Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Sommige velden zijn gemeenschappelijk voor alle ASIM-schema's. Elk schema kan richtlijnen toevoegen voor het gebruik van enkele algemene velden in de context van het specifieke schema. Toegestane waarden voor het veld EventType kunnen bijvoorbeeld per schema verschillen, net als de waarde van het veld EventSchemaVersion .
Standaard Log Analytics-velden
Log Analytics genereert in de meeste gevallen de volgende velden voor elke record. Ze kunnen worden overschreven wanneer u een aangepaste connector maakt.
| Veld | Type | Discussie |
|---|---|---|
| TimeGenerated | Datum/tijd | Het tijdstip waarop de gebeurtenis is gegenereerd door het rapportageapparaat. |
| Type | Tekenreeks | De oorspronkelijke tabel waaruit de record is opgehaald. Dit veld is handig wanneer dezelfde gebeurtenis via meerdere kanalen naar verschillende tabellen kan worden ontvangen en dezelfde waarden voor EventVendor en EventProduct heeft. Een Sysmon-gebeurtenis kan bijvoorbeeld worden verzameld naar de Event tabel of naar de WindowsEvent tabel. |
Opmerking
Log Analytics voegt ook andere velden toe die minder relevant zijn voor beveiligingsgebruiksscenario's. Zie Standaardkolommen in Azure Logboeken bewaken voor meer informatie.
Algemene ASIM-velden
De volgende velden worden gedefinieerd door ASIM voor alle schema's:
Gebeurtenisvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EventMessage | Optioneel | Tekenreeks | Een algemeen bericht of beschrijving, opgenomen in of gegenereerd op basis van de record. |
| EventCount | Verplicht | Geheel getal | Het aantal gebeurtenissen dat door de record wordt beschreven. Deze waarde wordt gebruikt wanneer de bron aggregatie ondersteunt en één record meerdere gebeurtenissen kan vertegenwoordigen. Voor andere bronnen stelt u in op 1. |
| EventStartTime | Verplicht | Datum/tijd | Het tijdstip waarop de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, is het tijdstip waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt . |
| EventEndTime | Verplicht | Datum/tijd | Het tijdstip waarop de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt . |
| EventType | Verplicht | Opgesomde | Beschrijft de bewerking die door de record wordt gerapporteerd. Elk schema documentert de lijst met waarden die geldig zijn voor dit veld. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalType . |
| EventSubType | Optioneel | Opgesomde | Beschrijft een onderverdeling van de bewerking die is gerapporteerd in het veld EventType . Elk schema documentert de lijst met waarden die geldig zijn voor dit veld. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalSubType . |
| EventResult | Verplicht | Opgesomde | Een van de volgende waarden: Geslaagd, Gedeeltelijk, Mislukt, NA (niet van toepassing). De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. De bron kan ook alleen het veld EventResultDetails bevatten, dat moet worden geanalyseerd om de waarde EventResult af te leiden. Voorbeeld: Success |
| EventResultDetails | Aanbevolen | Opgesomde | Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult . Elk schema documentert de lijst met waarden die geldig zijn voor dit veld. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalResultDetails . Voorbeeld: NXDOMAIN |
| EventUid | Aanbevolen | Tekenreeks | De unieke id van de record, zoals toegewezen door Microsoft Sentinel. Dit veld wordt doorgaans toegewezen aan het _ItemId veld Log Analytics. |
| EventOriginalUid | Optioneel | Tekenreeks | Een unieke id van de oorspronkelijke record, indien opgegeven door de bron. Voorbeeld: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Optioneel | Tekenreeks | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt om de oorspronkelijke Windows-gebeurtenis-id op te slaan. Deze waarde wordt gebruikt om EventType af te leiden. Dit moet slechts één van de waarden bevatten die voor elk schema zijn gedocumenteerd. Voorbeeld: 4624 |
| EventOriginalSubType | Optioneel | Tekenreeks | Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt om het oorspronkelijke Windows-aanmeldingstype op te slaan. Deze waarde wordt gebruikt om EventSubType af te leiden. Deze waarde moet slechts één van de waarden bevatten die voor elk schema zijn gedocumenteerd. Voorbeeld: 2 |
| EventOriginalResultDetails | Optioneel | Tekenreeks | De oorspronkelijke resultaatdetails die door de bron zijn opgegeven. Deze waarde wordt gebruikt om EventResultDetails af te leiden. Deze waarde moet slechts één van de waarden bevatten die voor elk schema zijn gedocumenteerd. |
| EventSeverity | Aanbevolen | Opgesomde | De ernst van de gebeurtenis. Geldige waarden zijn: Informational, Low, Mediumof High. |
| EventOriginalSeverity | Optioneel | Tekenreeks | De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. Deze waarde wordt gebruikt om EventSeverity af te leiden. |
| EventProduct | Verplicht | Tekenreeks | Het product dat de gebeurtenis genereert. De waarde moet een van de waarden zijn die worden vermeld in Leveranciers en producten. Voorbeeld: Sysmon |
| EventProductVersion | Optioneel | Tekenreeks | De versie van het product dat de gebeurtenis genereert. Voorbeeld: 12.1 |
| EventVendor | Verplicht | Tekenreeks | De leverancier van het product dat de gebeurtenis genereert. De waarde moet een van de waarden zijn die worden vermeld in Leveranciers en producten. Voorbeeld: Microsoft |
| EventSchema | Verplicht | Opgesomde | Het schema waar de gebeurtenis naar is genormaliseerd. Elk schema documentt de naam van het schema. |
| EventSchemaVersion | Verplicht | SchemaVersion (tekenreeks) | De versie van het schema. Elk schema documentt de huidige versie. |
| EventReportUrl | Optioneel | URL (tekenreeks) | Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
| EventOwner | Optioneel | Tekenreeks | De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd. |
Apparaatvelden
De rol van de apparaatvelden verschilt voor verschillende schema's en gebeurtenistypen. Bijvoorbeeld:
- Voor de netwerksessie-gebeurtenissen bevatten apparaatvelden meestal informatie over het apparaat dat de gebeurtenis heeft gegenereerd
- Voor de procesgebeurtenissen bevatten de apparaatvelden informatie over het apparaat waarop het proces wordt uitgevoerd.
In elk schemadocument wordt de rol van het apparaat voor het schema opgegeven.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Dvc | Alias | Tekenreeks | Een unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Dit veld kan de alias van de velden DvcFQDN, DvcId, DvcHostname of DvcIpAddr zijn. Voor cloudbronnen waarvoor geen duidelijk apparaat is, gebruikt u dezelfde waarde als het veld Gebeurtenisproduct . |
| DvcIpAddr | Aanbevolen | IP-adres | Het IP-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Voorbeeld: 45.21.42.12 |
| DvcHostname | Aanbevolen | Hostname | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Voorbeeld: ContosoDc |
| DvcDomain | Aanbevolen | Domein (tekenreeks) | Het domein van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Voorbeeld: Contoso |
| DvcDomainType | Voorwaardelijke | Opgesomde | Het type DvcDomain. Raadpleeg DomainType voor een lijst met toegestane waarden en meer informatie. Opmerking: dit veld is vereist als het veld DvcDomain wordt gebruikt. |
| DvcFQDN | Optioneel | FQDN (tekenreeks) | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Voorbeeld: Contoso\DESKTOP-1282V4DOpmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. In het veld DvcDomainType wordt de gebruikte indeling weergegeven. |
| DvcDescription | Optioneel | Tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: Primary Domain Controller. |
| DvcId | Optioneel | Tekenreeks | De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Voorbeeld: 41502da5-21b7-48ec-81c9-baeea8d7d669Als er meerdere id's beschikbaar zijn, gebruikt u de eerste id uit de lijst en slaat u de andere id's op met behulp van de veldnamen DvcAzureResourceId, DvcMDEid, enzovoort. |
| DvcIdType | Voorwaardelijke | Opgesomde | Het type DvcId. De lijst met toegestane waarden is AzureResourceId, MDEid, MD4IoTid, VMConnectionId, AwsVpcId, VectraId, AppGateId, , FQDNen Other. Als FQDN u als apparaat-id gebruikt, betekent dit dat u de hostnaam opnieuw moet gebruiken. Gebruik het alleen als laatste redmiddel.Opmerking: dit veld is vereist als het veld DvcId wordt gebruikt. |
| DvcMacAddr | Optioneel | MAC-adres | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. Voorbeeld: 00:1B:44:11:3A:B7 |
| DvcZone | Optioneel | Tekenreeks | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. De zone wordt gedefinieerd door het rapportageapparaat. Voorbeeld: Dmz |
| DvcO's | Optioneel | Tekenreeks | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. Voorbeeld: Windows |
| DvcOsVersion | Optioneel | Tekenreeks | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd. Voorbeeld: 10 |
| DvcAction | Optioneel | Tekenreeks | Voor rapportagebeveiligingssystemen, de actie die door het systeem is uitgevoerd, indien van toepassing. Voorbeeld: Blocked |
| DvcOriginalAction | Optioneel | Tekenreeks | De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat. |
| DvcInterface | Optioneel | Tekenreeks | De netwerkinterface waarop gegevens zijn vastgelegd. Dit veld is doorgaans relevant voor netwerkgerelateerde activiteiten, die worden vastgelegd door een tussenliggend of tikapparaat. |
| DvcScopeId | Optioneel | Tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| DvcScope | Optioneel | Tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
Overige velden
Schema-updates
- Het
EventOwnerveld is op 1 december 2022 toegevoegd aan de algemene velden en daarom aan alle schema's. - Het
EventUidveld is op 26 december 2022 toegevoegd aan de algemene velden en daarom aan alle schema's.
Leveranciers en producten
Om consistentie te behouden, wordt de lijst met toegestane leveranciers en producten ingesteld als onderdeel van ASIM en komt deze mogelijk niet rechtstreeks overeen met de waarde die door de bron is verzonden, indien beschikbaar.
De momenteel ondersteunde lijst met leveranciers en producten die worden gebruikt in respectievelijk de velden EventVendor en EventProduct is:
| Leverancier | Producten |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Als u een parser ontwikkelt voor een leverancier of product die hier niet wordt vermeld, neemt u contact op met het Microsoft Sentinel-team om nieuwe toegestane leveranciers en producttoewijzingen toe te wijzen.
Volgende stappen
Zie voor meer informatie: