Megosztás a következőn keresztül:


Microsoft Sentinel hálózat normalizálási séma (Örökölt verzió – Nyilvános előzetes verzió)

A hálózat normalizálási sémája a jelentett hálózati események leírására szolgál, és a Microsoft Sentinel az egyesítő elemzések engedélyezésére használja.

További információ: Normalization and the Advanced Security Information Model (ASIM).

Fontos

Ez a cikk a hálózati normalizálási séma 0.1-es verziójára vonatkozik, amely előzetes verzióként jelent meg, mielőtt az ASIM elérhető lett. A hálózati normalizálási séma 0.2.x-es verziója az ASIM-hez igazodik, és további fejlesztéseket biztosít.

További információ: A hálózat normalizálási sémaverziói közötti különbségek

Terminológia

A Microsoft Sentinel sémái a következő terminológiát használják:

Időszak Definíció
Jelentéskészítő eszköz A rekordokat a Microsoft Sentinelnek küldő rendszer. Lehet, hogy nem a rekord tárgya.
Rekord A jelentéskészítő eszközről küldött adategység. Ezt az adategységet gyakran nevezik log, eventvagy alert, de más típusú is lehet.

Adattípusok és formátumok

Az alábbi táblázat útmutatást nyújt a normalizált mezőkhöz szükséges és más mezőkhöz ajánlott adatértékek normalizálásához.

Adattípus Fizikai típus Formátum és érték
Dátum/idő A használt betöltési módszer képességeitől függően az alábbiak egyike csökkenő prioritásban:
  • A Log Analytics beépített datetime típusa
  • Egész szám mező a Log Analytics dátum/idő numerikus ábrázolása használatával
  • Sztringmező a Log Analytics dátum/idő numerikus ábrázolása használatával
Log Analytics dátum/idő ábrázolása.

A Log Analytics dátum- és időábrázolása hasonló jellegű, de eltér a Unix időábrázolásától. Tekintse meg ezeket a konverziós irányelveket.

A dátumot és az időt az időzónákhoz kell igazítani.
MAC-cím Sztring Kettőspont-hexadecimális jelölés
IP Address IP Address A séma nem rendelkezik külön IPv4- és IPv6-címmel. Bármely IP-címmező tartalmazhat IPv4-címet vagy IPv6-címet:
  • IPv4 pont-decimális jelölésben
  • IPv6 8 hextets jelöléssel, amely lehetővé teszi az itt leírt rövid űrlapokat.
Felhasználó Sztring A következő 3 felhasználói mező érhető el:
  • Felhasználónév
  • Felhasználói UPN
  • Felhasználói tartomány
Felhasználói azonosító Sztring Jelenleg a következő 2 felhasználói azonosító támogatott:
  • Felhasználói SID
  • Microsoft Entra ID
Eszköz Sztring A következő 3 eszköz-/gazdagéposzlop támogatott:
  • ID (Azonosító)
  • Név
  • egy teljes tartománynév (FQDN)
Country Sztring Az ISO 3166-1 szabványt használó sztring a következő prioritások szerint:
  • Alfa-2 kódok, például US a Egyesült Államok
  • Alfa-3 kódok, például USA a Egyesült Államok
  • Rövid név
Régió Sztring Az ország/régió alosztály neve az ISO 3166-2 használatával
Város Sztring
Longitude Kétszeres ISO 6709 koordináta-ábrázolás (aláírt decimális)
Latitude Kétszeres ISO 6709 koordináta-ábrázolás (aláírt decimális)
Kivonatoló algoritmus Sztring A következő 4 kivonatoszlop támogatott:
  • MD5
  • SHA1
  • SHA256
  • SHA512
Fájltípus Sztring A fájltípus típusa:
  • Mellék
  • Osztály
  • NamedType

Hálózati munkamenetek táblaséma

Az alábbiakban látható a hálózati munkamenetek táblázatának sémája, 1.0.0-s verziójú

Mezőnév Érték típusa Példa Leírás Társított OSSEM-entitások
EventType Sztring Adatforgalom Gyűjtendő esemény típusa Esemény
EventSubType Sztring Hitelesítés A típus további leírása, ha van ilyen Esemény
EventCount Egész 10 Az összesítve lévő események száma, ha van. Esemény
EventEndTime Dátum/idő Lásd: "adattípusok" Az esemény befejezésének időpontja Esemény
EventMessage húr hozzáférés megtagadva A rekordban szereplő vagy abból létrehozott általános üzenet vagy leírás Esemény
DvcIpAddr IP Address 23.21.23.34 A rekordot létrehozó eszköz IP-címe Eszköz
IP
DvcMacAddr Sztring 06:10:9f:eb:8f:14 Annak a jelentéskészítő eszköznek a hálózati adapterének MAC-címe, amelyről az eseményt elküldték. Eszköz
Mac
DvcHostname Eszköz neve (sztring) syslogserver1.contoso.com Az üzenetet létrehozó eszköz neve. Eszköz
EventProduct Sztring OfficeSharepoint Az eseményt létrehozó termék. Esemény
EventProductVersion húr 9.0 Az eseményt létrehozó termék verziója. Esemény
EventResourceId Eszközazonosító (sztring) /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 Az üzenetet létrehozó eszköz erőforrás-azonosítója. Esemény
EventReportUrl Sztring https://192.168.1.1/repoerts/ae3-56.htm A jelentéskészítő eszköz által létrehozott teljes jelentésre mutató hivatkozás Esemény
EventVendor Sztring Microsoft Az eseményt létrehozó termék szállítója. Esemény
EventResult Többértékű: Sikeres, Részleges, Sikertelen, [Üres] (Sztring) Siker A tevékenységhez jelentett eredmény. Üres érték, ha nem alkalmazható. Esemény
EventResultDetails Sztring Helytelen jelszó Az EventResult-ban jelentett eredmény oka vagy részletei Esemény
EventSchemaVersion Valós 0,1 Microsoft Sentinel sémaverzió. Jelenleg 0.1. Esemény
EventSeverity Sztring Alacsony Ha a jelentett tevékenységnek van biztonsági hatása, akkor a hatás súlyosságát jelöli. Esemény
EventOriginalUid Sztring af6ae8fe-ff43-4a4c-b537-8635976a2b51 A jelentéskészítő eszköz rekordazonosítója. Esemény
EventStartTime Dátum/idő Lásd: "adattípusok" Az az időpont, amikor az eseményt megjelölte Esemény
TimeGenerated Dátum/idő Lásd: "adattípusok" Az esemény bekövetkezésének időpontja a jelentéskészítési forrás által jelentett módon. Egyéni mező
EventTimeIngested Dátum/idő Lásd: "adattípusok" Az esemény Microsoft Sentinelbe való betöltésének időpontja. A Microsoft Sentinel hozzáadja. Esemény
EventUid Guid (sztring) 516a64e3-8360-4f1e-a67c-d96b3d52df54 A Microsoft Sentinel által egy sor megjelölésére használt egyedi azonosító. Esemény
NetworkApplicationProtocol Sztring HTTPS A kapcsolat vagy munkamenet által használt alkalmazásréteg-protokoll. Network (Hálózat)
DstBytes egész 32455 A célhelyről a kapcsolat vagy munkamenet forrásának küldött bájtok száma. Cél
SrcBytes egész 46536 A forrásból a kapcsolat vagy munkamenet célhelyére küldött bájtok száma. Forrás
NetworkBytes egész 78991 A két irányban küldött bájtok száma. Ha a BytesReceived és a BytesSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összeggel. Network (Hálózat)
NetworkDirection Többértékű: Bejövő, Kimenő (sztring) Bejövő A kapcsolat vagy munkamenet iránya a szervezetbe vagy a szervezeten kívülre. Network (Hálózat)
DstGeoCity Sztring Burlington A cél IP-címéhez társított város Célállomás
Térség
DstGeoCountry Ország (sztring) USA A forrás IP-címéhez társított ország/régió Célállomás
Térség
DstDvcHostname Eszköz neve (sztring) victim_pc A céleszköz eszközneve Cél
Eszköz
DstDvcFqdn Sztring victim_pc.contoso.local Annak a gazdagépnek a teljes tartományneve, ahol a naplót létrehozták Célállomás
Eszköz
DstDomainHostname húr CONTOSO A céltartomány, a cél állomás tartománya (webhely, tartománynév stb.), például DNS-keresésekhez vagy NS-keresésekhez Cél
DstInterfaceName húr Microsoft Hyper-V hálózati adapter A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. Cél
DstInterfaceGuid húr 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B A hitelesítési kérelemhez használt hálózati adapter GUID azonosítója Cél
DstIpAddr IP-cím 2001:db8::ff00:42:8329 A kapcsolat vagy munkamenet céljának IP-címe, amelyet leggyakrabban a hálózati csomag cél IP-címének neveznek Célállomás
IP
DstDvcIpAddr IP-cím 75.22.12.2 Olyan eszköz cél IP-címe, amely nincs közvetlenül társítva a hálózati csomaggal Célállomás
Eszköz
IP
DstGeoLatitude Szélesség (dupla) 44.475833 A cél IP-címéhez társított földrajzi koordináták szélessége Célállomás
Térség
DstMacAddr Sztring 06:10:9f:eb:8f:14 Annak a hálózati adapternek a MAC-címe, amelyen a kapcsolat vagy a munkamenet megszakadt, a leggyakrabban a cél MAC-címre hivatkoznak a hálózati csomagban Célállomás
MAC
DstDvcMacAddr Sztring 06:10:9f:eb:8f:14 Egy olyan eszköz cél MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. Célállomás
Eszköz
MAC
DstDvcDomain Sztring CONTOSO A céleszköz tartománya. Célállomás
Eszköz
DstPortNumber Egész 443 A cél IP-port. Célállomás
Kikötő
DstGeoRegion Régió (sztring) Vermont A cél IP-címéhez társított régió Célállomás
Térség
DstResourceId Eszközazonosító (sztring) /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim A céleszköz erőforrás-azonosítója. Cél
DstNatIpAddr IP-cím 2::1 Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt IP-cím. Cél NAT,
IP
DstNatPortNumber egész 443 Ha egy köztes NAT-eszköz, például tűzfal jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt port. Cél NAT,
Kikötő
DstUserSid Felhasználói SID S-12-1445 A munkamenet célhelyéhez társított identitás felhasználói azonosítója. Általában a kiszolgáló hitelesítéséhez használt identitás. További információ: Adattípusok és formátumok. Célállomás
User
DstUserAadId Sztring (guid) ae92b0b4-cfba-4b42-85a0-fbd862f4df54 A felhasználó Microsoft Entra-fiók objektumazonosítója a munkamenet végén Célállomás
User
DstUserName Felhasználónév (sztring) johnd A munkamenet célhelyéhez társított identitás felhasználóneve. Célállomás
User
DstUserUpn húr johnd@anon.com A munkamenet célhelyéhez társított identitás UPN-je. Célállomás
User
DstUserDomain húr MUNKACSOPORT A fiók tartománya vagy számítógépneve a munkamenet célhelyén Célállomás
User
DstZone Sztring Dmz A célhely hálózati zónája a jelentéskészítő eszköz által meghatározott módon. Cél
DstGeoLongitude Hosszúság (dupla) -73.211944 A cél IP-címhez társított földrajzi koordináták hosszúsága Célállomás
Térség
DvcAction Többértékű: Engedélyezés, Megtagadás, Elvetés (sztring) Engedélyezés Ha egy közvetítő eszköz, például egy tűzfal jelenti, az eszköz által végrehajtott műveletet. Eszköz
DvcInboundInterface Sztring eth0 Ha egy közvetítő eszköz, például egy tűzfal jelenti, az általa a forráseszközhöz való csatlakozáshoz használt hálózati adapter. Eszköz
DvcOutboundInterface Sztring Ethernet-adapter Ethernet 4 Ha egy közvetítő eszköz, például egy tűzfal jelenti, az általa a céleszközhöz való csatlakozáshoz használt hálózati adapter. Eszköz
NetworkDuration Egész 1500 A hálózati munkamenet vagy kapcsolat befejezéséhez szükséges idő ezredmásodpercben Network (Hálózat)
NetworkIcmpCode Egész 34 ICMP-üzenet esetén az ICMP-üzenet típusa numerikus érték (RFC 2780 vagy RFC 4443). Network (Hálózat)
NetworkIcmpType Sztring Cél nem érhető el ICMP-üzenet esetén az ICMP-üzenettípus szöveges ábrázolása (RFC 2780 vagy RFC 4443). Network (Hálózat)
DstPackets egész 446 A célhelyről a kapcsolat vagy munkamenet forrásának küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. Cél
SrcPackets egész 6478 A forrásból a kapcsolat vagy munkamenet célhelyére küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. Forrás
NetworkPackets egész 0 Mindkét irányban küldött csomagok száma. Ha a PacketsReceived és a PacketsSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összegükkel. Network (Hálózat)
HttpRequestTime Egész 700 A kérés kiszolgálónak való elküldéséhez szükséges idő, ha lehetséges. Http
HttpResponseTime Egész 800 Adott esetben a válasz fogadásához szükséges idő a kiszolgálón. Http
NetworkRuleName Sztring AnyAnyDrop Annak a szabálynak a neve vagy azonosítója, amellyel a DeviceAction-ről döntés született Network (Hálózat)
NetworkRuleNumber egész 23 Egyező szabályszám Network (Hálózat)
NetworkSessionId húr 172_12_53_32_4322__123_64_207_1_80 A jelentéskészítő eszköz által jelentett munkamenet-azonosító. Például az L7-munkamenet azonosítója adott alkalmazásokhoz a hitelesítést követően Network (Hálózat)
SrcGeoCity Sztring Burlington A forrás IP-címéhez társított város Forrás
Térség
SrcGeoCountry Ország (sztring) USA A forrás IP-címéhez társított ország/régió Forrás
Térség
SrcDvcHostname Eszköz neve (sztring) gazember A forráseszköz eszközneve Forrás
Eszköz
SrcDvcFqdn húr Villain.malicious.com Annak a gazdagépnek a teljes tartományneve, ahol a naplót létrehozták Forrás
Eszköz
SrcDvcDomain húr EVILORG Annak az eszköznek a tartománya, amelyről a munkamenetet kezdeményezték Forrás
Eszköz
SrcDvcOs Sztring iOS A forráseszköz operációs rendszere Forrás
Eszköz
SrcDvcModelName Sztring Samsung Galaxy Note A forráseszköz modellneve Forrás
Eszköz
SrcDvcModelNumber Sztring 10,0 A forráseszköz modellszáma Forrás
Eszköz
SrcDvcType Sztring Mobil A forráseszköz típusa Forrás
Eszköz
SrcInterfaceName Sztring eth01 A forráseszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. Forrás
SrcInterfaceGuid Sztring 46ad544b-eaf0-47ef-827c-266030f545a6 A használt hálózati adapter GUID azonosítója Forrás
SrcIpAddr IP-cím 77.138.103.108 Az IP-cím, amelyről a kapcsolat vagy a munkamenet származik. Forrás
IP
SrcDvcIpAddr IP-cím 77.138.103.108 A hálózati csomaghoz közvetlenül nem társított eszköz forrás IP-címe (amelyet egy szolgáltató gyűjt vagy explicit módon kiszámít). Forrás
Eszköz
IP
SrcGeoLatitude Szélesség (dupla) 44.475833 A forrás IP-címhez társított földrajzi koordináták szélessége Forrás
Térség
SrcGeoLongitude Hosszúság (dupla) -73.211944 A forrás IP-címhez társított földrajzi koordináták hosszúsága Forrás
Térség
SrcMacAddr Sztring 06:10:9f:eb:8f:14 Annak a hálózati adapternek a MAC-címe, ahonnan a kapcsolati od-munkamenet származik. Forrás
Mac
SrcDvcMacAddr Sztring 06:10:9f:eb:8f:14 Egy olyan eszköz forrás MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. Forrás
Eszköz
Mac
SrcPortNumber Egész 2335 Az IP-port, ahonnan a kapcsolat származik. Előfordulhat, hogy több kapcsolatot tartalmazó munkamenet esetében nem releváns. Forrás
Kikötő
SrcGeoRegion Régió (sztring) Vermont A forrás IP-címhez társított országon/régión belüli régió Forrás
Térség
SrcResourceId Sztring /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 Az üzenetet létrehozó eszköz erőforrás-azonosítója. Forrás
SrcNatIpAddr IP-cím 4.3.2.1 Ha egy köztes NAT-eszköz, például tűzfal jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt IP-cím. Forrás NAT,
IP
SrcNatPortNumber Egész 345 Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt port. Forrás NAT,
Kikötő
SrcUserSid Felhasználói azonosító (sztring) S-15-1445 A munkamenet-forráshoz társított identitás felhasználói azonosítója. A felhasználó általában műveletet hajt végre az ügyfélen. További információ: Adattípusok és formátumok. Forrás
User
SrcUserAadId Sztring (guid) 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 A felhasználó Microsoft Entra-fiók objektumazonosítója a munkamenet forrás végén Forrás
User
SrcUserName Felhasználónév (sztring) úszó A munkamenet-forráshoz társított identitás felhasználóneve. A felhasználó általában műveletet hajt végre az ügyfélen. További információ: Adattípusok és formátumok. Forrás
User
SrcUserUpn húr bob@alice.com A munkamenetet kezdeményező fiók UPN-azonosítója Forrás
User
SrcUserDomain húr ASZTAL A munkamenetet kezdeményező fiók tartománya Forrás
User
SrcZone Sztring Felderítés A forrás hálózati zónája a jelentéskészítő eszköz által meghatározott módon. Forrás
NetworkProtocol Sztring TCP A kapcsolat vagy munkamenet által használt IP-protokoll. Általában TCP, UDP vagy ICMP Network (Hálózat)
CloudAppName Sztring Facebook Egy HTTP-alkalmazás célalkalmazásának neve a proxy által azonosított módon. Felhőbeli
CloudAppId Sztring 124 Egy HTTP-alkalmazás célalkalmazásának azonosítója a proxy által azonosított módon. Ez az érték általában a használt proxyra jellemző. Felhőbeli
CloudAppOperation Sztring DeleteFile A felhasználó által a proxy által azonosított HTTP-alkalmazás célalkalmazásának kontextusában végrehajtott művelet. Ez az érték általában a használt proxyra jellemző. Felhőbeli
CloudAppRiskLevel Sztring 3 A proxy által azonosított HTTP-alkalmazáshoz társított kockázati szint. Ez az érték általában a használt proxyra jellemző. Felhőbeli
Fájlnév Sztring ImNotMalicious.exe A protokollok ( például FTP és HTTP) hálózati kapcsolatain keresztül továbbított fájlnév, amely megadja a fájlnévadatokat. Fájl
FilePath Sztring C:\Rosszindulatú\ImNotMalicious.exe A fájl teljes elérési útja, beleértve a fájl nevét is Fájl
FileHashMd5 Sztring 51BC68715FC7C109DCEA406B42D9D78F A protokollok hálózati kapcsolatain keresztül továbbított fájl MD5 kivonatértéke. Fájl
FileHashSha1 Sztring 491AE3... C299821476F4 A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA1 kivonatértéke. Fájl
FileHashSha256 Sztring 9B8F8EDB... C129976F03 A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA256 kivonatértéke. Fájl
FileHashSha512 Sztring 5E127D... F69F73F01F361 A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA512 kivonatértéke. Fájl
FileExtension Sztring exe Az olyan protokollok hálózati kapcsolatain keresztül továbbított fájl típusa, mint az FTP és a HTTP. Fájl
FileMimeType Sztring application/msword A hálózati kapcsolatokon keresztül továbbított fájl MIME-típusa olyan protokollok esetében, mint az FTP és a HTTP Fájl
Fájlméret Egész 23500 A protokollok hálózati kapcsolatain keresztül továbbított fájl mérete bájtban kifejezve. Fájl
HttpVersion Sztring 2,0 HTTP-/HTTPS-hálózati kapcsolatok HTTP-kérelemverziója. Http
HttpRequestMethod Sztring KAP A HTTP/HTTPS hálózati munkamenetek HTTP-metódusa. Http
HttpStatusCode Sztring 404 A HTTP/HTTPS hálózati munkamenetek HTTP-állapotkódja. Http
HttpContentType Sztring többrészes/űrlapadatok; boundary=something A HTTP-válasz tartalomtípus fejléce HTTP/HTTPS hálózati munkamenetekhez. Http
HttpReferrerOriginal Sztring https://developer.mozilla.org/en-US/docs/Web/JavaScript A HTTP-/HTTPS-hálózati munkamenetek HTTP-hivatkozó fejléce. Http
HttpUserAgentOriginal Sztring Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, mint Gecko) Chrome/83.0.4103.97 Safari/537.36 A HTTP-/HTTPS-hálózati munkamenetek HTTP-felhasználói ügynökének fejléce. Http
HttpRequestXff Sztring 120.12.41.1 HTTP/HTTPS hálózati munkamenetek HTTP X-Forwarded-For fejléce. Http
UrlCategory Sztring Keresőmotorok Az URL-cím definiált csoportosítása, amely esetleg az URL-cím tartományán alapul, a tartalom tartalmához kapcsolódik. Például: felnőtt, hírek, hirdetések, parkolt tartományok stb.) url
UrlOriginal Sztring https:// contoso.com/fo/?k=v&q=u#f A HTTP-/HTTPS-hálózati munkamenetek HTTP-kérési URL-címe. URL-cím
UrlHostname Sztring contoso.com A HTTP-kérés URL-címének tartományrésze HTTP/HTTPS hálózati munkamenetekhez. URL-cím
ThreatCategory Sztring Trójai Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított fenyegetés kategóriája, amely ehhez a hálózati munkamenethez van társítva. Fenyegetés
ThreatId Sztring Tr.124 Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított és ehhez a hálózati munkamenethez társított fenyegetés azonosítója. Fenyegetés
ThreatName Sztring EICAR-tesztfájl Az azonosított fenyegetés vagy kártevő neve Fenyegetés
További mezők Dinamikus (JSON táska) {
Tulajdonság1: "val1",
Tulajdonság2: "val2"
}
Ha a séma egyik oszlopa sem egyezik, más mezők JSON-zsákban tárolhatók.
A lekérdezési idő elemzéséhez javasoljuk, hogy a JSON-zsákok helyett további oszlopokat is előléptet, mivel az adatok JSON-kódba való csomagolása rontja a lekérdezés teljesítményét.
Egyéni mező

Különbségek a 0.1-es és a 0.2-es verzió között

A Microsoft Sentinel Network munkamenet-normalizálási sémájának eredeti, 0.1-es verziója előzetes verzióként jelent meg, mielőtt az ASIM elérhető lett.

A cikkben dokumentált 0.1-es és 0.2.x-es verzió közötti különbségek a következők:

  • A 0.2-es verzióban az egyesítő és a forrásspecifikus elemzőnevek úgy módosultak, hogy megfeleljenek egy szabványos ASIM-elnevezési konvenciónak.
  • A 0.2-es verzió konkrét irányelveket és egyesítő elemzőket ad hozzá adott eszköztípusokhoz.

A következő szakaszok ismertetik, hogy a 0.2.x verzió hogyan különbözik az egyes mezőktől.

Mezők hozzáadva a 0.2-es verzióban

A következő mezők a 0.2.x verzióban lettek hozzáadva, és nem léteznek a 0.1-es verzióban:

  • DstAppType
  • DstDeviceType
  • DstDomainType
  • DstDvcId
  • DstDvcIdType
  • DstOriginalUserType
  • DstUserIdType
  • DstUsernameType
  • DstUserType
  • DvcActionOriginal
  • DvcDomain
  • DvcDomainType
  • DvcFQDN
  • DvcId
  • DvcIdType
  • DvcIdType
  • EventOriginalSeverity
  • EventOriginalType
  • SrcAppId
  • SrcAppName
  • SrcAppType
  • SrcDeviceType
  • SrcDomainType
  • SrcDvcId
  • SrcDvcIdType
  • SrcOriginalUserType
  • SrcUserIdType
  • SrcUsernameType
  • SrcUserType
  • ThreatRiskLevelOriginal
  • URL-cím

Újonnan aliasolt mezők a 0.2-es verzióban

A következő mezők mostantól a 0.2.x verzióban vannak aliasolva az ASIM bevezetésével:

Mező a 0.1-es verzióban Alias a 0.2-es verzióban
Munkamenet-azonosító NetworkSessionId
Időtartam NetworkDuration
IpAddr SrcIpAddr
User DstUsername
Hostname (Gazdanév) DstHostname
UserAgent HttpUserAgent

Módosított mezők a 0.2-es verzióban

A következő mezők a 0.2.x verzióban vannak felsorolva, és egy megadott listából igényelnek egy adott értéket.

  • EventType
  • EventResultDetails
  • EventSeverity

Átnevezett mezők a 0.2-es verzióban

A következő mezőket átneveztük a 0.2.x verzióban:

  • A 0.2-es verzióban használja a beépített Log Analytics-mezőket:

    Vegye figyelembe, hogy ingestion_time() ez egy KQL-függvény, és nem mezőnév.

    Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban
    EventResourceId _ResourceId
    EventUid _ItemId
    EventTimeIngested ingestion_time()
  • Átnevezve az ASIM és az OSSEM fejlesztéseihez:

    Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban
    HttpReferrerOriginal HttpReferrer
    HttpUserAgentOriginal HttpUserAgent
  • Átnevezve, hogy tükrözze, hogy a hálózati munkamenet célhelyének nem kell felhőszolgáltatásnak lennie:

    Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban
    CloudAppId DstAppId
    CloudAppName DstAppName
    CloudAppRiskLevel ThreatRiskLevel
  • Átnevezve az eset módosítására, és igazodik a felhasználói entitás ASIM-kezeléséhez:

    Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban
    DstUserName DstUsername
    SrcUserName SrcUsername
  • Átnevezve, hogy jobban igazodjon az ASIM-eszköz entitásához, és engedélyezze az Azure-tól eltérő erőforrás-azonosítókat:

    Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban
    DstResourceId SrcDvcAzureResourceId
    SrcResourceId SrcDvcAzureResourceId
  • A sztring a mezőnevekből való eltávolítására Dvc lett átnevezve, mivel a 0.1-es verzió kezelése inkonzisztens volt:

    Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban
    DstDvcDomain DstDomain
    DstDvcFqdn DstFqdn
    DstDvcHostname DstHostname
    SrcDvcDomain SrcDomain
    SrcDvcFqdn SrcFqdn
    SrcDvcHostname SrcHostname
  • Átnevezve az ASIM-fájlábrázolás útmutatásának megfelelően:

    Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban
    FileHashMd5 FileMD5
    FileHashSha1 FileSHA1
    FileHashSha256 FileSHA256
    FileHashSha512 FileSHA512
    FileMimeType FileContentType

Eltávolított mezők a 0.2-es verzióban

A következő mezők csak a 0.1-es verzióban léteznek, és a 0.2.x verzióban lettek eltávolítva:

Ok Eltávolított mezők
El lett távolítva, mert ismétlődések léteznek, a mezőnév sztringje Dvc nélkül - DstDvcIpAddr
- DstDvcMacAddr
- SrcDvcIpAddr
- SrcDvcMacAddr
El lett távolítva az URL-címek ASIM-kezeléséhez való igazításhoz - UrlHostname
El lett távolítva, mert ezek a mezők általában nem a hálózati munkamenet eseményei részeként vannak megadva.

Ha egy esemény tartalmazza ezeket a mezőket, a Folyamateset sémával megismerheti az eszköztulajdonságok leírását.
- SrcDvcOs
- SrcDvcModelName
- SrcDvcModelNumber
- DvcMacAddr
- DvcOs
El lett távolítva az ASIM-fájlábrázolás útmutatásának megfelelően - FilePath
- FileExtension
Ha ez a mező azt jelzi, hogy egy másik sémát kell használni, például a hitelesítési sémát. - CloudAppOperation
Ismétlődéskor el lett távolítva DstHostname - DstDomainHostname

Következő lépések

További információk: