Microsoft Sentinel hálózat normalizálási séma (Örökölt verzió – Nyilvános előzetes verzió)
A hálózat normalizálási sémája a jelentett hálózati események leírására szolgál, és a Microsoft Sentinel az egyesítő elemzések engedélyezésére használja.
További információ: Normalization and the Advanced Security Information Model (ASIM).
Fontos
Ez a cikk a hálózati normalizálási séma 0.1-es verziójára vonatkozik, amely előzetes verzióként jelent meg, mielőtt az ASIM elérhető lett. A hálózati normalizálási séma 0.2.x-es verziója az ASIM-hez igazodik, és további fejlesztéseket biztosít.
További információ: A hálózat normalizálási sémaverziói közötti különbségek
Terminológia
A Microsoft Sentinel sémái a következő terminológiát használják:
Időszak | Definíció |
---|---|
Jelentéskészítő eszköz | A rekordokat a Microsoft Sentinelnek küldő rendszer. Lehet, hogy nem a rekord tárgya. |
Rekord | A jelentéskészítő eszközről küldött adategység. Ezt az adategységet gyakran nevezik log , event vagy alert , de más típusú is lehet. |
Adattípusok és formátumok
Az alábbi táblázat útmutatást nyújt a normalizált mezőkhöz szükséges és más mezőkhöz ajánlott adatértékek normalizálásához.
Adattípus | Fizikai típus | Formátum és érték |
---|---|---|
Dátum/idő | A használt betöltési módszer képességeitől függően az alábbiak egyike csökkenő prioritásban:
|
Log Analytics dátum/idő ábrázolása. A Log Analytics dátum- és időábrázolása hasonló jellegű, de eltér a Unix időábrázolásától. Tekintse meg ezeket a konverziós irányelveket. A dátumot és az időt az időzónákhoz kell igazítani. |
MAC-cím | Sztring | Kettőspont-hexadecimális jelölés |
IP Address | IP Address | A séma nem rendelkezik külön IPv4- és IPv6-címmel. Bármely IP-címmező tartalmazhat IPv4-címet vagy IPv6-címet:
|
Felhasználó | Sztring | A következő 3 felhasználói mező érhető el:
|
Felhasználói azonosító | Sztring | Jelenleg a következő 2 felhasználói azonosító támogatott:
|
Eszköz | Sztring | A következő 3 eszköz-/gazdagéposzlop támogatott:
|
Country | Sztring | Az ISO 3166-1 szabványt használó sztring a következő prioritások szerint:
|
Régió | Sztring | Az ország/régió alosztály neve az ISO 3166-2 használatával |
Város | Sztring | |
Longitude | Kétszeres | ISO 6709 koordináta-ábrázolás (aláírt decimális) |
Latitude | Kétszeres | ISO 6709 koordináta-ábrázolás (aláírt decimális) |
Kivonatoló algoritmus | Sztring | A következő 4 kivonatoszlop támogatott:
|
Fájltípus | Sztring | A fájltípus típusa:
|
Hálózati munkamenetek táblaséma
Az alábbiakban látható a hálózati munkamenetek táblázatának sémája, 1.0.0-s verziójú
Mezőnév | Érték típusa | Példa | Leírás | Társított OSSEM-entitások |
---|---|---|---|---|
EventType | Sztring | Adatforgalom | Gyűjtendő esemény típusa | Esemény |
EventSubType | Sztring | Hitelesítés | A típus további leírása, ha van ilyen | Esemény |
EventCount | Egész | 10 | Az összesítve lévő események száma, ha van. | Esemény |
EventEndTime | Dátum/idő | Lásd: "adattípusok" | Az esemény befejezésének időpontja | Esemény |
EventMessage | húr | hozzáférés megtagadva | A rekordban szereplő vagy abból létrehozott általános üzenet vagy leírás | Esemény |
DvcIpAddr | IP Address | 23.21.23.34 | A rekordot létrehozó eszköz IP-címe | Eszköz IP |
DvcMacAddr | Sztring | 06:10:9f:eb:8f:14 | Annak a jelentéskészítő eszköznek a hálózati adapterének MAC-címe, amelyről az eseményt elküldték. | Eszköz Mac |
DvcHostname | Eszköz neve (sztring) | syslogserver1.contoso.com | Az üzenetet létrehozó eszköz neve. | Eszköz |
EventProduct | Sztring | OfficeSharepoint | Az eseményt létrehozó termék. | Esemény |
EventProductVersion | húr | 9.0 | Az eseményt létrehozó termék verziója. | Esemény |
EventResourceId | Eszközazonosító (sztring) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Az üzenetet létrehozó eszköz erőforrás-azonosítója. | Esemény |
EventReportUrl | Sztring | https://192.168.1.1/repoerts/ae3-56.htm | A jelentéskészítő eszköz által létrehozott teljes jelentésre mutató hivatkozás | Esemény |
EventVendor | Sztring | Microsoft | Az eseményt létrehozó termék szállítója. | Esemény |
EventResult | Többértékű: Sikeres, Részleges, Sikertelen, [Üres] (Sztring) | Siker | A tevékenységhez jelentett eredmény. Üres érték, ha nem alkalmazható. | Esemény |
EventResultDetails | Sztring | Helytelen jelszó | Az EventResult-ban jelentett eredmény oka vagy részletei | Esemény |
EventSchemaVersion | Valós | 0,1 | Microsoft Sentinel sémaverzió. Jelenleg 0.1. | Esemény |
EventSeverity | Sztring | Alacsony | Ha a jelentett tevékenységnek van biztonsági hatása, akkor a hatás súlyosságát jelöli. | Esemény |
EventOriginalUid | Sztring | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | A jelentéskészítő eszköz rekordazonosítója. | Esemény |
EventStartTime | Dátum/idő | Lásd: "adattípusok" | Az az időpont, amikor az eseményt megjelölte | Esemény |
TimeGenerated | Dátum/idő | Lásd: "adattípusok" | Az esemény bekövetkezésének időpontja a jelentéskészítési forrás által jelentett módon. | Egyéni mező |
EventTimeIngested | Dátum/idő | Lásd: "adattípusok" | Az esemény Microsoft Sentinelbe való betöltésének időpontja. A Microsoft Sentinel hozzáadja. | Esemény |
EventUid | Guid (sztring) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | A Microsoft Sentinel által egy sor megjelölésére használt egyedi azonosító. | Esemény |
NetworkApplicationProtocol | Sztring | HTTPS | A kapcsolat vagy munkamenet által használt alkalmazásréteg-protokoll. | Network (Hálózat) |
DstBytes | egész | 32455 | A célhelyről a kapcsolat vagy munkamenet forrásának küldött bájtok száma. | Cél |
SrcBytes | egész | 46536 | A forrásból a kapcsolat vagy munkamenet célhelyére küldött bájtok száma. | Forrás |
NetworkBytes | egész | 78991 | A két irányban küldött bájtok száma. Ha a BytesReceived és a BytesSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összeggel. | Network (Hálózat) |
NetworkDirection | Többértékű: Bejövő, Kimenő (sztring) | Bejövő | A kapcsolat vagy munkamenet iránya a szervezetbe vagy a szervezeten kívülre. | Network (Hálózat) |
DstGeoCity | Sztring | Burlington | A cél IP-címéhez társított város | Célállomás Térség |
DstGeoCountry | Ország (sztring) | USA | A forrás IP-címéhez társított ország/régió | Célállomás Térség |
DstDvcHostname | Eszköz neve (sztring) | victim_pc | A céleszköz eszközneve | Cél Eszköz |
DstDvcFqdn | Sztring | victim_pc.contoso.local | Annak a gazdagépnek a teljes tartományneve, ahol a naplót létrehozták | Célállomás Eszköz |
DstDomainHostname | húr | CONTOSO | A céltartomány, a cél állomás tartománya (webhely, tartománynév stb.), például DNS-keresésekhez vagy NS-keresésekhez | Cél |
DstInterfaceName | húr | Microsoft Hyper-V hálózati adapter | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. | Cél |
DstInterfaceGuid | húr | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | A hitelesítési kérelemhez használt hálózati adapter GUID azonosítója | Cél |
DstIpAddr | IP-cím | 2001:db8::ff00:42:8329 | A kapcsolat vagy munkamenet céljának IP-címe, amelyet leggyakrabban a hálózati csomag cél IP-címének neveznek | Célállomás IP |
DstDvcIpAddr | IP-cím | 75.22.12.2 | Olyan eszköz cél IP-címe, amely nincs közvetlenül társítva a hálózati csomaggal | Célállomás Eszköz IP |
DstGeoLatitude | Szélesség (dupla) | 44.475833 | A cél IP-címéhez társított földrajzi koordináták szélessége | Célállomás Térség |
DstMacAddr | Sztring | 06:10:9f:eb:8f:14 | Annak a hálózati adapternek a MAC-címe, amelyen a kapcsolat vagy a munkamenet megszakadt, a leggyakrabban a cél MAC-címre hivatkoznak a hálózati csomagban | Célállomás MAC |
DstDvcMacAddr | Sztring | 06:10:9f:eb:8f:14 | Egy olyan eszköz cél MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. | Célállomás Eszköz MAC |
DstDvcDomain | Sztring | CONTOSO | A céleszköz tartománya. | Célállomás Eszköz |
DstPortNumber | Egész | 443 | A cél IP-port. | Célállomás Kikötő |
DstGeoRegion | Régió (sztring) | Vermont | A cél IP-címéhez társított régió | Célállomás Térség |
DstResourceId | Eszközazonosító (sztring) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | A céleszköz erőforrás-azonosítója. | Cél |
DstNatIpAddr | IP-cím | 2::1 | Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt IP-cím. | Cél NAT, IP |
DstNatPortNumber | egész | 443 | Ha egy köztes NAT-eszköz, például tűzfal jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt port. | Cél NAT, Kikötő |
DstUserSid | Felhasználói SID | S-12-1445 | A munkamenet célhelyéhez társított identitás felhasználói azonosítója. Általában a kiszolgáló hitelesítéséhez használt identitás. További információ: Adattípusok és formátumok. | Célállomás User |
DstUserAadId | Sztring (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | A felhasználó Microsoft Entra-fiók objektumazonosítója a munkamenet végén | Célállomás User |
DstUserName | Felhasználónév (sztring) | johnd | A munkamenet célhelyéhez társított identitás felhasználóneve. | Célállomás User |
DstUserUpn | húr | johnd@anon.com | A munkamenet célhelyéhez társított identitás UPN-je. | Célállomás User |
DstUserDomain | húr | MUNKACSOPORT | A fiók tartománya vagy számítógépneve a munkamenet célhelyén | Célállomás User |
DstZone | Sztring | Dmz | A célhely hálózati zónája a jelentéskészítő eszköz által meghatározott módon. | Cél |
DstGeoLongitude | Hosszúság (dupla) | -73.211944 | A cél IP-címhez társított földrajzi koordináták hosszúsága | Célállomás Térség |
DvcAction | Többértékű: Engedélyezés, Megtagadás, Elvetés (sztring) | Engedélyezés | Ha egy közvetítő eszköz, például egy tűzfal jelenti, az eszköz által végrehajtott műveletet. | Eszköz |
DvcInboundInterface | Sztring | eth0 | Ha egy közvetítő eszköz, például egy tűzfal jelenti, az általa a forráseszközhöz való csatlakozáshoz használt hálózati adapter. | Eszköz |
DvcOutboundInterface | Sztring | Ethernet-adapter Ethernet 4 | Ha egy közvetítő eszköz, például egy tűzfal jelenti, az általa a céleszközhöz való csatlakozáshoz használt hálózati adapter. | Eszköz |
NetworkDuration | Egész | 1500 | A hálózati munkamenet vagy kapcsolat befejezéséhez szükséges idő ezredmásodpercben | Network (Hálózat) |
NetworkIcmpCode | Egész | 34 | ICMP-üzenet esetén az ICMP-üzenet típusa numerikus érték (RFC 2780 vagy RFC 4443). | Network (Hálózat) |
NetworkIcmpType | Sztring | Cél nem érhető el | ICMP-üzenet esetén az ICMP-üzenettípus szöveges ábrázolása (RFC 2780 vagy RFC 4443). | Network (Hálózat) |
DstPackets | egész | 446 | A célhelyről a kapcsolat vagy munkamenet forrásának küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. | Cél |
SrcPackets | egész | 6478 | A forrásból a kapcsolat vagy munkamenet célhelyére küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. | Forrás |
NetworkPackets | egész | 0 | Mindkét irányban küldött csomagok száma. Ha a PacketsReceived és a PacketsSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összegükkel. | Network (Hálózat) |
HttpRequestTime | Egész | 700 | A kérés kiszolgálónak való elküldéséhez szükséges idő, ha lehetséges. | Http |
HttpResponseTime | Egész | 800 | Adott esetben a válasz fogadásához szükséges idő a kiszolgálón. | Http |
NetworkRuleName | Sztring | AnyAnyDrop | Annak a szabálynak a neve vagy azonosítója, amellyel a DeviceAction-ről döntés született | Network (Hálózat) |
NetworkRuleNumber | egész | 23 | Egyező szabályszám | Network (Hálózat) |
NetworkSessionId | húr | 172_12_53_32_4322__123_64_207_1_80 | A jelentéskészítő eszköz által jelentett munkamenet-azonosító. Például az L7-munkamenet azonosítója adott alkalmazásokhoz a hitelesítést követően | Network (Hálózat) |
SrcGeoCity | Sztring | Burlington | A forrás IP-címéhez társított város | Forrás Térség |
SrcGeoCountry | Ország (sztring) | USA | A forrás IP-címéhez társított ország/régió | Forrás Térség |
SrcDvcHostname | Eszköz neve (sztring) | gazember | A forráseszköz eszközneve | Forrás Eszköz |
SrcDvcFqdn | húr | Villain.malicious.com | Annak a gazdagépnek a teljes tartományneve, ahol a naplót létrehozták | Forrás Eszköz |
SrcDvcDomain | húr | EVILORG | Annak az eszköznek a tartománya, amelyről a munkamenetet kezdeményezték | Forrás Eszköz |
SrcDvcOs | Sztring | iOS | A forráseszköz operációs rendszere | Forrás Eszköz |
SrcDvcModelName | Sztring | Samsung Galaxy Note | A forráseszköz modellneve | Forrás Eszköz |
SrcDvcModelNumber | Sztring | 10,0 | A forráseszköz modellszáma | Forrás Eszköz |
SrcDvcType | Sztring | Mobil | A forráseszköz típusa | Forrás Eszköz |
SrcInterfaceName | Sztring | eth01 | A forráseszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. | Forrás |
SrcInterfaceGuid | Sztring | 46ad544b-eaf0-47ef-827c-266030f545a6 | A használt hálózati adapter GUID azonosítója | Forrás |
SrcIpAddr | IP-cím | 77.138.103.108 | Az IP-cím, amelyről a kapcsolat vagy a munkamenet származik. | Forrás IP |
SrcDvcIpAddr | IP-cím | 77.138.103.108 | A hálózati csomaghoz közvetlenül nem társított eszköz forrás IP-címe (amelyet egy szolgáltató gyűjt vagy explicit módon kiszámít). | Forrás Eszköz IP |
SrcGeoLatitude | Szélesség (dupla) | 44.475833 | A forrás IP-címhez társított földrajzi koordináták szélessége | Forrás Térség |
SrcGeoLongitude | Hosszúság (dupla) | -73.211944 | A forrás IP-címhez társított földrajzi koordináták hosszúsága | Forrás Térség |
SrcMacAddr | Sztring | 06:10:9f:eb:8f:14 | Annak a hálózati adapternek a MAC-címe, ahonnan a kapcsolati od-munkamenet származik. | Forrás Mac |
SrcDvcMacAddr | Sztring | 06:10:9f:eb:8f:14 | Egy olyan eszköz forrás MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. | Forrás Eszköz Mac |
SrcPortNumber | Egész | 2335 | Az IP-port, ahonnan a kapcsolat származik. Előfordulhat, hogy több kapcsolatot tartalmazó munkamenet esetében nem releváns. | Forrás Kikötő |
SrcGeoRegion | Régió (sztring) | Vermont | A forrás IP-címhez társított országon/régión belüli régió | Forrás Térség |
SrcResourceId | Sztring | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Az üzenetet létrehozó eszköz erőforrás-azonosítója. | Forrás |
SrcNatIpAddr | IP-cím | 4.3.2.1 | Ha egy köztes NAT-eszköz, például tűzfal jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt IP-cím. | Forrás NAT, IP |
SrcNatPortNumber | Egész | 345 | Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt port. | Forrás NAT, Kikötő |
SrcUserSid | Felhasználói azonosító (sztring) | S-15-1445 | A munkamenet-forráshoz társított identitás felhasználói azonosítója. A felhasználó általában műveletet hajt végre az ügyfélen. További információ: Adattípusok és formátumok. | Forrás User |
SrcUserAadId | Sztring (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | A felhasználó Microsoft Entra-fiók objektumazonosítója a munkamenet forrás végén | Forrás User |
SrcUserName | Felhasználónév (sztring) | úszó | A munkamenet-forráshoz társított identitás felhasználóneve. A felhasználó általában műveletet hajt végre az ügyfélen. További információ: Adattípusok és formátumok. | Forrás User |
SrcUserUpn | húr | bob@alice.com | A munkamenetet kezdeményező fiók UPN-azonosítója | Forrás User |
SrcUserDomain | húr | ASZTAL | A munkamenetet kezdeményező fiók tartománya | Forrás User |
SrcZone | Sztring | Felderítés | A forrás hálózati zónája a jelentéskészítő eszköz által meghatározott módon. | Forrás |
NetworkProtocol | Sztring | TCP | A kapcsolat vagy munkamenet által használt IP-protokoll. Általában TCP, UDP vagy ICMP | Network (Hálózat) |
CloudAppName | Sztring | Egy HTTP-alkalmazás célalkalmazásának neve a proxy által azonosított módon. | Felhőbeli | |
CloudAppId | Sztring | 124 | Egy HTTP-alkalmazás célalkalmazásának azonosítója a proxy által azonosított módon. Ez az érték általában a használt proxyra jellemző. | Felhőbeli |
CloudAppOperation | Sztring | DeleteFile | A felhasználó által a proxy által azonosított HTTP-alkalmazás célalkalmazásának kontextusában végrehajtott művelet. Ez az érték általában a használt proxyra jellemző. | Felhőbeli |
CloudAppRiskLevel | Sztring | 3 | A proxy által azonosított HTTP-alkalmazáshoz társított kockázati szint. Ez az érték általában a használt proxyra jellemző. | Felhőbeli |
Fájlnév | Sztring | ImNotMalicious.exe | A protokollok ( például FTP és HTTP) hálózati kapcsolatain keresztül továbbított fájlnév, amely megadja a fájlnévadatokat. | Fájl |
FilePath | Sztring | C:\Rosszindulatú\ImNotMalicious.exe | A fájl teljes elérési útja, beleértve a fájl nevét is | Fájl |
FileHashMd5 | Sztring | 51BC68715FC7C109DCEA406B42D9D78F | A protokollok hálózati kapcsolatain keresztül továbbított fájl MD5 kivonatértéke. | Fájl |
FileHashSha1 | Sztring | 491AE3... C299821476F4 | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA1 kivonatértéke. | Fájl |
FileHashSha256 | Sztring | 9B8F8EDB... C129976F03 | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA256 kivonatértéke. | Fájl |
FileHashSha512 | Sztring | 5E127D... F69F73F01F361 | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA512 kivonatértéke. | Fájl |
FileExtension | Sztring | exe | Az olyan protokollok hálózati kapcsolatain keresztül továbbított fájl típusa, mint az FTP és a HTTP. | Fájl |
FileMimeType | Sztring | application/msword | A hálózati kapcsolatokon keresztül továbbított fájl MIME-típusa olyan protokollok esetében, mint az FTP és a HTTP | Fájl |
Fájlméret | Egész | 23500 | A protokollok hálózati kapcsolatain keresztül továbbított fájl mérete bájtban kifejezve. | Fájl |
HttpVersion | Sztring | 2,0 | HTTP-/HTTPS-hálózati kapcsolatok HTTP-kérelemverziója. | Http |
HttpRequestMethod | Sztring | KAP | A HTTP/HTTPS hálózati munkamenetek HTTP-metódusa. | Http |
HttpStatusCode | Sztring | 404 | A HTTP/HTTPS hálózati munkamenetek HTTP-állapotkódja. | Http |
HttpContentType | Sztring | többrészes/űrlapadatok; boundary=something | A HTTP-válasz tartalomtípus fejléce HTTP/HTTPS hálózati munkamenetekhez. | Http |
HttpReferrerOriginal | Sztring | https://developer.mozilla.org/en-US/docs/Web/JavaScript | A HTTP-/HTTPS-hálózati munkamenetek HTTP-hivatkozó fejléce. | Http |
HttpUserAgentOriginal | Sztring | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, mint Gecko) Chrome/83.0.4103.97 Safari/537.36 | A HTTP-/HTTPS-hálózati munkamenetek HTTP-felhasználói ügynökének fejléce. | Http |
HttpRequestXff | Sztring | 120.12.41.1 | HTTP/HTTPS hálózati munkamenetek HTTP X-Forwarded-For fejléce. | Http |
UrlCategory | Sztring | Keresőmotorok | Az URL-cím definiált csoportosítása, amely esetleg az URL-cím tartományán alapul, a tartalom tartalmához kapcsolódik. Például: felnőtt, hírek, hirdetések, parkolt tartományok stb.) | url |
UrlOriginal | Sztring | https:// contoso.com/fo/?k=v&q=u#f | A HTTP-/HTTPS-hálózati munkamenetek HTTP-kérési URL-címe. | URL-cím |
UrlHostname | Sztring | contoso.com | A HTTP-kérés URL-címének tartományrésze HTTP/HTTPS hálózati munkamenetekhez. | URL-cím |
ThreatCategory | Sztring | Trójai | Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított fenyegetés kategóriája, amely ehhez a hálózati munkamenethez van társítva. | Fenyegetés |
ThreatId | Sztring | Tr.124 | Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított és ehhez a hálózati munkamenethez társított fenyegetés azonosítója. | Fenyegetés |
ThreatName | Sztring | EICAR-tesztfájl | Az azonosított fenyegetés vagy kártevő neve | Fenyegetés |
További mezők | Dinamikus (JSON táska) | { Tulajdonság1: "val1", Tulajdonság2: "val2" } |
Ha a séma egyik oszlopa sem egyezik, más mezők JSON-zsákban tárolhatók. A lekérdezési idő elemzéséhez javasoljuk, hogy a JSON-zsákok helyett további oszlopokat is előléptet, mivel az adatok JSON-kódba való csomagolása rontja a lekérdezés teljesítményét. |
Egyéni mező |
Különbségek a 0.1-es és a 0.2-es verzió között
A Microsoft Sentinel Network munkamenet-normalizálási sémájának eredeti, 0.1-es verziója előzetes verzióként jelent meg, mielőtt az ASIM elérhető lett.
A cikkben dokumentált 0.1-es és 0.2.x-es verzió közötti különbségek a következők:
- A 0.2-es verzióban az egyesítő és a forrásspecifikus elemzőnevek úgy módosultak, hogy megfeleljenek egy szabványos ASIM-elnevezési konvenciónak.
- A 0.2-es verzió konkrét irányelveket és egyesítő elemzőket ad hozzá adott eszköztípusokhoz.
A következő szakaszok ismertetik, hogy a 0.2.x verzió hogyan különbözik az egyes mezőktől.
Mezők hozzáadva a 0.2-es verzióban
A következő mezők a 0.2.x verzióban lettek hozzáadva, és nem léteznek a 0.1-es verzióban:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- URL-cím
Újonnan aliasolt mezők a 0.2-es verzióban
A következő mezők mostantól a 0.2.x verzióban vannak aliasolva az ASIM bevezetésével:
Mező a 0.1-es verzióban | Alias a 0.2-es verzióban |
---|---|
Munkamenet-azonosító | NetworkSessionId |
Időtartam | NetworkDuration |
IpAddr | SrcIpAddr |
User | DstUsername |
Hostname (Gazdanév) | DstHostname |
UserAgent | HttpUserAgent |
Módosított mezők a 0.2-es verzióban
A következő mezők a 0.2.x verzióban vannak felsorolva, és egy megadott listából igényelnek egy adott értéket.
- EventType
- EventResultDetails
- EventSeverity
Átnevezett mezők a 0.2-es verzióban
A következő mezőket átneveztük a 0.2.x verzióban:
A 0.2-es verzióban használja a beépített Log Analytics-mezőket:
Vegye figyelembe, hogy
ingestion_time()
ez egy KQL-függvény, és nem mezőnév.Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Átnevezve az ASIM és az OSSEM fejlesztéseihez:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Átnevezve, hogy tükrözze, hogy a hálózati munkamenet célhelyének nem kell felhőszolgáltatásnak lennie:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Átnevezve az eset módosítására, és igazodik a felhasználói entitás ASIM-kezeléséhez:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban DstUserName DstUsername SrcUserName SrcUsername Átnevezve, hogy jobban igazodjon az ASIM-eszköz entitásához, és engedélyezze az Azure-tól eltérő erőforrás-azonosítókat:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId A sztring a mezőnevekből való eltávolítására
Dvc
lett átnevezve, mivel a 0.1-es verzió kezelése inkonzisztens volt:Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Átnevezve az ASIM-fájlábrázolás útmutatásának megfelelően:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Eltávolított mezők a 0.2-es verzióban
A következő mezők csak a 0.1-es verzióban léteznek, és a 0.2.x verzióban lettek eltávolítva:
Ok | Eltávolított mezők |
---|---|
El lett távolítva, mert ismétlődések léteznek, a mezőnév sztringje Dvc nélkül |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
El lett távolítva az URL-címek ASIM-kezeléséhez való igazításhoz | - UrlHostname |
El lett távolítva, mert ezek a mezők általában nem a hálózati munkamenet eseményei részeként vannak megadva. Ha egy esemény tartalmazza ezeket a mezőket, a Folyamateset sémával megismerheti az eszköztulajdonságok leírását. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
El lett távolítva az ASIM-fájlábrázolás útmutatásának megfelelően | - FilePath - FileExtension |
Ha ez a mező azt jelzi, hogy egy másik sémát kell használni, például a hitelesítési sémát. | - CloudAppOperation |
Ismétlődéskor el lett távolítva DstHostname |
- DstDomainHostname |
Következő lépések
További információk:
- Normalizálás a Microsoft Sentinelben
- A Microsoft Sentinel hitelesítési normalizálási sémájának referenciája (nyilvános előzetes verzió)
- Microsoft Sentinel-fájlesemény normalizálási sémájának referenciája (nyilvános előzetes verzió)
- A Microsoft Sentinel DNS normalizálási sémájának referenciája
- A Microsoft Sentinel folyamat esemény normalizálási sémájának referenciája
- Microsoft Sentinel beállításjegyzék-esemény normalizálási sémájának referenciája (nyilvános előzetes verzió)