Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Nogle felter er fælles for alle ASIM-skemaer. Hvert skema kan tilføje retningslinjer for brug af nogle af de almindelige felter i konteksten af det specifikke skema. De tilladte værdier for feltet EventType kan f.eks. variere fra skema til skema, og det samme kan værdien af feltet EventSchemaVersion .
Standard Log Analytics-felter
Log Analytics genererer følgende felter, i de fleste tilfælde, for hver post. De kan tilsidesættes, når du opretter en brugerdefineret connector.
| Feltet | Type | Diskussion |
|---|---|---|
| Tid genereret | Dato/klokkeslæt | Det tidspunkt, hvor hændelsen blev genereret af rapporteringsenheden. |
| Type | String | Den oprindelige tabel, som posten blev hentet fra. Dette felt er nyttigt, når den samme hændelse kan modtages via flere kanaler til forskellige tabeller og har de samme EventVendor - og EventProduct-værdier . En Sysmon-hændelse kan f.eks. indsamles enten til tabellen Event eller til tabellen WindowsEvent . |
Bemærk!
Log Analytics tilføjer også andre felter, der er mindre relevante for sikkerhedsanvendelsessager. Du kan finde flere oplysninger i Standard kolonner i Azure Overvågningslogge.
Almindelige ASIM-felter
Følgende felter er defineret af ASIM for alle skemaer:
Hændelsesfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Hændelsesmeddelelse | Valgfrit | String | En generel meddelelse eller beskrivelse, der enten er inkluderet i eller genereret ud fra posten. |
| EventCount | Obligatorisk | Heltal | Antallet af hændelser, der er beskrevet af posten. Denne værdi bruges, når kilden understøtter sammenlægning, og en enkelt post kan repræsentere flere hændelser. For andre kilder skal du angive til 1. |
| EventStartTime | Obligatorisk | Dato/klokkeslæt | Det tidspunkt, hvor hændelsen startede. Hvis kilden understøtter sammenlægning, og posten repræsenterer flere hændelser, er det tidspunkt, hvor den første hændelse blev genereret. Hvis det ikke er angivet af kildeposten, aliasser dette felt feltet TimeGenerated . |
| EventEndTime | Obligatorisk | Dato/klokkeslæt | Det tidspunkt, hvor hændelsen sluttede. Hvis kilden understøtter sammenlægning, og posten repræsenterer flere hændelser, er det tidspunkt, hvor den sidste hændelse blev genereret. Hvis det ikke er angivet af kildeposten, aliasser dette felt feltet TimeGenerated . |
| EventType | Obligatorisk | Optalt | Beskriver den handling, der er rapporteret af posten. Hvert skema dokumenterer listen over gyldige værdier for dette felt. Den oprindelige, kildespecifikke værdi gemmes i feltet EventOriginalType . |
| EventSubType | Valgfrit | Optalt | Beskriver en underinddeling af den handling, der er rapporteret i feltet EventType . Hvert skema dokumenterer listen over gyldige værdier for dette felt. Den oprindelige kildespecifikke værdi gemmes i feltet EventOriginalSubType . |
| EventResult | Obligatorisk | Optalt | En af følgende værdier: Success, Partial, Failure, NA (Not Applicable). Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Alternativt kan kilden kun levere feltet EventResultDetails , som skal analyseres for at udlede værdien EventResult. Eksempel: Success |
| EventResultDetails | Anbefalede | Optalt | Årsag eller oplysninger om resultatet rapporteret i feltet EventResult . Hvert skema dokumenterer listen over gyldige værdier for dette felt. Den oprindelige kildespecifikke værdi gemmes i feltet EventOriginalResultDetails . Eksempel: NXDOMAIN |
| Hændelses-UID | Anbefalede | String | Postens entydige id, som tildeles af Microsoft Sentinel. Dette felt er typisk knyttet til feltet _ItemId Log Analytics. |
| EventOriginalUid | Valgfrit | String | Et entydigt id for den oprindelige post, hvis det er angivet af kilden. Eksempel: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Valgfrit | String | Den oprindelige hændelsestype eller det oprindelige id, hvis det er angivet af kilden. Dette felt bruges f.eks. til at gemme det oprindelige Windows-hændelses-id. Denne værdi bruges til at udlede EventType, som kun skal have én af de værdier, der er dokumenteret for hvert skema. Eksempel: 4624 |
| EventOriginalSubType | Valgfrit | String | Den oprindelige hændelsesundertype eller det oprindelige id, hvis det er angivet af kilden. Dette felt bruges f.eks. til at gemme den oprindelige Windows-logontype. Denne værdi bruges til at udlede EventSubType, som kun skal have én af de værdier, der er dokumenteret for hvert skema. Eksempel: 2 |
| EventOriginalResultDetails | Valgfrit | String | De oprindelige resultatoplysninger fra kilden. Denne værdi bruges til at udlede EventResultDetails, som kun skal have én af de værdier, der er dokumenteret for hvert skema. |
| EventSeverity | Anbefalede | Optalt | Hændelsens alvorsgrad. Gyldige værdier er: Informational, Low, Mediumeller High. |
| EventOriginalSeverity | Valgfrit | String | Den oprindelige alvorsgrad, som leveres af rapporteringsenheden. Denne værdi bruges til at udlede EventSeverity. |
| EventProduct | Obligatorisk | String | Det produkt, der genererer hændelsen. Værdien skal være en af de værdier, der er angivet i Leverandører og Produkter. Eksempel: Sysmon |
| EventProductVersion | Valgfrit | String | Den version af produktet, der genererer hændelsen. Eksempel: 12.1 |
| EventVendor | Obligatorisk | String | Leverandøren af det produkt, der genererer hændelsen. Værdien skal være en af de værdier, der er angivet i Leverandører og Produkter. Eksempel: Microsoft |
| EventSchema | Obligatorisk | Optalt | Skemaet, som hændelsen normaliseres til. Hvert skema dokumenterer sit skemanavn. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Hvert skema dokumenterer den aktuelle version. |
| EventReportUrl | Valgfrit | URL-adresse (streng) | En URL-adresse, der er angivet i hændelsen for en ressource, der indeholder flere oplysninger om hændelsen. |
| Hændelsesejer | Valgfrit | String | Ejeren af hændelsen, som normalt er den afdeling eller det datterselskab, hvor den blev oprettet. |
Enhedsfelter
Enhedsfelternes rolle er forskellig for forskellige skemaer og hændelsestyper. Det kan f.eks. være:
- I forbindelse med hændelserne for netværkssessionen indeholder enhedsfelter normalt oplysninger om den enhed, der genererede hændelsen
- I forbindelse med proceshændelser indeholder enhedsfelterne oplysninger om enheden om, at processen udføres.
Hvert skemadokument angiver enhedens rolle for skemaet.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Dvc | Alias | String | Et entydigt id for den enhed, som hændelsen opstod på, eller som rapporterede hændelsen, afhængigt af skemaet. Dette felt kan aliassere felterne DvcFQDN, DvcId, DvcHostname eller DvcIpAddr . I forbindelse med kilder i cloudmiljøet, hvor der ikke er nogen synlig enhed, skal du bruge den samme værdi som feltet Event Product . |
| DvcIpAddr | Anbefalede | IP-adresse | IP-adressen på den enhed, hvor hændelsen fandt sted, eller som rapporterede hændelsen, afhængigt af skemaet. Eksempel: 45.21.42.12 |
| DvcHostname | Anbefalede | Værtsnavn | Værtsnavnet på den enhed, hvor hændelsen fandt sted, eller som rapporterede hændelsen, afhængigt af skemaet. Eksempel: ContosoDc |
| DvcDomain | Anbefalede | Domæne (streng) | Domænet for den enhed, som hændelsen opstod på, eller som rapporterede hændelsen, afhængigt af skemaet. Eksempel: Contoso |
| DvcDomainType | Betinget | Optalt | Typen af DvcDomain. Du kan finde en liste over tilladte værdier og yderligere oplysninger under Domænetype. Bemærk! Dette felt er obligatorisk, hvis feltet DvcDomain bruges. |
| DvcFQDN | Valgfrit | FQDN (streng) | Værtsnavnet på den enhed, hvor hændelsen fandt sted, eller som rapporterede hændelsen, afhængigt af skemaet. Eksempel: Contoso\DESKTOP-1282V4DBemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. Feltet DvcDomainType afspejler det anvendte format. |
| DvcDescription | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
| DvcId | Valgfrit | String | Det entydige id for den enhed, som hændelsen opstod på, eller som rapporterede hændelsen, afhængigt af skemaet. Eksempel: 41502da5-21b7-48ec-81c9-baeea8d7d669Hvis der er flere id'er tilgængelige, skal du bruge den første på listen og gemme de andre ved hjælp af feltnavnene DvcAzureResourceId, DvcMDEid osv. |
| DvcIdType | Betinget | Optalt | Typen af DvcId. Listen over tilladte værdier er AzureResourceId, MDEid, MD4IoTid, VMConnectionId, AwsVpcId, VectraId, AppGateId, FQDN, og Other. Brug FQDN som enheds-id indebærer, at værtsnavnet genbruges. Brug den kun som en sidste udvej.Bemærk! Dette felt er obligatorisk, hvis feltet DvcId bruges. |
| DvcMacAddr | Valgfrit | MAC-adresse | MAC-adressen på den enhed, hvor hændelsen fandt sted, eller som rapporterede hændelsen. Eksempel: 00:1B:44:11:3A:B7 |
| DvcZone | Valgfrit | String | Netværket, som hændelsen opstod på, eller som rapporterede hændelsen, afhængigt af skemaet. Zonen defineres af rapporteringsenheden. Eksempel: Dmz |
| DvcOs | Valgfrit | String | Det operativsystem, der kører på den enhed, hvor hændelsen fandt sted, eller som rapporterede hændelsen. Eksempel: Windows |
| DvcOsVersion | Valgfrit | String | Versionen af operativsystemet på den enhed, hvor hændelsen fandt sted, eller som rapporterede hændelsen. Eksempel: 10 |
| DvcAction | Valgfrit | String | I forbindelse med rapportering af sikkerhedssystemer, den handling, der udføres af systemet, hvis det er relevant. Eksempel: Blocked |
| DvcOriginalAction | Valgfrit | String | Den oprindelige DvcAction , som leveres af rapporteringsenheden. |
| DvcInterface | Valgfrit | String | Den netværksgrænseflade, som dataene blev hentet på. Dette felt er typisk relevant for netværksrelateret aktivitet, som registreres af en mellemliggende enhed eller en trykenhed. |
| DvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. DvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| DvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. DvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
Andre felter
Skemaopdateringer
- Feltet
EventOwnerblev føjet til de fælles felter den 1. december 2022 og derfor til alle skemaerne. - Feltet
EventUidblev føjet til de fælles felter den 26. december 2022 og derfor til alle skemaerne.
Leverandører og produkter
For at bevare konsistensen angives listen over tilladte leverandører og produkter som en del af ASIM og svarer muligvis ikke direkte til den værdi, der sendes af kilden, når den er tilgængelig.
Den aktuelt understøttede liste over leverandører og produkter, der bruges i felterne EventVendor og EventProduct , er:
| Kreditor | Produkter |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Hvis du udvikler en parser for en leverandør eller et produkt, der ikke er angivet her, skal du kontakte det Microsoft Sentinel team for at tildele nye tilladte leverandører og produktdesignere.
Næste trin
Du kan finde flere oplysninger under: