Az Advanced Security Information Model (ASIM) általános sémamezőinek referenciája (előzetes verzió)
Egyes mezők gyakoriak az összes ASIM-sémában. Az egyes sémák útmutatást adhatnak az adott séma néhány gyakori mezőjének használatához. Az EventType mező engedélyezett értékei például sémánként eltérőek lehetnek, akárcsak az EventSchemaVersion mező értéke.
Standard Log Analytics-mezők
A Log Analytics a legtöbb esetben az egyes rekordokhoz a következő mezőket hozza létre. Az egyéni összekötők létrehozásakor felül lehet őket bírálni.
| Mező | Típus | Vita (Discussion) |
|---|---|---|
| TimeGenerated | dátum/idő | Az esemény jelentéskészítő eszköz általi létrehozásának időpontja. |
| Típus | Sztring | Az eredeti tábla, amelyből a rekordot lekérte. Ez a mező akkor hasznos, ha ugyanaz az esemény több csatornán keresztül is fogadható különböző táblákba, és ugyanazokkal az EventVendor - és EventProduct-értékekkel rendelkezik. Egy Sysmon-esemény például gyűjthető a Event táblába vagy a WindowsEvent táblába. |
Feljegyzés
A Log Analytics a biztonsági használati esetek szempontjából kevésbé releváns egyéb mezőket is hozzáad. További információ: Standard oszlopok az Azure Monitor-naplókban.
Gyakori ASIM-mezők
Az ASIM az alábbi mezőket definiálja az összes sémához:
Eseménymezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| EventMessage | Választható | Sztring | A rekordban szereplő vagy abból létrehozott általános üzenet vagy leírás. |
| EventCount | Kötelező | Egész | A rekord által leírt események száma. Ezt az értéket akkor használja a rendszer, ha a forrás támogatja az összesítést, és egyetlen rekord több eseményt is jelölhet. Más források esetén állítsa a következőre: 1. |
| EventStartTime | Kötelező | Dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EventEndTime | Kötelező | Dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EventType | Kötelező | Enumerated | A rekord által jelentett műveletet ismerteti. Minden séma a mezőre érvényes értékek listáját dokumentálja. Az eredeti, forrásspecifikus értéket a rendszer az EventOriginalType mezőben tárolja. |
| EventSubType | Választható | Enumerated | Az EventType mezőben jelentett művelet albontását ismerteti. Minden séma a mezőre érvényes értékek listáját dokumentálja. Az eredeti, forrásspecifikus érték az EventOriginalSubType mezőben van tárolva. |
| EventResult | Kötelező | Enumerated | Az alábbi értékek egyike: Success, Partial, Failure, NA (Not Applicable). Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Másik lehetőségként előfordulhat, hogy a forrás csak az EventResultDetails mezőt adja meg, amelyet elemezni kell az EventResult érték származtatásához. Példa: Success |
| EventResultDetails | Ajánlott | Enumerated | Az EventResult mezőben jelentett eredmény oka vagy részletei. Minden séma a mezőre érvényes értékek listáját dokumentálja. Az eredeti, forrásspecifikus érték az EventOriginalResultDetails mezőben van tárolva. Példa: NXDOMAIN |
| EventUid | Ajánlott | Sztring | A rekord egyedi azonosítója a Microsoft Sentinel által hozzárendelt módon. Ez a mező általában a _ItemId Log Analytics mezőre van leképezve. |
| EventOriginalUid | Választható | Sztring | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. Példa: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Választható | Sztring | Ha a forrás megadja az eredeti eseménytípust vagy -azonosítót. Ez a mező például az eredeti Windows-eseményazonosító tárolására szolgál. Ez az érték az EventType származtatására szolgál, amelynek az egyes sémákhoz csak egy értéknek kell dokumentálnia. Példa: 4624 |
| EventOriginalSubType | Választható | Sztring | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. Ez a mező például az eredeti Windows-bejelentkezési típus tárolására szolgál. Ez az érték az EventSubType származtatására szolgál, amelynek az egyes sémákhoz csak egy értéknek kell dokumentálnia. Példa: 2 |
| EventOriginalResultDetails | Választható | Sztring | A forrás által megadott eredeti eredményadatok. Ez az érték az EventResultDetails származtatására szolgál, amelynek az egyes sémákhoz csak egy értéknek kell dokumentálnia. |
| EventSeverity | Ajánlott | Enumerated | Az esemény súlyossága. Az érvényes értékek a következők: Informational, Low, Mediumvagy High. |
| EventOriginalSeverity | Választható | Sztring | A jelentéskészítő eszköz által megadott eredeti súlyosság. Ez az érték az EventSeverity származtatására szolgál. |
| EventProduct | Kötelező | Sztring | Az eseményt létrehozó termék. Az értéknek a Szállítók és termékek listában szereplő értékek egyikének kell lennie. Példa: Sysmon |
| EventProductVersion | Választható | Sztring | Az eseményt létrehozó termék verziója. Példa: 12.1 |
| EventVendor | Kötelező | Sztring | Az eseményt létrehozó termék szállítója. Az értéknek a Szállítók és termékek listában szereplő értékek egyikének kell lennie. Példa: Microsoft |
| EventSchema | Kötelező | Sztring | A séma, amelybe az esemény normalizálva van. Minden séma dokumentálja a séma nevét. |
| EventSchemaVersion | Kötelező | Sztring | A séma verziója. Minden séma a jelenlegi verzióját dokumentálja. |
| EventReportUrl | Választható | Sztring | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
| EventOwner | Választható | Sztring | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrejött. |
Eszközmezők
Az eszközmezők szerepe különböző sémák és eseménytípusok esetén eltérő. Példa:
- A hálózati munkamenet eseményei esetében az eszközmezők általában információt nyújtanak az eseményt létrehozó eszközről
- A folyamatesemények esetében az eszközmezők információt nyújtanak az eszközről a folyamat végrehajtásáról.
Minden sémadokumentum meghatározza az eszköz szerepkörét a sémához.
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Dvc | Alias | Sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette a sémától függően. Ez a mező aliasa lehet a DvcFQDN, DvcId, DvcHostname vagy DvcIpAddr mezőknek. Olyan felhőforrások esetében, amelyeknél nincs látható eszköz, használja ugyanazt az értéket, mint az Eseménytermék mező. |
| DvcIpAddr | Ajánlott | IP-cím | Annak az eszköznek az IP-címe, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt. Példa: 45.21.42.12 |
| DvcHostname | Ajánlott | Hostname (Gazdanév) | Annak az eszköznek az állomásneve, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt. Példa: ContosoDc |
| DvcDomain | Ajánlott | Sztring | Annak az eszköznek a tartománya, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt. Példa: Contoso |
| DvcDomainType | Feltételes | Enumerated | A DvcDomain típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DomainType webhelyet. Megjegyzés: Ez a mező szükséges a DvcDomain mező használata esetén. |
| DvcFQDN | Választható | Sztring | Annak az eszköznek az állomásneve, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt. Példa: Contoso\DESKTOP-1282V4DMegjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. A DvcDomainType mező a használt formátumot tükrözi. |
| DvcDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
| DvcId | Választható | Sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt. Példa: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | Feltételes | Enumerated | A DvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType webhelyet. - MDEidHa több azonosító is elérhető, használja a lista első azonosítóját, és tárolja a többit a DvcAzureResourceId és a DvcMDEid mezőnévvel. Megjegyzés: Ez a mező kötelező, ha a DvcId mezőt használja. |
| DvcMacAddr | Választható | MAC | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. Példa: 00:1B:44:11:3A:B7 |
| DvcZone | Választható | Sztring | Az a hálózat, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt. A zónát a jelentéskészítő eszköz határozza meg. Példa: Dmz |
| DvcOs | Választható | Sztring | Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette. Példa: Windows |
| DvcOsVersion | Választható | Sztring | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. Példa: 10 |
| DvcAction | Ajánlott | Sztring | A biztonsági rendszerek jelentéséhez a rendszer által végrehajtott művelet, ha van ilyen. Példa: Blocked |
| DvcOriginalAction | Választható | Sztring | A jelentéskészítő eszköz által megadott eredeti DvcAction . |
| DvcInterface | Választható | Sztring | Az a hálózati adapter, amelyen az adatokat rögzítették. Ez a mező általában a hálózattal kapcsolatos tevékenységre vonatkozik, amelyet egy köztes vagy koppintásos eszköz rögzít. |
| DvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| DvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
Egyéb mezők
Sémafrissítések
- A
EventOwnermező 2022. december 1-jén lett hozzáadva a közös mezőkhöz, így az összes sémához. - A
EventUidmező 2022. december 26-án lett hozzáadva a közös mezőkhöz, így az összes sémához.
Szállítók és termékek
A konzisztencia fenntartása érdekében az engedélyezett szállítók és termékek listája az ASIM részeként van beállítva, és nem feltétlenül felel meg közvetlenül a forrás által küldött értéknek, ha elérhető.
Az EventVendor és az EventProduct mezőkben használt szállítók és termékek jelenleg támogatott listája a következő:
| Szállító | Termékek |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra-azonosító - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Ha olyan elemzőt fejleszt egy szállítóhoz vagy termékhez, amely nem szerepel a listán, forduljon a Microsoft Sentinel csapatához egy új engedélyezett szállító és terméktervező lefoglalásához.
Következő lépések
További információk: