Microsoft Sentinel hálózat normalizálási séma (Örökölt verzió – Nyilvános előzetes verzió)
A hálózat normalizálási sémája a jelentett hálózati események leírására szolgál, és a Microsoft Sentinel az egyesítő elemzések engedélyezésére használja.
További információ: Normalization and the Advanced Security Information Model (ASIM).
Fontos
Ez a cikk a hálózati normalizálási séma 0.1-es verziójára vonatkozik, amely előzetes verzióként jelent meg, mielőtt az ASIM elérhető lett. A hálózati normalizálási séma 0.2.x-es verziója az ASIM-hez igazodik, és további fejlesztéseket biztosít.
További információ: A hálózat normalizálási sémaverziói közötti különbségek
Terminológia
A Microsoft Sentinel sémái a következő terminológiát használják:
| Időszak | Definíció |
|---|---|
| Jelentéskészítő eszköz | A rekordokat a Microsoft Sentinelnek küldő rendszer. Lehet, hogy nem a rekord tárgya. |
| Rekord | A jelentéskészítő eszközről küldött adategység. Ezt az adategységet gyakran nevezik log, eventvagy alert, de más típusú is lehet. |
Adattípusok és formátumok
Az alábbi táblázat útmutatást nyújt a normalizált mezőkhöz szükséges és más mezőkhöz ajánlott adatértékek normalizálásához.
| Adattípus | Fizikai típus | Formátum és érték |
|---|---|---|
| Dátum/idő | A használt betöltési módszer képességeitől függően az alábbiak egyike csökkenő prioritásban:
|
Log Analytics dátum/idő ábrázolása. A Log Analytics dátum- és időábrázolása hasonló jellegű, de eltér a Unix időábrázolásától. Tekintse meg ezeket a konverziós irányelveket. A dátumot és az időt az időzónákhoz kell igazítani. |
| MAC-cím | Sztring | Kettőspont-hexadecimális jelölés |
| IP Address | IP Address | A séma nem rendelkezik külön IPv4- és IPv6-címmel. Bármely IP-címmező tartalmazhat IPv4-címet vagy IPv6-címet:
|
| Felhasználó | Sztring | A következő 3 felhasználói mező érhető el:
|
| Felhasználói azonosító | Sztring | Jelenleg a következő 2 felhasználói azonosító támogatott:
|
| Eszköz | Sztring | A következő 3 eszköz-/gazdagéposzlop támogatott:
|
| Country | Sztring | Az ISO 3166-1 szabványt használó sztring a következő prioritások szerint:
|
| Régió | Sztring | Az ország/régió alosztály neve az ISO 3166-2 használatával |
| Város | Sztring | |
| Longitude | Kétszeres | ISO 6709 koordináta-ábrázolás (aláírt decimális) |
| Latitude | Kétszeres | ISO 6709 koordináta-ábrázolás (aláírt decimális) |
| Kivonatoló algoritmus | Sztring | A következő 4 kivonatoszlop támogatott:
|
| Fájltípus | Sztring | A fájltípus típusa:
|
Hálózati munkamenetek táblaséma
Az alábbiakban látható a hálózati munkamenetek táblázatának sémája, 1.0.0-s verziójú
| Mezőnév | Érték típusa | Példa | Leírás | Társított OSSEM-entitások |
|---|---|---|---|---|
| EventType | Sztring | Adatforgalom | Gyűjtendő esemény típusa | Esemény |
| EventSubType | Sztring | Hitelesítés | A típus további leírása, ha van ilyen | Esemény |
| EventCount | Egész | 10 | Az összesítve lévő események száma, ha van. | Esemény |
| EventEndTime | Dátum/idő | Lásd: "adattípusok" | Az esemény befejezésének időpontja | Esemény |
| EventMessage | húr | hozzáférés megtagadva | A rekordban szereplő vagy abból létrehozott általános üzenet vagy leírás | Esemény |
| DvcIpAddr | IP Address | 23.21.23.34 | A rekordot létrehozó eszköz IP-címe | Eszköz IP |
| DvcMacAddr | Sztring | 06:10:9f:eb:8f:14 | Annak a jelentéskészítő eszköznek a hálózati adapterének MAC-címe, amelyről az eseményt elküldték. | Eszköz Mac |
| DvcHostname | Eszköz neve (sztring) | syslogserver1.contoso.com | Az üzenetet létrehozó eszköz neve. | Eszköz |
| EventProduct | Sztring | OfficeSharepoint | Az eseményt létrehozó termék. | Esemény |
| EventProductVersion | húr | 9.0 | Az eseményt létrehozó termék verziója. | Esemény |
| EventResourceId | Eszközazonosító (sztring) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Az üzenetet létrehozó eszköz erőforrás-azonosítója. | Esemény |
| EventReportUrl | Sztring | https://192.168.1.1/repoerts/ae3-56.htm | A jelentéskészítő eszköz által létrehozott teljes jelentésre mutató hivatkozás | Esemény |
| EventVendor | Sztring | Microsoft | Az eseményt létrehozó termék szállítója. | Esemény |
| EventResult | Többértékű: Sikeres, Részleges, Sikertelen, [Üres] (Sztring) | Siker | A tevékenységhez jelentett eredmény. Üres érték, ha nem alkalmazható. | Esemény |
| EventResultDetails | Sztring | Helytelen jelszó | Az EventResult-ban jelentett eredmény oka vagy részletei | Esemény |
| EventSchemaVersion | Valós | 0,1 | Microsoft Sentinel sémaverzió. Jelenleg 0.1. | Esemény |
| EventSeverity | Sztring | Alacsony | Ha a jelentett tevékenységnek van biztonsági hatása, akkor a hatás súlyosságát jelöli. | Esemény |
| EventOriginalUid | Sztring | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | A jelentéskészítő eszköz rekordazonosítója. | Esemény |
| EventStartTime | Dátum/idő | Lásd: "adattípusok" | Az az időpont, amikor az eseményt megjelölte | Esemény |
| TimeGenerated | Dátum/idő | Lásd: "adattípusok" | Az esemény bekövetkezésének időpontja a jelentéskészítési forrás által jelentett módon. | Egyéni mező |
| EventTimeIngested | Dátum/idő | Lásd: "adattípusok" | Az esemény Microsoft Sentinelbe való betöltésének időpontja. A Microsoft Sentinel hozzáadja. | Esemény |
| EventUid | Guid (sztring) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | A Microsoft Sentinel által egy sor megjelölésére használt egyedi azonosító. | Esemény |
| NetworkApplicationProtocol | Sztring | HTTPS | A kapcsolat vagy munkamenet által használt alkalmazásréteg-protokoll. | Network (Hálózat) |
| DstBytes | egész | 32455 | A célhelyről a kapcsolat vagy munkamenet forrásának küldött bájtok száma. | Cél |
| SrcBytes | egész | 46536 | A forrásból a kapcsolat vagy munkamenet célhelyére küldött bájtok száma. | Forrás |
| NetworkBytes | egész | 78991 | A két irányban küldött bájtok száma. Ha a BytesReceived és a BytesSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összeggel. | Network (Hálózat) |
| NetworkDirection | Többértékű: Bejövő, Kimenő (sztring) | Bejövő | A kapcsolat vagy munkamenet iránya a szervezetbe vagy a szervezeten kívülre. | Network (Hálózat) |
| DstGeoCity | Sztring | Burlington | A cél IP-címéhez társított város | Célállomás Térség |
| DstGeoCountry | Ország (sztring) | USA | A forrás IP-címéhez társított ország/régió | Célállomás Térség |
| DstDvcHostname | Eszköz neve (sztring) | victim_pc | A céleszköz eszközneve | Cél Eszköz |
| DstDvcFqdn | Sztring | victim_pc.contoso.local | Annak a gazdagépnek a teljes tartományneve, ahol a naplót létrehozták | Célállomás Eszköz |
| DstDomainHostname | húr | CONTOSO | A céltartomány, a cél állomás tartománya (webhely, tartománynév stb.), például DNS-keresésekhez vagy NS-keresésekhez | Cél |
| DstInterfaceName | húr | Microsoft Hyper-V hálózati adapter | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. | Cél |
| DstInterfaceGuid | húr | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | A hitelesítési kérelemhez használt hálózati adapter GUID azonosítója | Cél |
| DstIpAddr | IP-cím | 2001:db8::ff00:42:8329 | A kapcsolat vagy munkamenet céljának IP-címe, amelyet leggyakrabban a hálózati csomag cél IP-címének neveznek | Célállomás IP |
| DstDvcIpAddr | IP-cím | 75.22.12.2 | Olyan eszköz cél IP-címe, amely nincs közvetlenül társítva a hálózati csomaggal | Célállomás Eszköz IP |
| DstGeoLatitude | Szélesség (dupla) | 44.475833 | A cél IP-címéhez társított földrajzi koordináták szélessége | Célállomás Térség |
| DstMacAddr | Sztring | 06:10:9f:eb:8f:14 | Annak a hálózati adapternek a MAC-címe, amelyen a kapcsolat vagy a munkamenet megszakadt, a leggyakrabban a cél MAC-címre hivatkoznak a hálózati csomagban | Célállomás MAC |
| DstDvcMacAddr | Sztring | 06:10:9f:eb:8f:14 | Egy olyan eszköz cél MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. | Célállomás Eszköz MAC |
| DstDvcDomain | Sztring | CONTOSO | A céleszköz tartománya. | Célállomás Eszköz |
| DstPortNumber | Egész | 443 | A cél IP-port. | Célállomás Kikötő |
| DstGeoRegion | Régió (sztring) | Vermont | A cél IP-címéhez társított régió | Célállomás Térség |
| DstResourceId | Eszközazonosító (sztring) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | A céleszköz erőforrás-azonosítója. | Cél |
| DstNatIpAddr | IP-cím | 2::1 | Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt IP-cím. | Cél NAT, IP |
| DstNatPortNumber | egész | 443 | Ha egy köztes NAT-eszköz, például tűzfal jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt port. | Cél NAT, Kikötő |
| DstUserSid | Felhasználói SID | S-12-1445 | A munkamenet célhelyéhez társított identitás felhasználói azonosítója. Általában a kiszolgáló hitelesítéséhez használt identitás. További információ: Adattípusok és formátumok. | Célállomás User |
| DstUserAadId | Sztring (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | A felhasználó Microsoft Entra-fiók objektumazonosítója a munkamenet végén | Célállomás User |
| DstUserName | Felhasználónév (sztring) | johnd | A munkamenet célhelyéhez társított identitás felhasználóneve. | Célállomás User |
| DstUserUpn | húr | johnd@anon.com | A munkamenet célhelyéhez társított identitás UPN-je. | Célállomás User |
| DstUserDomain | húr | MUNKACSOPORT | A fiók tartománya vagy számítógépneve a munkamenet célhelyén | Célállomás User |
| DstZone | Sztring | Dmz | A célhely hálózati zónája a jelentéskészítő eszköz által meghatározott módon. | Cél |
| DstGeoLongitude | Hosszúság (dupla) | -73.211944 | A cél IP-címhez társított földrajzi koordináták hosszúsága | Célállomás Térség |
| DvcAction | Többértékű: Engedélyezés, Megtagadás, Elvetés (sztring) | Engedélyezés | Ha egy közvetítő eszköz, például egy tűzfal jelenti, az eszköz által végrehajtott műveletet. | Eszköz |
| DvcInboundInterface | Sztring | eth0 | Ha egy közvetítő eszköz, például egy tűzfal jelenti, az általa a forráseszközhöz való csatlakozáshoz használt hálózati adapter. | Eszköz |
| DvcOutboundInterface | Sztring | Ethernet-adapter Ethernet 4 | Ha egy közvetítő eszköz, például egy tűzfal jelenti, az általa a céleszközhöz való csatlakozáshoz használt hálózati adapter. | Eszköz |
| NetworkDuration | Egész | 1500 | A hálózati munkamenet vagy kapcsolat befejezéséhez szükséges idő ezredmásodpercben | Network (Hálózat) |
| NetworkIcmpCode | Egész | 34 | ICMP-üzenet esetén az ICMP-üzenet típusa numerikus érték (RFC 2780 vagy RFC 4443). | Network (Hálózat) |
| NetworkIcmpType | Sztring | Cél nem érhető el | ICMP-üzenet esetén az ICMP-üzenettípus szöveges ábrázolása (RFC 2780 vagy RFC 4443). | Network (Hálózat) |
| DstPackets | egész | 446 | A célhelyről a kapcsolat vagy munkamenet forrásának küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. | Cél |
| SrcPackets | egész | 6478 | A forrásból a kapcsolat vagy munkamenet célhelyére küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. | Forrás |
| NetworkPackets | egész | 0 | Mindkét irányban küldött csomagok száma. Ha a PacketsReceived és a PacketsSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összegükkel. | Network (Hálózat) |
| HttpRequestTime | Egész | 700 | A kérés kiszolgálónak való elküldéséhez szükséges idő, ha lehetséges. | Http |
| HttpResponseTime | Egész | 800 | Adott esetben a válasz fogadásához szükséges idő a kiszolgálón. | Http |
| NetworkRuleName | Sztring | AnyAnyDrop | Annak a szabálynak a neve vagy azonosítója, amellyel a DeviceAction-ről döntés született | Network (Hálózat) |
| NetworkRuleNumber | egész | 23 | Egyező szabályszám | Network (Hálózat) |
| NetworkSessionId | húr | 172_12_53_32_4322__123_64_207_1_80 | A jelentéskészítő eszköz által jelentett munkamenet-azonosító. Például az L7-munkamenet azonosítója adott alkalmazásokhoz a hitelesítést követően | Network (Hálózat) |
| SrcGeoCity | Sztring | Burlington | A forrás IP-címéhez társított város | Forrás Térség |
| SrcGeoCountry | Ország (sztring) | USA | A forrás IP-címéhez társított ország/régió | Forrás Térség |
| SrcDvcHostname | Eszköz neve (sztring) | gazember | A forráseszköz eszközneve | Forrás Eszköz |
| SrcDvcFqdn | húr | Villain.malicious.com | Annak a gazdagépnek a teljes tartományneve, ahol a naplót létrehozták | Forrás Eszköz |
| SrcDvcDomain | húr | EVILORG | Annak az eszköznek a tartománya, amelyről a munkamenetet kezdeményezték | Forrás Eszköz |
| SrcDvcOs | Sztring | iOS | A forráseszköz operációs rendszere | Forrás Eszköz |
| SrcDvcModelName | Sztring | Samsung Galaxy Note | A forráseszköz modellneve | Forrás Eszköz |
| SrcDvcModelNumber | Sztring | 10,0 | A forráseszköz modellszáma | Forrás Eszköz |
| SrcDvcType | Sztring | Mobil | A forráseszköz típusa | Forrás Eszköz |
| SrcInterfaceName | Sztring | eth01 | A forráseszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. | Forrás |
| SrcInterfaceGuid | Sztring | 46ad544b-eaf0-47ef-827c-266030f545a6 | A használt hálózati adapter GUID azonosítója | Forrás |
| SrcIpAddr | IP-cím | 77.138.103.108 | Az IP-cím, amelyről a kapcsolat vagy a munkamenet származik. | Forrás IP |
| SrcDvcIpAddr | IP-cím | 77.138.103.108 | A hálózati csomaghoz közvetlenül nem társított eszköz forrás IP-címe (amelyet egy szolgáltató gyűjt vagy explicit módon kiszámít). | Forrás Eszköz IP |
| SrcGeoLatitude | Szélesség (dupla) | 44.475833 | A forrás IP-címhez társított földrajzi koordináták szélessége | Forrás Térség |
| SrcGeoLongitude | Hosszúság (dupla) | -73.211944 | A forrás IP-címhez társított földrajzi koordináták hosszúsága | Forrás Térség |
| SrcMacAddr | Sztring | 06:10:9f:eb:8f:14 | Annak a hálózati adapternek a MAC-címe, ahonnan a kapcsolati od-munkamenet származik. | Forrás Mac |
| SrcDvcMacAddr | Sztring | 06:10:9f:eb:8f:14 | Egy olyan eszköz forrás MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. | Forrás Eszköz Mac |
| SrcPortNumber | Egész | 2335 | Az IP-port, ahonnan a kapcsolat származik. Előfordulhat, hogy több kapcsolatot tartalmazó munkamenet esetében nem releváns. | Forrás Kikötő |
| SrcGeoRegion | Régió (sztring) | Vermont | A forrás IP-címhez társított országon/régión belüli régió | Forrás Térség |
| SrcResourceId | Sztring | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Az üzenetet létrehozó eszköz erőforrás-azonosítója. | Forrás |
| SrcNatIpAddr | IP-cím | 4.3.2.1 | Ha egy köztes NAT-eszköz, például tűzfal jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt IP-cím. | Forrás NAT, IP |
| SrcNatPortNumber | Egész | 345 | Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt port. | Forrás NAT, Kikötő |
| SrcUserSid | Felhasználói azonosító (sztring) | S-15-1445 | A munkamenet-forráshoz társított identitás felhasználói azonosítója. A felhasználó általában műveletet hajt végre az ügyfélen. További információ: Adattípusok és formátumok. | Forrás User |
| SrcUserAadId | Sztring (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | A felhasználó Microsoft Entra-fiók objektumazonosítója a munkamenet forrás végén | Forrás User |
| SrcUserName | Felhasználónév (sztring) | úszó | A munkamenet-forráshoz társított identitás felhasználóneve. A felhasználó általában műveletet hajt végre az ügyfélen. További információ: Adattípusok és formátumok. | Forrás User |
| SrcUserUpn | húr | bob@alice.com | A munkamenetet kezdeményező fiók UPN-azonosítója | Forrás User |
| SrcUserDomain | húr | ASZTAL | A munkamenetet kezdeményező fiók tartománya | Forrás User |
| SrcZone | Sztring | Felderítés | A forrás hálózati zónája a jelentéskészítő eszköz által meghatározott módon. | Forrás |
| NetworkProtocol | Sztring | TCP | A kapcsolat vagy munkamenet által használt IP-protokoll. Általában TCP, UDP vagy ICMP | Network (Hálózat) |
| CloudAppName | Sztring | Egy HTTP-alkalmazás célalkalmazásának neve a proxy által azonosított módon. | Felhőbeli | |
| CloudAppId | Sztring | 124 | Egy HTTP-alkalmazás célalkalmazásának azonosítója a proxy által azonosított módon. Ez az érték általában a használt proxyra jellemző. | Felhőbeli |
| CloudAppOperation | Sztring | DeleteFile | A felhasználó által a proxy által azonosított HTTP-alkalmazás célalkalmazásának kontextusában végrehajtott művelet. Ez az érték általában a használt proxyra jellemző. | Felhőbeli |
| CloudAppRiskLevel | Sztring | 3 | A proxy által azonosított HTTP-alkalmazáshoz társított kockázati szint. Ez az érték általában a használt proxyra jellemző. | Felhőbeli |
| Fájlnév | Sztring | ImNotMalicious.exe | A protokollok ( például FTP és HTTP) hálózati kapcsolatain keresztül továbbított fájlnév, amely megadja a fájlnévadatokat. | Fájl |
| FilePath | Sztring | C:\Rosszindulatú\ImNotMalicious.exe | A fájl teljes elérési útja, beleértve a fájl nevét is | Fájl |
| FileHashMd5 | Sztring | 51BC68715FC7C109DCEA406B42D9D78F | A protokollok hálózati kapcsolatain keresztül továbbított fájl MD5 kivonatértéke. | Fájl |
| FileHashSha1 | Sztring | 491AE3... C299821476F4 | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA1 kivonatértéke. | Fájl |
| FileHashSha256 | Sztring | 9B8F8EDB... C129976F03 | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA256 kivonatértéke. | Fájl |
| FileHashSha512 | Sztring | 5E127D... F69F73F01F361 | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA512 kivonatértéke. | Fájl |
| FileExtension | Sztring | exe | Az olyan protokollok hálózati kapcsolatain keresztül továbbított fájl típusa, mint az FTP és a HTTP. | Fájl |
| FileMimeType | Sztring | application/msword | A hálózati kapcsolatokon keresztül továbbított fájl MIME-típusa olyan protokollok esetében, mint az FTP és a HTTP | Fájl |
| Fájlméret | Egész | 23500 | A protokollok hálózati kapcsolatain keresztül továbbított fájl mérete bájtban kifejezve. | Fájl |
| HttpVersion | Sztring | 2,0 | HTTP-/HTTPS-hálózati kapcsolatok HTTP-kérelemverziója. | Http |
| HttpRequestMethod | Sztring | KAP | A HTTP/HTTPS hálózati munkamenetek HTTP-metódusa. | Http |
| HttpStatusCode | Sztring | 404 | A HTTP/HTTPS hálózati munkamenetek HTTP-állapotkódja. | Http |
| HttpContentType | Sztring | többrészes/űrlapadatok; boundary=something | A HTTP-válasz tartalomtípus fejléce HTTP/HTTPS hálózati munkamenetekhez. | Http |
| HttpReferrerOriginal | Sztring | https://developer.mozilla.org/en-US/docs/Web/JavaScript | A HTTP-/HTTPS-hálózati munkamenetek HTTP-hivatkozó fejléce. | Http |
| HttpUserAgentOriginal | Sztring | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, mint Gecko) Chrome/83.0.4103.97 Safari/537.36 | A HTTP-/HTTPS-hálózati munkamenetek HTTP-felhasználói ügynökének fejléce. | Http |
| HttpRequestXff | Sztring | 120.12.41.1 | HTTP/HTTPS hálózati munkamenetek HTTP X-Forwarded-For fejléce. | Http |
| UrlCategory | Sztring | Keresőmotorok | Az URL-cím definiált csoportosítása, amely esetleg az URL-cím tartományán alapul, a tartalom tartalmához kapcsolódik. Például: felnőtt, hírek, hirdetések, parkolt tartományok stb.) | url |
| UrlOriginal | Sztring | https:// contoso.com/fo/?k=v&q=u#f | A HTTP-/HTTPS-hálózati munkamenetek HTTP-kérési URL-címe. | URL-cím |
| UrlHostname | Sztring | contoso.com | A HTTP-kérés URL-címének tartományrésze HTTP/HTTPS hálózati munkamenetekhez. | URL-cím |
| ThreatCategory | Sztring | Trójai | Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított fenyegetés kategóriája, amely ehhez a hálózati munkamenethez van társítva. | Fenyegetés |
| ThreatId | Sztring | Tr.124 | Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított és ehhez a hálózati munkamenethez társított fenyegetés azonosítója. | Fenyegetés |
| ThreatName | Sztring | EICAR-tesztfájl | Az azonosított fenyegetés vagy kártevő neve | Fenyegetés |
| További mezők | Dinamikus (JSON táska) | { Tulajdonság1: "val1", Tulajdonság2: "val2" } |
Ha a séma egyik oszlopa sem egyezik, más mezők JSON-zsákban tárolhatók. A lekérdezési idő elemzéséhez javasoljuk, hogy a JSON-zsákok helyett további oszlopokat is előléptet, mivel az adatok JSON-kódba való csomagolása rontja a lekérdezés teljesítményét. |
Egyéni mező |
Különbségek a 0.1-es és a 0.2-es verzió között
A Microsoft Sentinel Network munkamenet-normalizálási sémájának eredeti, 0.1-es verziója előzetes verzióként jelent meg, mielőtt az ASIM elérhető lett.
A cikkben dokumentált 0.1-es és 0.2.x-es verzió közötti különbségek a következők:
- A 0.2-es verzióban az egyesítő és a forrásspecifikus elemzőnevek úgy módosultak, hogy megfeleljenek egy szabványos ASIM-elnevezési konvenciónak.
- A 0.2-es verzió konkrét irányelveket és egyesítő elemzőket ad hozzá adott eszköztípusokhoz.
A következő szakaszok ismertetik, hogy a 0.2.x verzió hogyan különbözik az egyes mezőktől.
Mezők hozzáadva a 0.2-es verzióban
A következő mezők a 0.2.x verzióban lettek hozzáadva, és nem léteznek a 0.1-es verzióban:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- URL-cím
Újonnan aliasolt mezők a 0.2-es verzióban
A következő mezők mostantól a 0.2.x verzióban vannak aliasolva az ASIM bevezetésével:
| Mező a 0.1-es verzióban | Alias a 0.2-es verzióban |
|---|---|
| Munkamenet-azonosító | NetworkSessionId |
| Időtartam | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | DstUsername |
| Hostname (Gazdanév) | DstHostname |
| UserAgent | HttpUserAgent |
Módosított mezők a 0.2-es verzióban
A következő mezők a 0.2.x verzióban vannak felsorolva, és egy megadott listából igényelnek egy adott értéket.
- EventType
- EventResultDetails
- EventSeverity
Átnevezett mezők a 0.2-es verzióban
A következő mezőket átneveztük a 0.2.x verzióban:
A 0.2-es verzióban használja a beépített Log Analytics-mezőket:
Vegye figyelembe, hogy
ingestion_time()ez egy KQL-függvény, és nem mezőnév.Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Átnevezve az ASIM és az OSSEM fejlesztéseihez:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Átnevezve, hogy tükrözze, hogy a hálózati munkamenet célhelyének nem kell felhőszolgáltatásnak lennie:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Átnevezve az eset módosítására, és igazodik a felhasználói entitás ASIM-kezeléséhez:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban DstUserName DstUsername SrcUserName SrcUsername Átnevezve, hogy jobban igazodjon az ASIM-eszköz entitásához, és engedélyezze az Azure-tól eltérő erőforrás-azonosítókat:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId A sztring a mezőnevekből való eltávolítására
Dvclett átnevezve, mivel a 0.1-es verzió kezelése inkonzisztens volt:Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Átnevezve az ASIM-fájlábrázolás útmutatásának megfelelően:
Mező a 0.1-es verzióban Átnevezve a 0.2-es verzióban FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Eltávolított mezők a 0.2-es verzióban
A következő mezők csak a 0.1-es verzióban léteznek, és a 0.2.x verzióban lettek eltávolítva:
| Ok | Eltávolított mezők |
|---|---|
El lett távolítva, mert ismétlődések léteznek, a mezőnév sztringje Dvc nélkül |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| El lett távolítva az URL-címek ASIM-kezeléséhez való igazításhoz | - UrlHostname |
| El lett távolítva, mert ezek a mezők általában nem a hálózati munkamenet eseményei részeként vannak megadva. Ha egy esemény tartalmazza ezeket a mezőket, a Folyamateset sémával megismerheti az eszköztulajdonságok leírását. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| El lett távolítva az ASIM-fájlábrázolás útmutatásának megfelelően | - FilePath - FileExtension |
| Ha ez a mező azt jelzi, hogy egy másik sémát kell használni, például a hitelesítési sémát. | - CloudAppOperation |
Ismétlődéskor el lett távolítva DstHostname |
- DstDomainHostname |
Következő lépések
További információk:
- Normalizálás a Microsoft Sentinelben
- A Microsoft Sentinel hitelesítési normalizálási sémájának referenciája (nyilvános előzetes verzió)
- Microsoft Sentinel-fájlesemény normalizálási sémájának referenciája (nyilvános előzetes verzió)
- A Microsoft Sentinel DNS normalizálási sémájának referenciája
- A Microsoft Sentinel folyamat esemény normalizálási sémájának referenciája
- Microsoft Sentinel beállításjegyzék-esemény normalizálási sémájának referenciája (nyilvános előzetes verzió)