Referensi bidang skema umum Model Informasi Keamanan Lanjutan (ASIM) (pratinjau)
Beberapa bidang sudah umum untuk semua skema ASIM. Setiap skema mungkin menambahkan panduan untuk menggunakan beberapa bidang umum dalam konteks skema tertentu. Misalnya, nilai yang diizinkan untuk bidang EventType mungkin berbeda per skema, seperti halnya nilai bidang EventSchemaVersion.
Bidang Analisis Log Standar
Bidang berikut dihasilkan oleh Log Analytics, di sebagian besar kasus, untuk setiap rekaman. Bidang-bidang tersebut dapat diganti saat Anda membuat konektor khusus.
Bidang | Jenis | Diskusi |
---|---|---|
TimeGenerated | datetime | Waktu peristiwa dibuat oleh perangkat pelaporan. |
Jenis | String | Tabel asli tempat catatan diambil. Bidang ini bermanfaat ketika kejadian yang sama dapat diterima melalui beberapa saluran ke tabel yang berbeda, dan memiliki nilai EventVendor dan EventProduct yang sama. Misalnya, peristiwa Sysmon dapat dikumpulkan ke tabel Event atau ke tabel WindowsEvent . |
Catatan
Log Analytics juga menambahkan bidang lain yang kurang relevan dengan kasus penggunaan keamanan. Untuk informasi lebih lanjut, lihat Kolom standar di Log Azure Monitor.
Bidang ASIM umum
Bidang berikut ditentukan oleh ASIM untuk semua skema:
Bidang acara
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
EventMessage | Opsional | String | Pesan atau deskripsi umum, baik yang disertakan atau dihasilkan dari rekaman. |
EventCount | Wajib | Bilangan bulat | Jumlah peristiwa yang dijelaskan oleh rekaman. Nilai ini digunakan saat sumber mendukung agregasi, dan satu catatan mungkin mewakili beberapa peristiwa. Untuk sumber lain, atur ke 1 . |
EventStartTime | Wajib | Tanggal/Waktu | Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
EventEndTime | Wajib | Tanggal/Waktu | Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
EventType | Wajib | Disebutkan | Menggambarkan operasi yang dilaporkan oleh catatan. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalType. |
EventSubType | Opsional | Disebutkan | Penjelasan operasi subdivisi telah di laporkan di bidang EventType. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalSubType. |
EventResult | Wajib | Disebutkan | Satu dari nilai berikut: Sukses, Sebagian, Gagal, NA (Tidak berlaku). Nilai mungkin diberikan dalam catatan sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasikan ke nilai-nilai ini. Atau, sumber mungkin hanya menyediakan bidang EventResultDetails, yang harus dianalisis untuk memperoleh nilai EventResult. Contoh: Success |
EventResultDetails | Direkomendasikan | Disebutkan | Alasan atau detail untuk hasil yang dilaporkan di bidang EventResult. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalResultDetails. Contoh: NXDOMAIN |
EventUid | Direkomendasikan | String | ID unik rekaman, seperti yang ditetapkan oleh Microsoft Sentinel. Bidang ini biasanya dipetakan ke _ItemId bidang Analitik Log. |
EventOriginalUid | Opsional | String | ID unik dari rekaman asli, jika disediakan oleh sumbernya. Contoh: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
EventOriginalType | Opsional | String | Jenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini digunakan untuk menyimpan ID peristiwa Windows asli. Nilai ini digunakan untuk mendapatkan EventType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: 4624 |
EventOriginalSubType | Opsional | String | Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini digunakan untuk menyimpan jenis log masuk Windows asli. Nilai ini digunakan untuk mendapatkan EventSubType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: 2 |
EventOriginalResultDetails | Opsional | String | Detail hasil asli disediakan oleh sumber. Nilai ini digunakan untuk memperoleh EventResultDetails, yang seharusnya hanya memiliki satu nilai yang didokumentasikan untuk setiap skema. |
EventSeverity | Direkomendasikan | Disebutkan | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informational , Low , Medium , atau High . |
EventOriginalSeverity | Opsional | String | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. Nilai ini digunakan untuk mendapatkan EventSeverity. |
EventProduct | Wajib | String | Produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: Sysmon |
EventProductVersion | Opsional | String | Versi produk yang menghasilkan peristiwa. Contoh: 12.1 |
EventVendor | Wajib | String | Vendor dari produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: Microsoft |
EventSchema | Wajib | String | Skema acara dinormalisasi. Setiap skema mendokumentasikan nama skemanya. |
EventSchemaVersion | Wajib | String | Versi skema. Setiap skema mendokumentasikan versinya saat ini. |
EventReportUrl | Opsional | String | URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut. |
EventOwner | Opsional | String | Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempat peristiwa tersebut dihasilkan. |
Bidang perangkat
Peran bidang perangkat berbeda untuk skema dan jenis peristiwa yang berbeda. Contohnya:
- Untuk peristiwa Sesi Jaringan, bidang perangkat biasanya memberikan informasi tentang perangkat yang menghasilkan peristiwa
- Untuk peristiwa Proses, bidang perangkat memberikan informasi tentang perangkat tentang proses tersebut dijalankan.
Setiap dokumen skema menentukan peran perangkat untuk skema tersebut.
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
Dvc | Alias | String | Pengenal unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Bidang ini mungkin alias bidang DvcFQDN, DvcId, DvcHostname, atau DvcIpAddr. Untuk sumber cloud, yang tidak memiliki perangkat yang jelas, gunakan nilai yang sama dengan bidang Produk Peristiwa. |
DvcIpAddr | Direkomendasikan | Alamat IP | Alamat IP perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut, bergantung pada skema. Contoh: 45.21.42.12 |
DvcHostname | Direkomendasikan | Nama host | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: ContosoDc |
DvcDomain | Direkomendasikan | String | Domain perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: Contoso |
DvcDomainType | Kondisional | Disebutkan | Jenis DvcDomain. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType. Catatan: Bidang ini diperlukan jika bidang DvcDomain digunakan. |
DvcFQDN | Opsional | String | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: Contoso\DESKTOP-1282V4D Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang DvcDomainType mencerminkan format yang digunakan. |
DvcDescription | Opsional | String | Teks deskriptif yang terkait dengan perangkat. Misalnya: Primary Domain Controller . |
DvcId | Opsional | String | ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
DvcIdType | Kondisional | Disebutkan | Jenis DvcId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType. - MDEid Jika beberapa ID tersedia, gunakan yang pertama dari daftar, dan simpan yang lain dengan menggunakan nama bidang masing-masing DvcAzureResourceId dan DvcMDEid. Catatan: Bidang ini diperlukan jika bidang DvcId digunakan. |
DvcMacAddr | Opsional | MAC | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 00:1B:44:11:3A:B7 |
DvcZone | Opsional | String | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa, tergantung pada skemanya. Zona ini ditentukan oleh perangkat pelaporan. Contoh: Dmz |
DvcOs | Opsional | String | Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. Contoh: Windows |
DvcOsVersion | Opsional | String | Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 10 |
DvcAction | Direkomendasikan | String | Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem, jika ada. Contoh: Blocked |
DvcOriginalAction | Opsional | String | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
DvcInterface | Opsional | String | Antarmuka jaringan tempat data diambil. Bidang ini biasanya relevan dengan aktivitas terkait jaringan, yang ditangkap oleh perangkat perantara atau ketuk. |
DvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. DvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
DvcScope | Opsional | String | Cakupan platform cloud milik perangkat. DvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
Bidang lainnya
Pembaruan skema
- Bidang
EventOwner
telah ditambahkan ke bidang umum pada 1 Des 2022, dan oleh karena itu ke semua skema. - Bidang
EventUid
telah ditambahkan ke bidang umum pada 26 Des 2022, dan oleh karena itu ke semua skema.
Vendor dan produk
Untuk menjaga konsistensi, daftar vendor dan produk yang diizinkan ditetapkan sebagai bagian dari ASIM, dan mungkin tidak secara langsung sesuai dengan nilai yang dikirim oleh sumber, jika tersedia.
Daftar vendor dan produk yang saat ini didukung yang digunakan di masing-masing bidang EventVendor dan EventProduct adalah:
Vendor | Produk |
---|---|
AWS |
- CloudTrail - VPC |
Cisco |
- ASA - Umbrella - IOS - Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- ID Microsoft Entra - Azure - Azure Firewall - Azure Blob Storage - Azure File Storage - Azure NSG flows - Azure Queue Storage - Azure Table Storage - DNS Server - Microsoft Defender XDR for Endpoint - Microsoft Defender for IoT - Security Events - SharePoint - OneDrive - Sysmon - Sysmon for Linu x- VMConnection - Windows Firewall - WireData |
Linux |
- su - sudo |
Okta |
- Okta - Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS - CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS - ZIA Firewall - ZIA Proxy |
Jika Anda mengembangkan pengurai untuk vendor atau produk yang tidak tercantum di sini, hubungi tim Microsoft Azure Sentinel untuk mengalokasikan vendor dan penanda produk baru yang diizinkan.
Langkah berikutnya
Untuk informasi selengkapnya, lihat: