Referensi bidang skema umum Model Informasi Keamanan Lanjutan (ASIM) (pratinjau)

Artikel
11/06/2024

Beberapa bidang sudah umum untuk semua skema ASIM. Setiap skema mungkin menambahkan panduan untuk menggunakan beberapa bidang umum dalam konteks skema tertentu. Misalnya, nilai yang diizinkan untuk bidang EventType mungkin berbeda per skema, seperti halnya nilai bidang EventSchemaVersion.

Bidang Analisis Log Standar

Bidang berikut dihasilkan oleh Log Analytics, di sebagian besar kasus, untuk setiap rekaman. Bidang-bidang tersebut dapat diganti saat Anda membuat konektor khusus.

Bidang	Jenis	Diskusi
TimeGenerated	datetime	Waktu peristiwa dibuat oleh perangkat pelaporan.
Jenis	String	Tabel asli tempat catatan diambil. Bidang ini bermanfaat ketika kejadian yang sama dapat diterima melalui beberapa saluran ke tabel yang berbeda, dan memiliki nilai EventVendor dan EventProduct yang sama. Misalnya, peristiwa Sysmon dapat dikumpulkan ke tabel `Event` atau ke tabel `WindowsEvent`.

Catatan

Log Analytics juga menambahkan bidang lain yang kurang relevan dengan kasus penggunaan keamanan. Untuk informasi lebih lanjut, lihat Kolom standar di Log Azure Monitor.

Bidang ASIM umum

Bidang berikut ditentukan oleh ASIM untuk semua skema:

Bidang acara

Bidang	Kelas	Tipe	Deskripsi
EventMessage	Opsional	String	Pesan atau deskripsi umum, baik yang disertakan atau dihasilkan dari rekaman.
EventCount	Wajib	Bilangan bulat	Jumlah peristiwa yang dijelaskan oleh rekaman. Nilai ini digunakan saat sumber mendukung agregasi, dan satu catatan mungkin mewakili beberapa peristiwa. Untuk sumber lain, atur ke `1`.
EventStartTime	Wajib	Tanggal/Waktu	Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated.
EventEndTime	Wajib	Tanggal/Waktu	Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated.
EventType	Wajib	Disebutkan	Menggambarkan operasi yang dilaporkan oleh catatan. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalType.
EventSubType	Opsional	Disebutkan	Penjelasan operasi subdivisi telah di laporkan di bidang EventType. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalSubType.
EventResult	Wajib	Disebutkan	Satu dari nilai berikut: Sukses, Sebagian, Gagal, NA (Tidak berlaku). Nilai mungkin diberikan dalam catatan sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasikan ke nilai-nilai ini. Atau, sumber mungkin hanya menyediakan bidang EventResultDetails, yang harus dianalisis untuk memperoleh nilai EventResult. Contoh: `Success`
EventResultDetails	Direkomendasikan	Disebutkan	Alasan atau detail untuk hasil yang dilaporkan di bidang EventResult. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalResultDetails. Contoh: `NXDOMAIN`
EventUid	Direkomendasikan	String	ID unik rekaman, seperti yang ditetapkan oleh Microsoft Sentinel. Bidang ini biasanya dipetakan ke `_ItemId` bidang Analitik Log.
EventOriginalUid	Opsional	String	ID unik dari rekaman asli, jika disediakan oleh sumbernya. Contoh: `69f37748-ddcd-4331-bf0f-b137f1ea83b`
EventOriginalType	Opsional	String	Jenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini digunakan untuk menyimpan ID peristiwa Windows asli. Nilai ini digunakan untuk mendapatkan EventType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: `4624`
EventOriginalSubType	Opsional	String	Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini digunakan untuk menyimpan jenis log masuk Windows asli. Nilai ini digunakan untuk mendapatkan EventSubType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: `2`
EventOriginalResultDetails	Opsional	String	Detail hasil asli disediakan oleh sumber. Nilai ini digunakan untuk memperoleh EventResultDetails, yang seharusnya hanya memiliki satu nilai yang didokumentasikan untuk setiap skema.
EventSeverity	Direkomendasikan	Disebutkan	Tingkat keparahan peristiwa. Nilai yang valid adalah: `Informational`, `Low`, `Medium`, atau `High`.
EventOriginalSeverity	Opsional	String	Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. Nilai ini digunakan untuk mendapatkan EventSeverity.
EventProduct	Wajib	String	Produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: `Sysmon`
EventProductVersion	Opsional	String	Versi produk yang menghasilkan peristiwa. Contoh: `12.1`
EventVendor	Wajib	String	Vendor dari produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: `Microsoft`
EventSchema	Wajib	String	Skema acara dinormalisasi. Setiap skema mendokumentasikan nama skemanya.
EventSchemaVersion	Wajib	String	Versi skema. Setiap skema mendokumentasikan versinya saat ini.
EventReportUrl	Opsional	String	URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut.
EventOwner	Opsional	String	Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempat peristiwa tersebut dihasilkan.

Bidang perangkat

Peran bidang perangkat berbeda untuk skema dan jenis peristiwa yang berbeda. Contohnya:

Untuk peristiwa Sesi Jaringan, bidang perangkat biasanya memberikan informasi tentang perangkat yang menghasilkan peristiwa
Untuk peristiwa Proses, bidang perangkat memberikan informasi tentang perangkat tentang proses tersebut dijalankan.

Setiap dokumen skema menentukan peran perangkat untuk skema tersebut.

Bidang	Kelas	Tipe	Deskripsi
Dvc	Alias	String	Pengenal unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Bidang ini mungkin alias bidang DvcFQDN, DvcId, DvcHostname, atau DvcIpAddr. Untuk sumber cloud, yang tidak memiliki perangkat yang jelas, gunakan nilai yang sama dengan bidang Produk Peristiwa.
DvcIpAddr	Direkomendasikan	Alamat IP	Alamat IP perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut, bergantung pada skema. Contoh: `45.21.42.12`
DvcHostname	Direkomendasikan	Nama host	Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: `ContosoDc`
DvcDomain	Direkomendasikan	String	Domain perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: `Contoso`
DvcDomainType	Kondisional	Disebutkan	Jenis DvcDomain. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType. Catatan: Bidang ini diperlukan jika bidang DvcDomain digunakan.
DvcFQDN	Opsional	String	Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: `Contoso\DESKTOP-1282V4D` Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang DvcDomainType mencerminkan format yang digunakan.
DvcDescription	Opsional	String	Teks deskriptif yang terkait dengan perangkat. Misalnya: `Primary Domain Controller`.
DvcId	Opsional	String	ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: `41502da5-21b7-48ec-81c9-baeea8d7d669`
DvcIdType	Kondisional	Disebutkan	Jenis DvcId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType. - `MDEid` Jika beberapa ID tersedia, gunakan yang pertama dari daftar, dan simpan yang lain dengan menggunakan nama bidang masing-masing DvcAzureResourceId dan DvcMDEid. Catatan: Bidang ini diperlukan jika bidang DvcId digunakan.
DvcMacAddr	Opsional	MAC	Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: `00:1B:44:11:3A:B7`
DvcZone	Opsional	String	Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa, tergantung pada skemanya. Zona ini ditentukan oleh perangkat pelaporan. Contoh: `Dmz`
DvcOs	Opsional	String	Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. Contoh: `Windows`
DvcOsVersion	Opsional	String	Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: `10`
DvcAction	Direkomendasikan	String	Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem, jika ada. Contoh: `Blocked`
DvcOriginalAction	Opsional	String	DvcAction asli seperti yang disediakan oleh perangkat pelaporan.
DvcInterface	Opsional	String	Antarmuka jaringan tempat data diambil. Bidang ini biasanya relevan dengan aktivitas terkait jaringan, yang ditangkap oleh perangkat perantara atau ketuk.
DvcScopeId	Opsional	String	ID cakupan platform cloud milik perangkat. DvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS.
DvcScope	Opsional	String	Cakupan platform cloud milik perangkat. DvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS.

Bidang lainnya

Bidang	Kelas	Tipe	Deskripsi
AdditionalFields	Opsional	Dinamis	Jika sumber Anda memberikan informasi tambahan yang layak dipertahankan, simpan dengan nama bidang asli atau buat bidang AdditionalFields dinamis, dan tambahkan informasi tambahan sebagai pasangan kunci/nilai.
ASimMatchingIpAddr	Direkomendasikan	String	Saat pengurai menggunakan parameter pemfilteran `ipaddr_has_any_prefix`, bidang ini diatur dengan salah satu nilai `SrcIpAddr`, `DstIpAddr`, atau `Both` untuk merefleksikan bidang yang cocok.
ASimMatchingHostname	Direkomendasikan	String	Saat pengurai menggunakan parameter pemfilteran `hostname_has_any`, bidang ini diatur dengan salah satu nilai `SrcHostname`, `DstHostname`, atau `Both` untuk merefleksikan bidang yang cocok.

Pembaruan skema

Bidang EventOwner telah ditambahkan ke bidang umum pada 1 Des 2022, dan oleh karena itu ke semua skema.
Bidang EventUid telah ditambahkan ke bidang umum pada 26 Des 2022, dan oleh karena itu ke semua skema.

Vendor dan produk

Untuk menjaga konsistensi, daftar vendor dan produk yang diizinkan ditetapkan sebagai bagian dari ASIM, dan mungkin tidak secara langsung sesuai dengan nilai yang dikirim oleh sumber, jika tersedia.

Daftar vendor dan produk yang saat ini didukung yang digunakan di masing-masing bidang EventVendor dan EventProduct adalah:

Vendor	Produk
`AWS`	- `CloudTrail` - `VPC`
`Cisco`	- `ASA` - `Umbrella` - `IOS` - `Meraki`
`Corelight`	`Zeek`
`Cynerio`	`Cynerio`
`Dataminr`	`Dataminr Pulse`
`GCP`	`Cloud DNS`
`Infoblox`	`NIOS`
`Microsoft`	- ID Microsoft Entra - `Azure` - `Azure Firewall` - `Azure Blob Storage` - `Azure File Storage` - `Azure NSG flows` - `Azure Queue Storage` - `Azure Table Storage` - `DNS Server` - `Microsoft Defender XDR for Endpoint` - `Microsoft Defender for IoT` - `Security Events` - `SharePoint` - `OneDrive` - `Sysmon` - `Sysmon for Linu`x - `VMConnection` - `Windows Firewall` - `WireData`
`Linux`	- `su` - `sudo`
`Okta`	- `Okta` - `Auth0`
`OpenBSD`	`OpenSSH`
`Palo Alto`	- `PanOS` - `CDL`
`PostgreSQL`	`PostgreSQL`
`Squid`	`Squid Proxy`
`Vectra AI`	`Vectra Steam`
`WatchGuard`	`Fireware`
`Zscaler`	- `ZIA DNS` - `ZIA Firewall` - `ZIA Proxy`

Jika Anda mengembangkan pengurai untuk vendor atau produk yang tidak tercantum di sini, hubungi tim Microsoft Azure Sentinel untuk mengalokasikan vendor dan penanda produk baru yang diizinkan.

Langkah berikutnya

Untuk informasi selengkapnya, lihat:

Bagikan melalui