználót. Bizonyos esetekben egy alias több mező egyikének értékét is tartalmazhatja attól függően, hogy mely értékek érhetők el az eseményben. A Dvc aliasa például a DvcFQDN, a DvcId, a DvcHostname vagy a DvcIpAddr vagy az Event Product mezőket. Ha egy alias több értékkel is rendelkezhet, a típusának sztringnek kell lennie az összes lehetséges aliasolt értékhez. Ennek eredményeképpen, amikor értéket rendel egy ilyen aliashoz, a KQL függvény használatával sztringgé kell alakítania a típust. A natív normalizált táblák nem tartalmaznak aliasokat, mivel ezek duplikált adattárolást jelentenek. Ehelyett a csonkelemzők hozzáadják az aliasokat. Ha aliasokat szeretne implementálni az elemzőkben, hozzon létre egy másolatot az eredeti értékről az extend operátor használatával. |
Logikai típusok
Minden sémamezőnek van típusa. Néhány beépített, Log Analytics-típusú, például string, int, datetimevagy dynamic. A többi mező logikai típussal rendelkezik, amely a mezőértékek normalizálásának módját jelöli.
| Adattípus | Fizikai típus | Formátum és érték |
|---|---|---|
| Logikai | Bool | A logikai értékek numerikus vagy sztringes ábrázolása helyett használja a beépített KQL-adattípust bool . |
| Felsorolt | Sztring | A mezőhöz explicit módon definiált értékek listája. A sémadefiníció felsorolja az elfogadott értékeket. |
| Dátum/idő | A betöltési módszer képességeitől függően használja az alábbi fizikai ábrázolások egyikét csökkenő prioritásban: - Log Analytics beépített datetime típus - Egy egész szám mező a Log Analytics dátum/idő numerikus ábrázolása használatával. - Sztringmező a Log Analytics dátum/idő numerikus ábrázolása használatával - Egy sztringmező, amely egy támogatott Log Analytics-dátum-/időformátumot tárol. |
A Log Analytics dátum- és időábrázolása hasonló, de eltér a Unix időábrázolásától. További információkért tekintse meg az átalakításra vonatkozó irányelveket. Megjegyzés: Adott esetben az időzónát módosítani kell. |
| MAC-cím | Sztring | Kettőspont-hexadecimális jelölés. |
| IP-cím | Sztring | A Microsoft Sentinel-sémák nem rendelkeznek külön IPv4- és IPv6-címekkel. Bármely IP-címmező tartalmazhat egy IPv4-címet vagy egy IPv6-címet az alábbiak szerint: - IPv4 pont-decimális jelölésben. - IPv6 8 hextets jelöléssel, amely lehetővé teszi a rövid űrlapot. Példa: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Rövid IPv6-űrlap: 1080::8:800:200C:417A |
| FQDN | Sztring | Egy teljes tartománynév pont jelöléssel, például learn.microsoft.com. További információt az Eszköz entitás című témakörben talál. |
| Állomásnév | Sztring | A gazdagépnév, amely nem teljes tartománynév, legfeljebb 63 karaktert tartalmaz, beleértve a betűket, számokat és kötőjeleket. További információt az Eszköz entitás című témakörben talál. |
| DomainType | Enumerated | A tartomány és az FQDN mezőkben tárolt tartomány típusa. Az értékek listájáért és további információkért tekintse meg az Eszköz entitást. |
| DvcIdType | Enumerated | A DvcId mezőkben tárolt eszközazonosító típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t. |
| DeviceType | Enumerated | A DeviceType mezőkben tárolt eszköz típusa. Lehetséges értékek: - Computer- Mobile Device- IOT Device- Other. További információt az Eszköz entitás című témakörben talál. |
| Felhasználónév | Sztring | Érvényes felhasználónév az egyik támogatott típusban. További információt a Felhasználó entitás című témakörben talál. |
| UsernameType | Enumerated | A felhasználónévmezőkben tárolt felhasználónév típusa. További információkért és a támogatott értékek listájáért tekintse meg a Felhasználó entitást. |
| UserIdType | Enumerated | A felhasználói azonosító mezőkben tárolt azonosító típusa. A támogatott értékek a következők SID: , UIS, AADID, OktaIdAWSIdés PUID. További információt a Felhasználó entitás című témakörben talál. |
| UserType | Enumerated | A felhasználó típusa. További információkért és az engedélyezett értékek listájáért tekintse meg a Felhasználó entitást. |
| AppType | Enumerated | Az alkalmazás típusa. A támogatott értékek a következők: Process, Service, Resource, URLSaaS application, CSPés Other. |
| Country | Sztring | Az ISO 3166-1 szabványt használó sztring a következő prioritásnak megfelelően: - Alfa-2 kódok, például US a Egyesült Államok. - Alfa-3 kódok, például USA a Egyesült Államok. - Rövid név. A kódok listája a Nemzetközi Szabványügyi Szervezet (ISO) webhelyén található. |
| Régió | Sztring | Az ország/régió alosztály neve az ISO 3166-2 használatával. A kódok listája a Nemzetközi Szabványügyi Szervezet (ISO) webhelyén található. |
| Város | Sztring | |
| Longitude | Kétszeres | ISO 6709 koordináta-ábrázolás (aláírt decimális). |
| Latitude | Kétszeres | ISO 6709 koordináta-ábrázolás (aláírt decimális). |
| MD5 | Sztring | 32 hexás karakter. |
| SHA1 | Sztring | 40 hexás karakter. |
| SHA256 | Sztring | 64 hexás karakter. |
| SHA512 | Sztring | 128 hexás karakter. |
Entitások
Az események entitások, például felhasználók, gazdagépek, folyamatok vagy fájlok körül fejlődnek. Az entitásábrázolás lehetővé teszi, hogy több azonos típusú entitás egyetlen rekord része legyen, és ugyanazon entitások több attribútumát is támogatja.
Az entitásfunkciók engedélyezéséhez az entitás-ábrázolás az alábbi irányelvekkel rendelkezik:
| Irányelv | Leírás |
|---|---|
| Leírók és aliasok | Mivel egy esemény gyakran több azonos típusú entitást is tartalmaz, például a forrás- és célgazdaszámítógépeket, a leírók előtagként szolgálnak az adott entitáshoz társított összes mező azonosításához. A normalizálás fenntartása érdekében az ASIM egy kis standard leírókészletet használ, és kiválasztja az entitások adott szerepköréhez legmegfelelőbbeket. Ha egy adott típusú entitás releváns egy eseményhez, nincs szükség leíró használatára. Emellett a leíró nélküli mezők halmaza minden típushoz a leggyakrabban használt entitást aliasként használja. |
| Azonosítók és típusok | A normalizált sémák több azonosítót is lehetővé tesz minden entitáshoz, amelyek várhatóan együtt léteznek az eseményekben. Ha a forrásesemény más entitásazonosítókkal is rendelkezik, amelyek nem rendelhetők hozzá a normalizált sémához, tartsa őket a forrásűrlapon, vagy használja az AdditionalFields dinamikus mezőt. Az azonosítók típusadatainak megőrzéséhez tárolja a típust, ha van ilyen, egy azonos nevű mezőben és a Type utótagban. Például: UserIdType. |
| Attribútumok | Az entitások gyakran más attribútumokkal is rendelkeznek, amelyek nem szolgálnak azonosítóként, és leíróval is minősíthetők. Ha például a forrásfelhasználó tartományinformációkkal rendelkezik, a normalizált mező a SrcUserDomain. |
Minden séma explicit módon határozza meg a központi entitásokat és az entitásmezőket. Az alábbi irányelvek lehetővé teszik a központi sémamezők megértését, valamint a sémák normalizált módon történő kiterjesztését a sémában explicit módon nem definiált entitások vagy entitásmezők használatával.
A Felhasználó entitás
A felhasználók központi szerepet látnak az események által jelentett tevékenységekben. Az ebben a szakaszban felsorolt mezők a műveletben részt vevő felhasználók leírására szolgálnak. Az előtagok a felhasználó tevékenységben betöltött szerepének kijelölésére szolgálnak. Az előtagok SrcDst a hálózati események felhasználói szerepkörének kijelölésére szolgálnak, amelyekben a forrásrendszer és a célrendszer kommunikál. Az "Actor" és a "Target" előtagok rendszerorientált eseményekhez, például folyamateseményekhez használatosak.
A felhasználó azonosítója és hatóköre
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| UserId | Választható | Sztring | A felhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. |
| UserScope | Választható | húr | Az a hatókör, amelyben a UserId és a Felhasználónév definiálva van. Például egy Microsoft Entra-bérlő tartományneve. A UserIdType mező a mezőhöz társított típust is jelöli. |
| UserScopeId | Választható | húr | Annak a hatókörnek az azonosítója, amelyben a UserId és a Felhasználónév definiálva van. Például egy Microsoft Entra-bérlői címtárazonosító. A UserIdType mező a mezőhöz társított típust is jelöli. |
| UserIdType | Választható | UserIdType | A UserId mezőben tárolt azonosító típusa. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Választható | Sztring | Adott felhasználói azonosítók tárolására használt mezők. Válassza ki az eseményhez leginkább társított azonosítót a UserIdben tárolt elsődleges azonosítóként. Töltse ki a releváns azonosító mezőt a UserId mellett, még akkor is, ha az esemény csak egy azonosítóval rendelkezik. |
| UserAADTenant, UserAWSAccount | Választható | Sztring | Adott hatókörök tárolására használt mezők. Használja a UserScope mezőt a UserId mezőben tárolt azonosítóhoz társított hatókörhöz. Töltse ki a releváns hatókörmezőt a UserScope mellett, még akkor is, ha az esemény csak egy azonosítóval rendelkezik. |
A felhasználói azonosítók típusának engedélyezett értékei a következők:
| Típus | Leírás | Példa |
|---|---|---|
| SID | Windows-felhasználói azonosító. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Linuxos felhasználói azonosító. | 4578 |
| AADID | Microsoft Entra felhasználói azonosító. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Egy Okta felhasználói azonosító. | 00urjk4znu3BcncfY0h7 |
| AWSId | Egy AWS-felhasználói azonosító. | 72643944673 |
| PUID | Microsoft 365-ös felhasználói azonosító. | 10032001582F435C |
| SalesforceId | Egy Salesforce felhasználói azonosító. | 00530000009M943 |
A felhasználónév
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Felhasználónév | Választható | Sztring | A forrás felhasználóneve, beleértve a tartományinformációkat is, ha elérhetők. Csak akkor használja az egyszerű űrlapot, ha a tartományinformációk nem érhetők el. Tárolja a Felhasználónév típust a UsernameType mezőben. |
| UsernameType | Választható | UsernameType | A Felhasználónév mezőben tárolt felhasználónév típusát adja meg. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Választható | Sztring | A további felhasználónevek tárolására használt mezők, ha az eredeti esemény több felhasználónevet is tartalmaz. Válassza ki az eseményhez leginkább társított felhasználónevet a felhasználónévben tárolt elsődleges felhasználónévként. |
A felhasználónévtípus megengedett értékei a következők:
| Típus | Leírás | Példa |
|---|---|---|
| UPN | UPN- vagy e-mail-cím felhasználónév-tervezője. | johndow@contoso.com |
| Windows | Windows-felhasználónév, tartományt is beleértve. | Contoso\johndow |
| DN | LDAP-megkülönböztetett névkijelölő. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Egyszerű | Egyszerű felhasználónév tartománytervező nélkül. | johndow |
| AWSId | Egy AWS-felhasználói azonosító. | 72643944673 |
További felhasználói mezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| UserType | Választható | UserType | A forrásfelhasználó típusa. A támogatott értékek a következők: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti érték tárolása az OriginalUserType mezőben. |
| OriginalUserType | Választható | Sztring | Ha a jelentéskészítő eszköz megadja, az eredeti célfelhasználó típusa. |
Az eszköz entitása
Az eszközök vagy gazdagépek az eseményben részt vesző rendszerek általános kifejezései. Az Dvc előtag az elsődleges eszköz kijelölésére szolgál, amelyen az esemény történik. Egyes események, például a hálózati munkamenetek, rendelkeznek forrás- és céleszközökkel, amelyeket az előtag Src és Dsta . Ilyen esetben az előtagot Dvc az eseményt jelentő eszköz használja, amely lehet a forrás, a cél vagy a monitorozási eszköz.
Az eszköz aliasai
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Dvc, Src, Dst | Kötelező | Sztring | Az Dvceszköz egyedi azonosítójaként az "Src" vagy a "Dst" mezőket használjuk. Az eszközhöz leginkább elérhető értékre van állítva. Ezek a mezők az FQDN, a DvcId, a Hostname vagy az IpAddr mezők aliasát is tartalmazhatják. Olyan felhőforrások esetében, amelyeknél nincs látható eszköz, használja ugyanazt az értéket, mint az Eseménytermék mező. |
Az eszköz neve
A jelentett eszköznevek tartalmazhatnak csak állomásnevet vagy teljes tartománynevet (FQDN), amely tartalmazza a gazdagépnevet és a tartománynevet. A teljes tartománynév több formátum használatával is kifejezhető. Az alábbi mezők támogatják azokat a különböző változatokat, amelyekben az eszköz neve szerepelhet.
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Állomásnév | Ajánlott | Hostname (Gazdanév) | Az eszköz rövid állomásneve. |
| Tartomány | Ajánlott | Sztring | Annak az eszköznek a tartománya, amelyen az esemény történt, a gazdagép neve nélkül. |
| DomainType | Ajánlott | Enumerated | A tartomány típusa. A támogatott értékek közé tartoznak a következők FQDN : és Windows. Erre a mezőre a Tartomány mező használata esetén van szükség. |
| FQDN | Választható | Sztring | Az eszköz teljes tartományneve, beleértve a gazdagépnevet és a tartományt is. Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. A DomainType mező a használt formátumot tükrözi. |
Példa:
| Mező | Bemenet értéke appserver.contoso.com |
bemeneti érték appserver |
|---|---|---|
| Állomásnév | appserver |
appserver |
| Tartomány | contoso.con |
<üres> |
| DomainType | FQDN |
<üres> |
| FQDN | appserver.contoso.com |
<üres> |
Ha a forrás által megadott érték teljes tartománynév, vagy ha az érték vagy teljes tartománynév vagy rövid állomásnév, az elemzőnek ki kell számítania a 4 értéket. Használja az ASIM segédfüggvényeket_ASIM_ResolveFQDN_ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNés _ASIM_ResolveDvcFQDN egyszerűen beállíthatja mind a négy mezőt egyetlen bemeneti érték alapján. További információ: ASIM segédfüggvények.
Az eszköz azonosítója és hatóköre
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| DvcId | Választható | Sztring | Az eszköz egyedi azonosítója. Például: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Hatókörazonosító | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Hatókör-leképezés egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra. |
| Hatókör | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. Hatókör-leképezés egy Azure-előfizetésre és egy AWS-fiókra. |
| DvcIdType | Választható | Enumerated | A DvcId típusa. Ez a mező általában a Hatókör és a Hatókörazonosító típusát is azonosítja. Erre a mezőre a DvcId mező használata esetén van szükség. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Választható | Sztring | További eszközazonosítók tárolására használt mezők, ha az eredeti esemény több eszközazonosítót is tartalmaz. Válassza ki az eseményhez leginkább társított eszközazonosítót a DvcId-ben tárolt elsődleges azonosítóként. |
Vegye figyelembe, hogy a névvel ellátott mezőknek elő kell illesztenie egy szerepkör-előtagot, például Src vagy Dst, de nem szabad előtagot előszedni, Dvc ha az adott szerepkörben használják.
Az eszközazonosító-típus engedélyezett értékei a következők:
| Típus | Leírás |
|---|---|
| MDEid | A Végponthoz készült Microsoft Defender által hozzárendelt rendszerazonosító. |
| AzureResourceId | Az Azure-erőforrás azonosítója. |
| MD4IoTid | A Microsoft Defender for IoT erőforrás-azonosítója. |
| VMConnectionId | Az Azure Monitor VM Insights-megoldás erőforrás-azonosítója. |
| AwsVpcId | AWS VPC-azonosító. |
| VectraId | Vectra AI által hozzárendelt erőforrás-azonosító. |
| Egyéb | A fentiekben nem szereplő azonosítótípus. |
Az Azure Monitor VM Insights-megoldás például a hálózati munkamenetek adatait tartalmazza a VMConnection. A tábla egy Azure-erőforrás-azonosítót biztosít a _ResourceId mezőben, és egy virtuálisgép-elemzési eszközazonosítót a Machine mezőben. Ezeket az azonosítókat a következő leképezés használatával jelölheti:
| Mező | Leképezés |
|---|---|
| DvcId | A Machine tábla mezője VMConnection . |
| DvcIdType | Az érték VMConnectionId |
| DvcAzureResourceId | A _ResourceId tábla mezője VMConnection . |
További eszközmezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| IpAddr | Ajánlott | IP-cím | Az eszköz IP-címe. Példa: 45.21.42.12 |
| DvcDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
| MacAddr | Választható | MAC | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. Példa: 00:1B:44:11:3A:B7 |
| Övezet | Választható | Sztring | Az a hálózat, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt. A zónát a jelentéskészítő eszköz határozza meg. Példa: Dmz |
| DvcOs | Választható | Sztring | Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette. Példa: Windows |
| DvcOsVersion | Választható | Sztring | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. Példa: 10 |
| DvcAction | Választható | Sztring | A biztonsági rendszerek jelentéséhez a rendszer által végrehajtott művelet, ha van ilyen. Példa: Blocked |
| DvcOriginalAction | Választható | Sztring | A jelentéskészítő eszköz által megadott eredeti DvcAction . |
| Interfész | Választható | Sztring | Az a hálózati adapter, amelyen az adatokat rögzítették. Ez a mező általában a hálózattal kapcsolatos tevékenységekre vonatkozik, amelyeket egy köztes vagy koppintásos eszköz rögzít. |
Vegye figyelembe, hogy a Dvc előtaggal rendelkező listában szereplő mezőknek előtagként kell előtagot felfűznie egy szerepkör-előtagra, például Src vagy Dst, de a szerepkörben való használat esetén nem szabad előtagot Dvc előszedni.
Minta entitásleképezés
Ez a szakasz a Windows 4624-es eseményt használja példaként a Microsoft Sentinel eseményadatainak normalizálására.
Az esemény a következő entitásokkal rendelkezik:
| Microsoft-terminológia | Az eredeti eseménymező előtagja | ASIM mezőelőtag | Leírás |
|---|---|---|---|
| Tárgy | Subject |
Actor |
Az a felhasználó, aki a sikeres bejelentkezéssel kapcsolatos információkat jelentette. |
| Új bejelentkezés | Target |
TargetUser |
Az a felhasználó, akinél a bejelentkezést végrehajtották. |
| Folyamat | - | ActingProcess |
A bejelentkezést megkísérlő folyamat. |
| Hálózati információk | - | Src |
Az a gép, amelyről bejelentkezési kísérletet hajtottak végre. |
Ezen entitások alapján a Windows 4624-esemény normalizálása az alábbiak szerint történik (egyes mezők nem kötelezőek):
| Normalizált mező | Eredeti mező | Érték a példában | Jegyzetek |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | A két mező összefűzésével készült |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Rendszergazda\WIN-GG82ULGC9GO$ | A két mező összefűzésével készült |
| Felhasználónév | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1. | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Számítógép | WIN-GG82ULGC9GO | |
| Állomásnév | Számítógép | Alias |
Következő lépések
Ez a cikk áttekintést nyújt a Microsoft Sentinel és az ASIM normalizálásáról.
További információk:
- Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content szolgáltatásban, vagy tekintse át a diákat
- Az Advanced Security Information Model (ASIM) áttekintése
- Advanced Security Information Model (ASIM) elemzők
- Advanced Security Information Model (ASIM) tartalom