Bagikan melalui

Skema normalisasi jaringan Microsoft Azure Sentinel (versi Legacy - Pratinjau publik)

  • Artikel

Skema normalisasi jaringan digunakan untuk menjelaskan peristiwa jaringan yang dilaporkan, dan digunakan oleh Microsoft Sentinel untuk mengaktifkan analitik pemersatu.

Untuk informasi selengkapnya, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).

Penting

Artikel ini berkaitan dengan skema normalisasi jaringan versi 0.1, yang dirilis sebagai pratinjau sebelum ASIM tersedia. Versi 0.2.x dari skema normalisasi jaringan selaras dengan ASIM dan menyediakan peningkatan lainnya.

Untuk informasi selengkapnya, lihat Perbedaan antara versi skema normalisasi jaringan

Terminologi

Terminologi berikut digunakan dalam skema Microsoft Azure Sentinel:

Istilah Definisi
Perangkat pelaporan Sistem mengirimkan catatan ke Microsoft Azure Sentinel. Rekaman tersebut mungkin bukan sistem subjek catatan.
Rekaman Satu unit data yang dikirim dari perangkat pelaporan. Unit data sering dirujuk sebagai log, event, atau alert, tetapi juga dapat memiliki jenis lain.

Jenis dan format data

Tabel berikut memberikan panduan untuk menormalkan nilai data, yang diperlukan untuk bidang yang dinormalisasi, dan direkomendasikan untuk bidang lain.

Jenis Data Jenis fisik Format dan nilai
Tanggal/Waktu Salah satu dari berikut, tergantung pada kemampuan metode ingest yang digunakan, dalam prioritas menurun:
  • Analitik log bawaan jenis tanggalwaktu
  • Bidang bilangan bulat menggunakan representasi numerik tanggalwaktu Analitik Log
  • Bidang string menggunakan representasi numerik tanggalwaktu Analitik Log
 Representasi tanggalwaktu Analitik Log.

Representasi tanggal dan waktu Log Analytics bersifat mirip tetapi berbeda dari representasi waktu Unix. Lihat pedoman konversi ini.

Tanggal dan waktu harus disesuaikan dengan zona waktu.
Alamat MAC String notasi colon-Hexadecimal
Alamat IP Alamat IP Skema ini tidak memiliki alamat IPv4 dan IPv6 terpisah. Setiap bidang alamat IP dapat mencakup alamat IPv4 atau alamat IPv6:
  • IPv4 dalam notasi titik-desimal
  • IPv6 dalam 8 notasi hextets, yang memungkinkan untuk bentuk pendek dijelaskan di sini.
Pengguna String 3 bidang pengguna berikut ini tersedia:
  • Nama pengguna
  • UPN Pengguna
  • Domain Pengguna
ID Pengguna String 2 ID pengguna berikut saat ini didukung:
  • Pengidentifikasi keamanan pengguna
  • Microsoft Entra ID
Perangkat String 3 kolom perangkat/host berikut didukung:
  • ID
  • Nama
  • Nama domain yang sepenuhnya memenuhi syarat (FQDN)
Negara String String menggunakan ISO 3166-1, sesuai dengan prioritas berikut:
  • Kode Alpha-2 seperti US untuk Amerika Serikat
  • Kode Alpha-3 seperti USA untuk Amerika Serikat
  • Nama pendek
Wilayah String Nama subdivisi negara/wilayah menggunakan ISO 3166-2
Kota String
Garis bujur Laju Representasi koordinat ISO 6709 (desimal yang ditandatangani)
Garis Lintang Laju Representasi koordinat ISO 6709 (desimal yang ditandatangani)
Algoritme Hash String 4 kolom hash berikut didukung:
  • MD5
  • SHA1
  • SHA256
  • SHA512
Jenis File String Jenis dari jenis file:
  • Ekstensi
  • Kelas
  • NamedType

Skema tabel sesi jaringan

Di bawah ini adalah skema tabel sesi jaringan, versi 1.0.0

Nama bidang Jenis nilai Contoh Deskripsi Entitas OSSEM terkait
EventType String Lalu lintas Jenis acara yang sedang dikumpulkan Kejadian
EventSubType String Autentikasi Deskripsi tambahan jenis jika berlaku Kejadian
EventCount Bilangan bulat 10 Jumlah peristiwa yang dikumpulkan, jika berlaku. Kejadian
EventEndTime Tanggal/Waktu Lihat "jenis data" Waktu saat peristiwa berakhir Kejadian
EventMessage string akses ditolak Pesan atau deskripsi umum, baik yang disertakan, atau dihasilkan dari rekaman Kejadian
DvcIpAddr Alamat IP 23.21.23.34 Alamat IP perangkat yang menghasilkan rekaman Perangkat,
IP
DvcMacAddr String 06:10:9f:eb:8f:14 Alamat MAC antarmuka jaringan perangkat pelaporan asal peristiwa dikirim. Perangkat,
Mac
DvcHostname Nama Perangkat (String) syslogserver1.contoso.com Nama perangkat dari perangkat yang menghasilkan pesan. Perangkat
EventProduct String OfficeSharepoint Produk yang menghasilkan peristiwa. Kejadian
EventProductVersion string 9.0 Versi produk yang menghasilkan peristiwa. Kejadian
EventResourceId ID Perangkat (Untai) /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 ID sumber daya dari perangkat yang menghasilkan pesan. Kejadian
EventReportUrl String https://192.168.1.1/repoerts/ae3-56.htm Tautan ke laporan lengkap yang dibuat oleh perangkat pelaporan Kejadian
EventVendor String Microsoft Vendor dari produk yang menghasilkan peristiwa. Kejadian
EventResult Multinilai: Berhasil, Parsial, Gagal, [Kosong] (Untai) Berhasil Hasilnya melaporkan untuk kegiatan tersebut. Nilai kosong saat tidak berlaku. Kejadian
EventResultDetails String Kata sandi salah Alasan atau detail hasil yang dilaporkan di EventResult Kejadian
EventSchemaVersion Riil 0.1 Versi Skema Microsoft Azure Sentinel. Saat ini 0.1. Kejadian
EventSeverity String Kurang Penting Jika aktivitas yang dilaporkan memiliki dampak keamanan, Tunjukkan tingkat keparahan dampaknya. Kejadian
EventOriginalUid String af6ae8fe-ff43-4a4c-b537-8635976a2b51 ID rekaman dari perangkat pelaporan. Kejadian
EventStartTime Tanggal/Waktu Lihat "jenis data" Waktu saat peristiwa dinyatakan Kejadian
TimeGenerated Tanggal/Waktu Lihat "jenis data" Waktu saat peristiwa terjadi, seperti yang dilaporkan oleh sumber pelaporan. Bidang kustom
EventTimeIngested Tanggal/Waktu Lihat "jenis data" Saat peristiwa tersebut terserap ke Microsoft Azure Sentinel. Akan ditambahkan oleh Microsoft Azure Sentinel. Kejadian
EventUid Guid (Untai) 516a64e3-8360-4f1e-a67c-d96b3d52df54 Pengidentifikasi unik yang digunakan oleh Microsoft Azure Sentinel untuk menandai baris. Kejadian
NetworkApplicationProtocol String HTTPS Protokol lapisan aplikasi yang digunakan oleh sambungan atau sesi. Jaringan
DstBytes int 32455 Jumlah byte yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Tujuan
SrcBytes int 46536 Jumlah byte yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Sumber
NetworkBytes int 78991 Jumlah byte yang dikirim ke kedua arah. Jika BytesReceived dan BytesSent ada, BytesTotal harus sama dengan jumlahnya. Jaringan
NetworkDirection Multinilai: Masuk, Keluar (untai) Masuk Arah sambungan atau sesi, ke dalam atau ke luar organisasi. Jaringan
DstGeoCity String Burlington Kota yang terkait dengan alamat IP tujuan Tujuan,
Geo
DstGeoCountry Negara (Untai) AS Negara/wilayah yang terkait dengan alamat IP sumber Tujuan,
Geo
DstDvcHostname Nama Perangkat (String) victim_pc Nama perangkat dari perangkat tujuan Tujuan
Perangkat
DstDvcFqdn String victim_pc.contoso.local Nama domain host yang sepenuhnya memenuhi syarat tempat log dibuat Tujuan,
Perangkat
DstDomainHostname string CONTOSO Domain tujuan, Domain host tujuan (situs web, nama domain, dll.), misalnya untuk pencarian DNS atau pencarian NS Tujuan
DstInterfaceName string Adapter Jaringan Microsoft Hyper-V Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat tujuan. Tujuan
DstInterfaceGuid string 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B GUID antarmuka jaringan yang digunakan untuk permintaan autentikasi Tujuan
DstIpAddr Alamat IP 2001:db8::ff00:42:8329 Alamat IP sambungan atau sesi tujuan, paling sering disebut sebagai IP tujuan dalam paket jaringan Tujuan,
IP
DstDvcIpAddr Alamat IP 75.22.12.2 Alamat IP tujuan perangkat yang tidak terkait langsung dengan paket jaringan Tujuan,
Perangkat,
IP
DstGeoLatitude Garis lintang (Ganda) 44.475833 Garis lintang koordinat geografis yang terkait dengan alamat IP tujuan Tujuan,
Geo
DstMacAddr String 06:10:9f:eb:8f:14 Alamat MAC antarmuka jaringan tempat sambungan atau sesi dihentikan, paling sering dirujuk ke MAC tujuan dalam paket jaringan Tujuan,
MAC
DstDvcMacAddr String 06:10:9f:eb:8f:14 Alamat MAC tujuan perangkat yang tidak terkait langsung dengan paket jaringan. Tujuan,
Perangkat,
MAC
DstDvcDomain String CONTOSO Domain perangkat tujuan. Tujuan,
Perangkat
DstPortNumber Bilangan bulat 443 Port IP tujuan. Tujuan,
Port
DstGeoRegion Wilayah (untai) Vermont Wilayah yang terkait dengan alamat IP tujuan Tujuan,
Geo
DstResourceId ID Perangkat (Untai) /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim ID sumber daya perangkat tujuan. Tujuan
DstNatIpAddr Alamat IP 2::1 Jika dilaporkan oleh perangkat NAT perantara seperti firewall, alamat IP yang digunakan oleh perangkat NAT untuk komunikasi dengan sumber. Tujuan NAT,
IP
DstNatPortNumber int 443 Jika dilaporkan oleh perangkat NAT perantara seperti firewall, port yang digunakan oleh perangkat NAT untuk komunikasi dengan sumber. Tujuan NAT,
Port
DstUserSid Pengidentifikasi keamanan pengguna S-12-1445 ID Pengguna dari identitas yang terkait dengan tujuan sesi. Biasanya, identitas yang digunakan untuk mengautentikasi server. Untuk informasi selengkapnya, lihat Jenis dan format data. Tujuan,
Pengguna
DstUserAadId Untai (Guid) ae92b0b4-cfba-4b42-85a0-fbd862f4df54 ID objek akun Microsoft Entra pengguna di akhir sesi tujuan Tujuan,
Pengguna
DstUserName Nama pengguna (Untai) johnd Nama pengguna dari identitas yang terkait dengan tujuan sesi. Tujuan,
Pengguna
DstUserUpn string johnd@anon.com UPN dari identitas yang terkait dengan tujuan sesi. Tujuan,
Pengguna
DstUserDomain string WORKGROUP Nama domain atau komputer akun di tujuan sesi Tujuan,
Pengguna
DstZone String Dmz Zona jaringan dari tujuan, seperti yang didefinisikan oleh perangkat pelaporan. Tujuan
DstGeoLongitude Bujur (Ganda) -73.211944 Garis bujur koordinat geografis yang terkait dengan alamat IP tujuan Tujuan,
Geo
DvcAction Multinilai: Izinkan, Tolak, Hilangkan (untai) Izinkan Jika dilaporkan oleh perangkat perantara seperti firewall, tindakan diambil oleh perangkat. Perangkat
DvcInboundInterface String eth0 Jika dilaporkan oleh perangkat perantara seperti firewall, antarmuka jaringan yang digunakan oleh perangkat untuk sambungan ke perangkat sumber. Perangkat
DvcOutboundInterface String Adapter Ethernet Ethernet 4 Jika dilaporkan oleh perangkat perantara seperti firewall, antarmuka jaringan yang digunakan oleh perangkat untuk sambungan ke perangkat tujuan. Perangkat
NetworkDuration Bilangan bulat 1500 Jumlah waktu, dalam milidetik, untuk penyelesaian sesi jaringan atau sambungan Jaringan
NetworkIcmpCode Bilangan bulat 34 Untuk pesan ICMP, jenis pesan ICMP nilai numerik (RFC 2780 atau RFC 4443). Jaringan
NetworkIcmpType String Tujuan Tak Bisa Dijangkau Untuk pesan ICMP, representasi teks jenis pesan ICMP (RFC 2780 atau RFC 4443). Jaringan
DstPackets int 446 Jumlah paket yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Tujuan
SrcPackets int 6478 Jumlah paket yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Sumber
NetworkPackets int 0 Jumlah paket yang dikirim ke kedua arah. Jika PacketsReceived dan PacketsSent ada, BytesTotal harus sama dengan jumlahnya. Jaringan
HttpRequestTime Bilangan bulat 700 Jumlah waktu yang diperlukan untuk mengirim permintaan ke server, jika berlaku. Http
HttpResponseTime Bilangan bulat 800 Jumlah waktu yang diperlukan untuk menerima respons di server, jika berlaku. Http
NetworkRuleName String AnyAnyDrop Nama atau ID dari aturan tempat DeviceAction diputuskan Jaringan
NetworkRuleNumber int 23 Nomor aturan yang cocok Jaringan
NetworkSessionId string 172_12_53_32_4322__123_64_207_1_80 Pengidentifikasi sesi seperti yang dilaporkan oleh perangkat pelaporan. Misalnya, Pengidentifikasi sesi L7 untuk aplikasi tertentu setelah autentikasi Jaringan
SrcGeoCity String Burlington Kota yang terkait dengan alamat IP sumber Sumber,
Geo
SrcGeoCountry Negara (Untai) AS Negara/wilayah yang terkait dengan alamat IP sumber Sumber,
Geo
SrcDvcHostname Nama Perangkat (String) villain Nama perangkat dari perangkat sumber Sumber,
Perangkat
SrcDvcFqdn string Villain.malicious.com Nama domain host yang sepenuhnya memenuhi syarat tempat log dibuat Sumber,
Perangkat
SrcDvcDomain string EVILORG Domain perangkat saat sesi yang dimulai Sumber,
Perangkat
SrcDvcOs String iOS OS perangkat sumber Sumber,
Perangkat
SrcDvcModelName String Samsung Galaxy Note Nama model perangkat sumber Sumber,
Perangkat
SrcDvcModelNumber String 10.0 Nomor model perangkat sumber Sumber,
Perangkat
SrcDvcType String Seluler Jenis perangkat sumber Sumber,
Perangkat
SrcInterfaceName String eth01 Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat sumber. Sumber
SrcInterfaceGuid String 46ad544b-eaf0-47ef-827c-266030f545a6 GUID dari antarmuka jaringan yang digunakan Sumber
SrcIpAddr Alamat IP 77.138.103.108 Alamat IP tempat koneksi atau sesi berasal. Sumber,
IP
SrcDvcIpAddr Alamat IP 77.138.103.108 Alamat IP sumber dari perangkat yang tidak terkait langsung dengan paket jaringan (dikumpulkan oleh penyedia atau dihitung secara eksplisit). Sumber,
Perangkat,
IP
SrcGeoLatitude Garis lintang (Ganda) 44.475833 Garis lintang koordinat geografis yang terkait dengan alamat IP sumber Sumber,
Geo
SrcGeoLongitude Bujur (Ganda) -73.211944 Garis bujur koordinat geografis yang terkait dengan alamat IP sumber Sumber,
Geo
SrcMacAddr String 06:10:9f:eb:8f:14 Alamat MAC antarmuka jaringan tempat sesi atau koneksi berasal. Sumber,
Mac
SrcDvcMacAddr String 06:10:9f:eb:8f:14 Alamat MAC sumber perangkat yang tidak terkait langsung dengan paket jaringan. Sumber,
Perangkat,
Mac
SrcPortNumber Bilangan bulat 2335 Port IP tempat sambungan berasal. Mungkin tidak relevan untuk sesi yang terdiri dari beberapa sambungan. Sumber,
Port
SrcGeoRegion Wilayah (untai) Vermont Wilayah dalam negara/wilayah yang terkait dengan alamat IP sumber Sumber,
Geo
SrcResourceId String /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 ID sumber daya dari perangkat yang menghasilkan pesan. Sumber
SrcNatIpAddr Alamat IP 4.3.2.1 Jika dilaporkan oleh perangkat NAT perantara seperti firewall, alamat IP yang digunakan oleh perangkat NAT untuk komunikasi dengan tujuan. Sumber NAT,
IP
SrcNatPortNumber Bilangan bulat 345 Jika dilaporkan oleh perangkat NAT perantara seperti firewall, port yang digunakan oleh perangkat NAT untuk komunikasi dengan tujuan. Sumber NAT,
Port
SrcUserSid ID Pengguna (Untai) S-15-1445 ID Pengguna dari identitas yang terkait dengan sumber sesi. Biasanya, pengguna melakukan tindakan pada klien. Untuk informasi selengkapnya, lihat Jenis dan format data. Sumber,
Pengguna
SrcUserAadId Untai (Guid) 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 ID objek akun Microsoft Entra pengguna di akhir sumber sesi Sumber,
Pengguna
SrcUserName Nama pengguna (Untai) bob Nama pengguna dari identitas yang terkait dengan sumber sesi. Biasanya, pengguna melakukan tindakan pada klien. Untuk informasi selengkapnya, lihat Jenis dan format data. Sumber
Pengguna
SrcUserUpn string bob@alice.com UPN dari akun yang menginisiasi sesi Sumber,
Pengguna
SrcUserDomain string DESKTOP Domain untuk akun yang memulai sesi Sumber,
Pengguna
SrcZone String Ketuk Zona jaringan dari sumber, seperti yang didefinisikan oleh perangkat pelaporan. Sumber
NetworkProtocol String TCP Protokol IP yang digunakan oleh sambungan atau sesi. Biasanya, TCP, UDP atau ICMP Jaringan
CloudAppName String Facebook Nama dari aplikasi tujuan untuk aplikasi HTTP seperti yang diidentifikasi oleh proxy. Cloud
CloudAppId String 124 ID aplikasi tujuan untuk aplikasi HTTP seperti yang diidentifikasi oleh proxy. Nilai ini biasanya spesifik untuk proksi yang digunakan. Cloud
CloudAppOperation String DeleteFile Operasi yang dilakukan pengguna dalam konteks aplikasi tujuan untuk aplikasi HTTP seperti yang diidentifikasi oleh proxy. Nilai ini biasanya spesifik untuk proksi yang digunakan. Cloud
CloudAppRiskLevel String 3 Tingkat risiko yang terkait dengan aplikasi HTTP seperti yang diidentifikasi oleh proxy. Nilai ini biasanya spesifik untuk proksi yang digunakan. Cloud
FileName String ImNotMalicious.exe Nama file dikirimkan melalui sambungan jaringan untuk protokol seperti FTP dan HTTP yang menyediakan informasi nama file. File
FilePath String C:\Malicious\ImNotMalicious.exe Jalur lengkap, termasuk nama file, dari file tersebut File
FileHashMd5 String 51BC68715FC7C109DCEA406B42D9D78F Nilai hash MD5 dari file yang dikirimkan melalui sambungan jaringan untuk protokol. File
FileHashSha1 String 491AE3…C299821476F4 Nilai hash SHA1 dari file yang dikirimkan melalui sambungan jaringan untuk protokol. File
FileHashSha256 String 9B8F8EDB…C129976F03 Nilai hash SHA256 dari file yang dikirimkan melalui sambungan jaringan untuk protokol. File
FileHashSha512 String 5E127D…F69F73F01F361 Nilai hash SHA512 dari file yang dikirimkan melalui sambungan jaringan untuk protokol. File
FileExtension String exe Jenis file yang dikirimkan melalui sambungan jaringan untuk protokol seperti FTP dan HTTP. File
FileMimeType String application/msword Jenis file MIME yang dikirimkan melalui sambungan jaringan untuk protokol seperti FTP dan HTTP File
Ukuran File Bilangan bulat 23500 Ukuran file, dalam byte, dari file yang dikirimkan melalui sambungan jaringan untuk protokol. File
HttpVersion String 2.0 Versi Permintaan HTTP untuk sambungan jaringan HTTP/HTTPS. Http
HttpRequestMethod String GET Metode HTTP untuk sesi jaringan HTTP/HTTPS. Http
HttpStatusCode String 404 Kode Status HTTP untuk sesi jaringan HTTP/HTTPS. Http
HttpContentType String multipart/form-data; boundary=something Header tipe konten Respons HTTP untuk sesi jaringan HTTP/HTTPS. Http
HttpReferrerOriginal String https://developer.mozilla.org/en-US/docs/Web/JavaScript Header referen HTTP untuk sesi jaringan HTTP/HTTPS. Http
HttpUserAgentOriginal String Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/83.0.4103.97 Safari/537.36 Header agen pengguna HTTP untuk sesi jaringan HTTP/HTTPS. Http
HttpRequestXff String 120.12.41.1 Header X-Forwarded-For HTTP untuk sesi jaringan HTTP/HTTPS. Http
UrlCategory String Mesin cari Pengelompokan URL yang ditentukan, mungkin berdasarkan domain di URL, terkait dengan apa kontennya. Misalnya: dewasa, berita, iklan, domain yang diparkir, dan sebagainya.) url
UrlOriginal String https:// contoso.com/fo/?k=v&q=u#f URL permintaan HTTP untuk sesi jaringan HTTP/HTTPS. URL
Nama UrlHost String contoso.com Bagian domain dari URL permintaan HTTP untuk sesi jaringan HTTP/HTTPS. URL
ThreatCategory String Trojan Kategori ancaman yang diidentifikasi oleh sistem keamanan seperti Gateway Keamanan Web dari IPS dan dikaitkan dengan sesi jaringan ini. Ancaman
ThreatId String Tr.124 ID ancaman yang diidentifikasi oleh sistem keamanan seperti Gateway Keamanan Web dari IPS dan dikaitkan dengan sesi jaringan ini. Ancaman
ThreatName String EICAR Test File Nama ancaman atau malware yang diidentifikasi Ancaman
AdditionalFields Dynamic (JSON bag) {
Property1: “val1”,
Property2: “val2”
}		 Ketika tidak ada kolom masing-masing dalam skema yang cocok, bidang tambahan dapat disimpan dalam tas JSON.
Untuk penguraian waktu kueri, kami sarankan untuk mempromosikan kolom tambahan alih-alih menggunakan tas JSON karena mengemas data ke dalam kode JSON akan menurunkan kinerja kueri.		 Bidang kustom

Perbedaan antara versi 0.1 dan versi 0.2

Versi asli dari skema normalisasi sesi jaringan Microsoft Azure Sentinel, versi 0.1, dirilis sebagai pratinjau sebelum ASIM tersedia.

Perbedaan antara versi 0.1, yang didokumenkan dalam artikel ini, dan versi 0.2.x meliputi:

  • Dalam versi 0.2, nama parser pemersatu dan sumber-spesifik telah diubah agar sesuai dengan konvensi penamaan ASIM standar.
  • Versi 0.2 menambahkan pedoman khusus dan parser pemersatu untuk mengakomodasi jenis perangkat tertentu.

Bagian berikut menjelaskan bagaimana versi 0.2.x berbeda untuk bidang tertentu.

Menambahkan bidang di versi 0.2

Bidang berikut ditambahkan dalam versi 0.2.x dan tidak ada di versi 0.1:

  • DstAppType
  • DstDeviceType
  • DstDomainType
  • DstDvcId
  • DstDvcIdType
  • DstOriginalUserType
  • DstUserIdType
  • DstUsernameType
  • DstUserType
  • DvcActionOriginal
  • DvcDomain
  • DvcDomainType
  • DvcFQDN
  • DvcId
  • DvcIdType
  • DvcIdType
  • EventOriginalSeverity
  • EventOriginalType
  • SrcAppId
  • SrcAppName
  • SrcAppType
  • SrcDeviceType
  • SrcDomainType
  • SrcDvcId
  • SrcDvcIdType
  • SrcOriginalUserType
  • SrcUserIdType
  • SrcUsernameType
  • SrcUserType
  • ThreatRiskLevelOriginal
  • URL

Bidang alias baru di versi 0.2

Bidang berikut sekarang diberi alias dalam versi 0.2.x dengan pengenalan ASIM:

Bidang dalam versi 0.1 Alias ​​dalam versi 0.2
SessionId NetworkSessionId
Durasi NetworkDuration
IpAddr SrcIpAddr
Pengguna DstUsername
Nama host DstHostname
UserAgent HttpUserAgent

Bidang yang diubah dalam versi 0.2

Bidang berikut dijumlahkan dalam versi 0.2.x, dan memerlukan nilai tertentu dari daftar yang disediakan.

  • EventType
  • EventResultDetails
  • EventSeverity

Nama bidang diganti dalam versi 0.2

Bidang berikut diganti namanya dalam versi 0.2.x:

  • Di versi 0.2, gunakan bidang Analitik Log bawaan:

    Perhatikan bahwa ingestion_time() adalah fungsi KQL dan bukan nama bidang.

    Bidang dalam versi 0.1 Nama diganti di versi 0.2
    EventResourceId _ResourceId
    EventUid _ItemId
    EventTimeIngested ingestion_time()

  • Diganti nama agar selaras dengan peningkatan di ASIM dan OSSEM:

    Bidang dalam versi 0.1 Nama diganti di versi 0.2
    HttpReferrerOriginal HttpReferrer
    HttpUserAgentOriginal HttpUserAgent

  • Diganti nama untuk mencerminkan bahwa tujuan sesi jaringan tidak harus berupa layanan cloud:

    Bidang dalam versi 0.1 Nama diganti di versi 0.2
    CloudAppId DstAppId
    CloudAppName DstAppName
    CloudAppRiskLevel ThreatRiskLevel

  • Diganti nama untuk mengubah kasus dan menyelaraskan dengan penanganan ASIM entitas pengguna:

    Bidang dalam versi 0.1 Nama diganti di versi 0.2
    DstUserName DstUsername
    SrcUserName SrcUsername

  • Diganti nama agar lebih selaras dengan entitas perangkat ASIM, dan memungkinkan ID sumber daya selain dari Azure:

    Bidang dalam versi 0.1 Nama diganti di versi 0.2
    DstResourceId SrcDvcAzureResourceId
    SrcResourceId SrcDvcAzureResourceId

  • Diganti nama untuk menghapus string Dvc dari nama bidang, karena penanganan di versi 0.1 tidak konsisten:

    Bidang dalam versi 0.1 Nama diganti di versi 0.2
    DstDvcDomain DstDomain
    DstDvcFqdn DstFqdn
    DstDvcHostname DstHostname
    SrcDvcDomain SrcDomain
    SrcDvcFqdn SrcFqdn
    SrcDvcHostname SrcHostname

  • Diganti nama agar selaras dengan panduan representasi file ASIM:

    Bidang dalam versi 0.1 Nama diganti di versi 0.2
    FileHashMd5 FileMD5
    FileHashSha1 FileSHA1
    FileHashSha256 FileSHA256
    FileHashSha512 FileSHA512
    FileMimeType FileContentType

Bidang yang dihapus dalam versi 0.2

Bidang berikut ini hanya ada di versi 0.1, dan dihapus dalam versi 0.2.x:

Alasan Bidang yang dihapus
Dihapus karena ada duplikat, tanpa string Dvc di nama bidang - DstDvcIpAddr
- DstDvcMacAddr
- SrcDvcIpAddr
- SrcDvcMacAddr
Dihapus untuk menyelaraskan dengan penanganan ASIM atas URL - UrlHostname
Dihapus karena bidang ini biasanya tidak disediakan sebagai bagian dari peristiwa Sesi Jaringan.

Jika suatu peristiwa menyertakan bidang ini, gunakan Skema Peristiwa Proses untuk memahami cara menjelaskan properti perangkat.		 - SrcDvcOs
- SrcDvcModelName
- SrcDvcModelNumber
- DvcMacAddr
- DvcOs
Dihapus untuk menyelaraskan dengan panduan representasi file ASIM - FilePath
- FileExtension
Dihapus karena bidang ini menunjukkan bahwa skema yang berbeda harus digunakan, seperti Skema autentikasi. - CloudAppOperation
Dihapus karena duplikat DstHostname - DstDomainHostname

Langkah berikutnya

Untuk informasi selengkapnya, lihat: