Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şeması, etkinliği temsil eden bir alan kümesidir. Bir sorguda, normalleştirilmiş şemadaki alanları kullanmak, sorgunun normalleştirilmiş her kaynakla çalışmasını sağlar.
Şemaların ASIM mimarisine nasıl uygun olduğunu anlamak için ASIM mimari diyagramına bakın.
Şema başvuruları, her şemayı oluşturan alanları özetler. ASIM şu anda aşağıdaki şemaları tanımlar:
| Şema | Sürüm | Durum |
|---|---|---|
| Denetim Olayı | 0,1 | Önizle |
| Kimlik Doğrulama Olayı | 0.1.3 | Önizle |
| DNS Etkinliği | 0.1.7 | Önizle |
| DHCP Etkinliği | 0,1 | Önizle |
| Dosya Etkinliği | 0.2.1 | Önizle |
| Ağ Oturumu | 0.2.6 | Önizle |
| İşlem Olayı | 0.1.4 | Önizle |
| Kayıt Defteri Olayı | 0.1.2 | Önizle |
| Kullanıcı Yönetimi | 0,1 | Önizle |
| Web Oturumu | 0.2.6 | Önizle |
Önemli
ASIM şemaları ve ayrıştırıcıları şu anda önizleme aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Şema kavramları
Aşağıdaki kavramlar, şema başvuru belgelerinin anlaşılmasına ve verilerinizin şemanın kapsamadığı bilgileri içermesi durumunda şemayı normalleştirilmiş bir şekilde genişletmeye yardımcı olur.
| Kavram | Açıklama |
|---|---|
| Alan adları | Her şemanın çekirdeğinde alan adları bulunur. Alan adları aşağıdaki gruplara aittir: - Tüm şemalarda ortak olan alanlar. - Şemaya özgü alanlar. - Şemada yer alan kullanıcılar gibi varlıkları temsil eden alanlar. Varlıkları temsil eden alanlar, şemalar arasında benzerdir. Kaynaklar belgelenen şemada sunulmamış alanlara sahip olduğunda tutarlılığı korumak için normalleştirilir. Ek alanlar bir varlığı temsil ederse, varlık alanı yönergelerine göre normalleştirilir. Aksi takdirde, şemalar tüm şemalarda tutarlılığı korumak için çabalar. Örneğin, DNS sunucusu etkinlik günlükleri kullanıcı bilgilerini sağlamasa da, bir uç noktadan gelen DNS etkinlik günlükleri kullanıcı bilgilerini içerebilir ve bu bilgiler kullanıcı varlığı yönergelerine göre normalleştirilebilir. |
| Alan türleri | Her şema alanının bir türü vardır. Log Analytics çalışma alanı sınırlı sayıda veri türüne sahiptir. Bu nedenle Microsoft Sentinel, Log Analytics'in zorlamadığı ancak şema uyumluluğu için gerekli olduğu birçok şema alanı için mantıksal bir tür kullanır. Mantıksal alan türleri hem değerlerin hem de alan adlarının kaynaklar arasında tutarlı olmasını sağlar. Daha fazla bilgi için bkz . Mantıksal türler. |
| Alan sınıfı | Alanların bir ayrıştırıcı tarafından ne zaman uygulanması gerektiğini tanımlayan birkaç sınıfı olabilir: - Zorunlu alanlar her ayrıştırıcıda görünmelidir. Kaynağınız bu değer için bilgi sağlamazsa veya veriler başka şekilde eklenemezse, normalleştirilmiş şemaya başvuran içerik öğelerinin çoğunu desteklemez. - Varsa önerilen alanlar normalleştirilmelidir. Ancak, bunlar her kaynakta kullanılamayabilir. Normalleştirilmiş şemaya başvuran tüm içerik öğeleri kullanılabilirliği dikkate almalıdır. - varsa, isteğe bağlı alanlar normalleştirilebilir veya özgün biçimlerinde bırakılabilir. Genellikle, minimum ayrıştırıcı performans nedenleriyle bunları normalleştirmez. - Takip ettikleri alan doldurulursa koşullu alanlar zorunludur. Koşullu alanlar genellikle başka bir alandaki değeri tanımlamak için kullanılır. Örneğin, ortak DvcIdType alanı, ortak DvcId alanında int değerini açıklar ve bu nedenle ikinci alan doldurulursa zorunludur. - Diğer ad , koşullu alanın özel bir türüdür ve diğer ad alanı doldurulduysa zorunludur. |
| Ortak alanlar | Bazı alanlar tüm ASIM şemalarında ortaktır. Her şema, belirli bir şema bağlamındaki bazı ortak alanları kullanmaya yönelik yönergeler ekleyebilir. Örneğin, EventType alanı için izin verilen değerler, EventSchemaVersion alanının değeri gibi şemaya göre farklılık gösterebilir. |
| Varlıklar | Olaylar, kullanıcılar, konaklar, işlemler veya dosyalar gibi varlıklar etrafında gelişir. Her varlığı açıklamak için birkaç alan gerekebilir. Örneğin, bir konağın adı ve IP adresi olabilir. Tek bir kayıt, hem kaynak hem de hedef konak gibi aynı türde birden çok varlık içerebilir. ASIM, varlıkların tutarlı bir şekilde nasıl tanımlandığı tanımlar ve varlıklar şemaların genişletilmesine olanak sağlar. Örneğin, Ağ Oturumu şeması işlem bilgilerini içermese de, bazı olay kaynakları eklenebilecek işlem bilgileri sağlar. Daha fazla bilgi için bkz . Varlıklar. |
| Takma | Diğer adlar, belirtilen bir değer için birden çok ada izin verir. Bazı durumlarda, farklı kullanıcılar bir alanın farklı adlara sahip olmasını bekler. Örneğin, DNS terminolojisinde DnsQuery adlı bir alan bekleyebilirsiniz ancak daha genel olarak bir etki alanı adı içerir. Domain diğer adı, her iki adın da kullanılmasına izin vererek kullanıcıya yardımcı olur. Bazı durumlarda, bir diğer ad, olayda hangi değerlerin kullanılabildiğine bağlı olarak çeşitli alanlardan birinin değerine sahip olabilir. Örneğin, Dvc diğer adı, DvcFQDN, DvcId, DvcHostname veya DvcIpAddr ya da Olay Ürünü alanlarıdır. Bir diğer ad birkaç değere sahip olabileceğinde, türünün tüm olası diğer ad değerlerini barındırmak için bir dize olması gerekir. Sonuç olarak, böyle bir diğer ada bir değer atarken, KQL işlevi dizesini kullanarak türü dizeye dönüştürdüğünüzden emin olun. Yerel normalleştirilmiş tablolar , yinelenen veri depolaması anlamına olacağından diğer ad içermez. Bunun yerine saplama ayrıştırıcıları diğer adları ekler. Ayrıştırıcılarda diğer adları uygulamak için işlecini kullanarak özgün değerin extend bir kopyasını oluşturun. |
Mantıksal türler
Her şema alanının bir türü vardır. Bazılarında , , veya dynamicgibi stringintdatetimeyerleşik Log Analytics türleri vardır. Diğer alanlar, alan değerlerinin nasıl normalleştirileceğine ilişkin bir Mantıksal türe sahiptir.
| Veri türü | Fiziksel tür | Biçim ve değer |
|---|---|---|
| Boolean | Boole | Boole değerlerinin sayısal veya dize gösterimi yerine yerleşik KQL bool veri türünü kullanın. |
| Numaralandırılmış | String | Alan için açıkça tanımlandığı gibi değerlerin listesi. Şema tanımı kabul edilen değerleri listeler. |
| Tarih/Saat | Alma yöntemi özelliğine bağlı olarak, azalan öncelikli olarak aşağıdaki fiziksel gösterimlerden herhangi birini kullanın: - Log Analytics yerleşik tarih saat türü - Log Analytics tarih saat sayısal gösterimini kullanan bir tamsayı alanı. - Log Analytics tarih saat sayısal gösterimini kullanan bir dize alanı - Desteklenen bir Log Analytics tarih/saat biçiminin depolendiği dize alanı. |
Log Analytics tarih ve saat gösterimi Unix saat gösterimine benzer ancak farklıdır. Daha fazla bilgi için dönüştürme yönergelerine bakın. Not: Uygun olduğunda saat dilimi ayarlanmalıdır. |
| MAC adresi | String | İki nokta üst üste onaltılık gösterimi. |
| IP adresi | String | Microsoft Sentinel şemalarında ayrı IPv4 ve IPv6 adresleri yoktur. Herhangi bir IP adresi alanı aşağıdaki gibi bir IPv4 adresi veya IPv6 adresi içerebilir: - Noktalı ondalık gösteriminde IPv4 . - 8 onaltılık gösteriminde IPv6 , kısa forma izin verir. Örneğin: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6 kısa biçimi: 1080::8:800:200C:417A |
| FQDN | String | Nokta gösterimi kullanan tam etki alanı adı, örneğin, learn.microsoft.com. Daha fazla bilgi için bkz . Cihaz varlığı. |
| Ana Bilgisayar Adı | String | FQDN olmayan bir konak adı harf, sayı ve kısa çizgi içeren en fazla 63 karakter içerir. Daha fazla bilgi için bkz . Cihaz varlığı. |
| DomainType | Enumerated | Etki alanı ve FQDN alanlarında depolanan etki alanı türü. Değerlerin listesi ve daha fazla bilgi için bkz . Cihaz varlığı. |
| DvcIdType | Enumerated | DvcId alanlarında depolanan cihaz kimliğinin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için bkz. DvcIdType. |
| DeviceType | Enumerated | DeviceType alanlarında depolanan cihazın türü. Olası değerler arasında şunlar bulunur: - Computer- Mobile Device- IOT Device- Other. Daha fazla bilgi için bkz . Cihaz varlığı. |
| Kullanıcı adı | String | Desteklenen türlerden birinde geçerli bir kullanıcı adı. Daha fazla bilgi için bkz . Kullanıcı varlığı. |
| UsernameType | Enumerated | Kullanıcı adı alanlarında depolanan kullanıcı adı türü. Daha fazla bilgi ve desteklenen değerlerin listesi için bkz . Kullanıcı varlığı. |
| UserIdType | Enumerated | Kullanıcı kimliği alanlarında depolanan kimliğin türü. Desteklenen değerler , , , AADID, , AWSIdve PUIDdeğerleridirSID. OktaIdUIS Daha fazla bilgi için bkz . Kullanıcı varlığı. |
| UserType | Enumerated | Kullanıcının türü. İzin verilen değerlerin listesi ve daha fazla bilgi için bkz . Kullanıcı varlığı. |
| AppType | Enumerated | Bir uygulamanın türü. Desteklenen değerler şunlardır: Process, , ResourceService, URL, SaaS application, , CSPve Other. |
| Ülke | String | Aşağıdaki önceliğe göre ISO 3166-1 kullanan bir dize: - Birleşik Devletler gibi US Alfa-2 kodları. - Birleşik Devletler gibi USA Alfa-3 kodları. - Kısa ad. Kodların listesi Uluslararası Standartlar Örgütü (ISO) web sitesinde bulunabilir. |
| Bölge | String | ISO 3166-2 kullanan ülke/bölge alt bölüm adı. Kodların listesi Uluslararası Standartlar Örgütü (ISO) web sitesinde bulunabilir. |
| Şehir | String | |
| Boylam | Çift | ISO 6709 koordinat gösterimi (imzalı ondalık). |
| Enlem | Çift | ISO 6709 koordinat gösterimi (imzalı ondalık). |
| MD5 | String | 32 onaltılık karakter. |
| SHA1 | String | 40 onaltılık karakter. |
| SHA256 | String | 64 onaltılık karakter. |
| SHA512 | String | 128 onaltılık karakter. |
Varlıklar
Olaylar, kullanıcılar, konaklar, işlemler veya dosyalar gibi varlıklar etrafında gelişir. Varlık gösterimi, aynı türdeki çeşitli varlıkların tek bir kaydın parçası olmasını sağlar ve aynı varlıklar için birden çok özniteliği destekler.
Varlık işlevselliğini etkinleştirmek için varlık gösterimi aşağıdaki yönergelere sahiptir:
| Yönerge | Açıklama |
|---|---|
| Tanımlayıcılar ve diğer adlar | Tek bir olay genellikle kaynak ve hedef konaklar gibi aynı türde birden fazla varlık içerdiğinden, tanımlayıcılar belirli bir varlıkla ilişkili tüm alanları tanımlamak için ön ek olarak kullanılır. ASIM, normalleştirmeyi korumak için küçük bir standart tanımlayıcı kümesi kullanır ve varlıkların belirli rolü için en uygun olanları seçmektedir. Türün tek bir varlığı bir olay için uygunsa, tanımlayıcı kullanmaya gerek yoktur. Ayrıca, tanımlayıcısı olmayan bir alan kümesi her tür için en çok kullanılan varlığı diğer ad olarak kullanır. |
| Tanımlayıcılar ve türler | Normalleştirilmiş şema, her varlık için olaylar içinde birlikte olmasını beklediğimiz çeşitli tanımlayıcılara olanak tanır. Kaynak olayda normalleştirilmiş şemayla eşlenebilen başka varlık tanımlayıcıları varsa, bunları kaynak formda tutun veya AdditionalFields dinamik alanını kullanın. Tanımlayıcıların tür bilgilerini korumak için, türü uygun olduğunda aynı ada ve Tür son ekine sahip bir alanda depolayın. Örneğin, UserIdType. |
| Öznitelikler | Varlıklar genellikle tanımlayıcı işlevi olmayan başka özniteliklere sahiptir ve tanımlayıcı ile de nitelenebilir. Örneğin, kaynak kullanıcının etki alanı bilgileri varsa, normalleştirilmiş alan SrcUserDomain olur. |
Her şema, merkezi varlıkları ve varlık alanlarını açıkça tanımlar. Aşağıdaki yönergeler, merkezi şema alanlarını ve şemada açıkça tanımlanmayan diğer varlıkları veya varlık alanlarını kullanarak şemaları normalleştirilmiş bir şekilde genişletmeyi anlamanıza olanak tanır.
Kullanıcı varlığı
Kullanıcılar, olaylar tarafından bildirilen etkinliklerin merkezinde yer alır. Bu bölümde listelenen alanlar, eyleme katılan kullanıcıları açıklamak için kullanılır. Ön ekler, kullanıcının etkinlikteki rolünü tanımlamak için kullanılır. ve ön ekleri SrcDst , bir kaynak sistemin ve hedef sistemin iletişim kuracakları ağ ile ilgili olaylarda kullanıcı rolünü tanımlamak için kullanılır. 'Actor' ve 'Target' ön ekleri, işlem olayları gibi sistem odaklı olaylar için kullanılır.
Kullanıcı kimliği ve kapsamı
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| UserId | İsteğe bağlı | String | Kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. |
| UserScope | İsteğe bağlı | Dize | UserId ve Kullanıcı Adı'nın tanımlandığı kapsam. Örneğin, bir Microsoft Entra kiracı etki alanı adı. UserIdType alanı, bu alanla ilişkilendirilmiş türü de temsil eder. |
| UserScopeId | İsteğe bağlı | Dize | UserId ve Kullanıcı Adı'nın tanımlandığı kapsamın kimliği. Örneğin, bir Microsoft Entra kiracısı dizin kimliği. UserIdType alanı, bu alanla ilişkilendirilmiş türü de temsil eder. |
| UserIdType | İsteğe bağlı | UserIdType | UserId alanında depolanan kimliğin türü. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | İsteğe bağlı | String | Belirli kullanıcı kimliklerini depolamak için kullanılan alanlar. UserId içinde depolanan birincil kimlik olarak olayla en çok ilişkili kimliği seçin. Olayın yalnızca bir kimliği olsa bile, UserId'ye ek olarak ilgili belirli kimlik alanını doldurun. |
| UserAADTenant, UserAWSAccount | İsteğe bağlı | String | Belirli kapsamları depolamak için kullanılan alanlar. UserId alanında depolanan kimlikle ilişkili kapsam için UserScope alanını kullanın. Olayın yalnızca bir kimliği olsa bile UserScope'a ek olarak ilgili kapsam alanını doldurun. |
Kullanıcı kimliği türü için izin verilen değerler şunlardır:
| Type | Açıklama | Örnek |
|---|---|---|
| SID | Windows kullanıcı kimliği. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Linux kullanıcı kimliği. | 4578 |
| AADID | Microsoft Entra kullanıcı kimliği. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Okta kullanıcı kimliği. | 00urjk4znu3BcncfY0h7 |
| AWSId | AWS kullanıcı kimliği. | 72643944673 |
| PUID | Microsoft 365 kullanıcı kimliği. | 10032001582F435C |
| SalesforceId | Salesforce kullanıcı kimliği. | 00530000009M943 |
Kullanıcı adı
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| Kullanıcı adı | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak kullanıcı adı. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü UsernameType alanında depolayın. |
| UsernameType | İsteğe bağlı | UsernameType | Kullanıcı adı alanında depolanan kullanıcı adının türünü belirtir. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | İsteğe bağlı | String | Özgün olay birden çok kullanıcı adı içeriyorsa, ek kullanıcı adlarını depolamak için kullanılan alanlar. Kullanıcı adı'nda depolanan birincil kullanıcı adı olarak olayla en çok ilişkili kullanıcı adını seçin. |
Kullanıcı adı türü için izin verilen değerler şunlardır:
| Type | Açıklama | Örnek |
|---|---|---|
| UPN | UPN veya E-posta adresi kullanıcı adı belirleyicisi. | johndow@contoso.com |
| Windows | Etki alanı içeren bir Windows kullanıcı adı. | Contoso\johndow |
| DN | LDAP ayırt edici ad belirleyicisi. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Basit | Etki alanı belirleyicisi olmayan basit bir kullanıcı adı. | johndow |
| AWSId | AWS kullanıcı kimliği. | 72643944673 |
Ek kullanıcı alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| UserType | İsteğe bağlı | UserType | Kaynak kullanıcının türü. Desteklenen değerler şunlardır: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu da bu değerlere normalleştirilmelidir. Özgün değeri OriginalUserType alanında depolayın. |
| OriginalUserType | İsteğe bağlı | String | Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü. |
Cihaz varlığı
Cihazlar veya konaklar, olayda yer alan sistemler için kullanılan yaygın terimlerdir. Ön Dvc ek, olayın gerçekleştiği birincil cihazı tanımlamak için kullanılır. Ağ oturumları gibi bazı olaylar, ve ön eki Src tarafından belirlenen kaynak ve Dsthedef cihazlara sahiptir. Böyle bir durumda ön ek, Dvc kaynak, hedef veya izleme cihazı olabilecek olayı bildiren cihaz için kullanılır.
Cihaz diğer adları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| Dvc, Src, Dst | Zorunlu | String |
Dvc, 'Src' veya 'Dst' alanları cihazın benzersiz tanımlayıcısı olarak kullanılır. Cihaz için tanımlanan en iyi kullanılabilir değere ayarlanır. Bu alanlar FQDN, DvcId, Hostname veya IpAddr alanlarının diğer adını alabilir. Görünür cihaz bulunmayan bulut kaynakları için Olay Ürünü alanıyla aynı değeri kullanın. |
Cihaz adı
Bildirilen cihaz adları yalnızca bir konak adı veya ana bilgisayar adı ve etki alanı adı içeren tam etki alanı adı (FQDN) içerebilir. FQDN birkaç biçim kullanılarak ifade edilebilir. Aşağıdaki alanlar, cihaz adının sağlanabileceği farklı değişkenlerin desteklenmesini sağlar.
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| Ana Bilgisayar Adı | Önerilir | Konak adı | Cihazın kısa konak adı. |
| Alan | Önerilir | String | Olayın gerçekleştiği cihazın etki alanı, ana bilgisayar adı olmadan. |
| DomainType | Önerilir | Enumerated | Etki Alanı türü. Desteklenen değerler ve değerlerini içerir FQDNWindows. Etki alanı kullanılıyorsa bu alan gereklidir. |
| FQDN | İsteğe bağlı | String | Hem Ana Bilgisayar adıhem de Etki Alanı dahil olmak üzere cihazın FQDN'si. Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. DomainType alanı, kullanılan biçimi yansıtır. |
Örneğin:
| Alan | Giriş değeri appserver.contoso.com |
giriş değeri appserver |
|---|---|---|
| Ana Bilgisayar Adı | appserver |
appserver |
| Alan | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
Kaynak tarafından sağlanan değer bir FQDN olduğunda veya değer ya da FQDN ya da kısa bir konak adı olduğunda, ayrıştırıcının 4 değeri hesaplaması gerekir. Dört alanın tümünü tek bir giriş değerine göre kolayca ayarlamak için ASIM yardımcı işlevlerini _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNve _ASIM_ResolveDvcFQDN kullanın. Daha fazla bilgi için bkz . ASIM yardımcı işlevleri.
Cihaz kimliği ve Kapsamı
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| DvcId | İsteğe bağlı | String | Cihazın benzersiz kimliği. Örneğin: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. Kapsam , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| Scope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. Kapsam , Azure'da bir aboneliğe ve AWS'de bir hesaba eşler. |
| DvcIdType | İsteğe bağlı | Enumerated | DvcId türü. Bu alan genellikle Scope ve ScopeId türlerini de tanımlar. DvcId alanı kullanılıyorsa bu alan gereklidir. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | İsteğe bağlı | String | Özgün olay birden çok cihaz kimliği içeriyorsa, ek cihaz kimliklerini depolamak için kullanılan alanlar. Olayla en çok ilişkili cihaz kimliğini DvcId'de depolanan birincil kimlik olarak seçin. |
adlı alanların veya Dstgibi Src bir rol ön eki eklemesi, ancak bu rolde kullanılıyorsa ikinci Dvc bir ön ek eklememesi gerektiğini unutmayın.
Cihaz kimliği türü için izin verilen değerler şunlardır:
| Type | Açıklama |
|---|---|
| MDEid | Uç Nokta için Microsoft Defender tarafından atanan sistem kimliği. |
| AzureResourceId | Azure kaynak kimliği. |
| MD4IoTid | IoT için Microsoft Defender kaynak kimliği. |
| VMConnectionId | Azure İzleyici VM Insights çözümü kaynak kimliği. |
| AwsVpcId | AWS VPC Kimliği. |
| VectraId | Vectra AI tarafından atanan kaynak kimliği. |
| Diğer | Yukarıda listelenmeyen bir kimlik türü. |
Örneğin, Azure İzleyici VM Insights çözümü içinde VMConnectionağ oturumları bilgileri sağlar. Tablo, alanında bir Azure Kaynak Kimliği _ResourceId ve alanda vm içgörülerine özgü cihaz kimliği Machine sağlar. Bu kimlikleri temsil etmek için aşağıdaki eşlemeyi kullanın:
| Alan | Eşle |
|---|---|
| DvcId |
Machine Tablodaki VMConnection alan. |
| DvcIdType | Değer VMConnectionId |
| DvcAzureResourceId |
_ResourceId Tablodaki VMConnection alan. |
Ek cihaz alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| IpAddr | Önerilir | IP Adresi | Cihazın IP adresi. Örnek: 45.21.42.12 |
| DvcDescription | İsteğe bağlı | String | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| MacAddr | İsteğe bağlı | MAC | Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi. Örnek: 00:1B:44:11:3A:B7 |
| Bölge | İsteğe bağlı | String | Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği ağ. Bölge, raporlama cihazı tarafından tanımlanır. Örnek: Dmz |
| DvcOs | İsteğe bağlı | String | Olayın oluştuğu veya olayı bildirdiği cihazda çalışan işletim sistemi. Örnek: Windows |
| DvcOsVersion | İsteğe bağlı | String | Olayın gerçekleştiği veya olayı bildirdiği cihazdaki işletim sisteminin sürümü. Örnek: 10 |
| DvcAction | İsteğe bağlı | String | Raporlama güvenlik sistemleri için, varsa sistem tarafından gerçekleştirilen eylem. Örnek: Blocked |
| DvcOriginalAction | İsteğe bağlı | String | Raporlama cihazı tarafından sağlanan özgün DvcAction . |
| Arayüz | İsteğe bağlı | String | Verilerin yakalandığı ağ arabirimi. Bu alan genellikle bir ara veya dokunma cihazı tarafından yakalanan ağ ile ilgili etkinlikle ilgilidir. |
Listede Dvc ön ekiyle adlandırılan alanların veya Dstgibi Src bir rol ön eki eklemesi, ancak bu rolde kullanılıyorsa ikinci Dvc bir ön ek eklememesi gerektiğini unutmayın.
Örnek varlık eşlemesi
Bu bölümde, olay verilerinin Microsoft Sentinel için nasıl normalleştirildiğine ilişkin bir örnek olarak Windows olay 4624 kullanılır.
Bu olay aşağıdaki varlıklara sahiptir:
| Microsoft terminolojisi | Özgün olay alanı ön eki | ASIM alan ön eki | Açıklama |
|---|---|---|---|
| Konu | Subject |
Actor |
Başarılı bir oturum açma hakkında bilgi bildiren kullanıcı. |
| Yeni Oturum Açma | Target |
TargetUser |
Oturum açma işleminin gerçekleştirildiği kullanıcı. |
| İşlem | - | ActingProcess |
Oturum açmayı denemiş olan işlem. |
| Ağ bilgileri | - | Src |
Oturum açma girişiminin gerçekleştirildiği makine. |
Bu varlıklara bağlı olarak, Windows olay 4624 aşağıdaki gibi normalleştirilir (bazı alanlar isteğe bağlıdır):
| Normalleştirilmiş alan | Özgün alan | Örnekteki değer | Notlar |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | İki alan birleşerek derlenir |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Diğer ad | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | İki alan birleşerek derlenir |
| Kullanıcı adı | TargetDomainName\ TargetUserName | Diğer ad | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Bilgisayar | WIN-GG82ULGC9GO | |
| Ana Bilgisayar Adı | Bilgisayar | Diğer ad |
Sonraki adımlar
Bu makalede, Microsoft Sentinel ve ASIM'de normalleştirmeye genel bir bakış sağlanır.
Daha fazla bilgi için bkz.
- Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği