Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Jotkin kentät ovat yhteisiä kaikille ASIM-rakenteille. Kukin rakenne saattaa lisätä ohjeita joidenkin yleisten kenttien käyttämiseen tietyn rakenteen kontekstissa. Esimerkiksi EventType-kentän sallitut arvot saattavat vaihdella rakenteen mukaan, samoin kuin EventSchemaVersion-kentän arvo.
Standard Log Analytics -kentät
Log Analytics luo seuraavat kentät useimmissa tapauksissa kullekin tietueelle. Ne voidaan ohittaa, kun luot mukautetun liittimen.
| Kenttä | Kirjoita | Keskustelu |
|---|---|---|
| TimeGenerated | Päivämäärä ja kellonaika | Aika, jolloin raportointilaite loi tapahtuman. |
| Tyyppi | Merkkijono | Alkuperäinen taulukko, josta tietue noudettiin. Tästä kentästä on hyötyä, kun sama tapahtuma voidaan vastaanottaa useiden kanavien kautta eri taulukoihin ja sillä on samat EventVendor - ja EventProduct-arvot . Esimerkiksi Sysmon-tapahtuma voidaan kerätä joko Event taulukkoon tai taulukkoon WindowsEvent . |
Huomautus
Log Analytics lisää myös muita kenttiä, jotka eivät ole yhtä olennaisia suojauksen käyttötapauksissa. Lisätietoja on kohdassa Standard sarakkeita Azure näyttölokeissa.
Yleiset ASIM-kentät
ASIM määrittää seuraavat kentät kaikille rakenteille:
Tapahtumakentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Tapahtuman viesti | Valinnainen | Merkkijono | Yleinen viesti tai kuvaus, joka sisältyy tietueeseen tai on luotu tietueesta. |
| Tapahtumien määrä | Pakollinen | Kokonaisluku | Tietueen kuvaamien tapahtumien määrä. Tätä arvoa käytetään, kun lähde tukee koostamista, ja yksittäinen tietue voi edustaa useita tapahtumia. Määritä muiden lähteiden osalta arvoksi 1. |
| Tapahtuman alkamisaika | Pakollinen | Päivämäärä ja kellonaika | Tapahtuman alkamisaika. Jos lähde tukee koostamista ja tietue edustaa useita tapahtumia, ensimmäisen tapahtuman luontiaika. Jos lähdetietue ei anna tätä kenttää, tämä kenttä määrittää TimeGenerated-kentän . |
| Tapahtuman aika | Pakollinen | Päivämäärä ja kellonaika | Tapahtuman päättymisaika. Jos lähde tukee koostamista ja tietue edustaa useita tapahtumia, aika, jolloin viimeinen tapahtuma luotiin. Jos lähdetietue ei anna tätä kenttää, tämä kenttä määrittää TimeGenerated-kentän . |
| Tapahtuman tyyppi | Pakollinen | Lueteltu | Kuvailee tietueen ilmoittaman toiminnon. Jokainen rakenne dokumentoi tälle kentälle kelvollisten arvojen luettelon. Alkuperäinen lähdekohtainen arvo on tallennettu EventOriginalType-kenttään . |
| EventSubType | Valinnainen | Lueteltu | Kuvaa EventType-kentässä ilmoitetun toiminnon alijakoa. Jokainen rakenne dokumentoi tälle kentälle kelvollisten arvojen luettelon. Alkuperäinen lähdekohtainen arvo tallennetaan EventOriginalSubType-kenttään . |
| Tapahtuman tulos | Pakollinen | Lueteltu | Yksi seuraavista arvoista: Success, Partial, Failure, NA (Not Applicable). Arvo voidaan antaa lähdetietueessa käyttämällä eri termejä, jotka tulisi normalisoida näihin arvoihin. Vaihtoehtoisesti lähde voi tarjota vain EventResultDetails-kentän , joka on analysoitava EventResult-arvon johdannaista varten. Esimerkki Success |
| EventResultDetails | Suositellut | Lueteltu |
EventResult-kentässä ilmoitetun tuloksen syy tai tiedot. Jokainen rakenne dokumentoi tälle kentälle kelvollisten arvojen luettelon. Alkuperäinen lähdekohtainen arvo tallennetaan EventOriginalResultDetails-kenttään . Esimerkki NXDOMAIN |
| EventUid | Suositellut | Merkkijono | Tietueen yksilöivä tunnus, jonka Microsoft Sentinel on määrittänyt. Tämä kenttä on yleensä yhdistetty Log Analytics - _ItemId kenttään. |
| EventOriginalUid | Valinnainen | Merkkijono | Alkuperäisen tietueen yksilöivä tunnus, jos lähde antaa sen. Esimerkki 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Valinnainen | Merkkijono | Alkuperäinen tapahtumatyyppi tai tunnus, jos lähde on antanut sen. Tämän kentän avulla tallennetaan esimerkiksi alkuperäinen Windowsin tapahtumatunnus. Tällä arvolla johdetaan EventType, jossa on vain yksi kustakin rakenteesta dokumentoiduista arvoista. Esimerkki 4624 |
| EventOriginalSubType | Valinnainen | Merkkijono | Alkuperäinen tapahtuman alityyppi tai tunnus, jos lähde on antanut sen. Tähän kenttään tallennetaan esimerkiksi alkuperäinen Windows-kirjautumistyyppi. Tätä arvoa käytetään EventSubType-kohteen johtamiseen. Sillä tulisi olla vain yksi kullekin rakenteelle dokumentoiduista arvoista. Esimerkki 2 |
| EventOriginalResultDetails | Valinnainen | Merkkijono | Lähteen antamat alkuperäiset tulostiedot. Tätä arvoa käytetään EventResultDetails-kohteen johtamiseen. Sillä tulisi olla vain yksi kullekin rakenteelle dokumentoiduista arvoista. |
| Tapahtumankaltaisuus | Suositellut | Lueteltu | Tapahtuman vakavuus. Kelvolliset arvot ovat : Informational, Low, Medium, tai High. |
| EventOriginalSeverity | Valinnainen | Merkkijono | Raportointilaitteen antama alkuperäinen vakavuus. Tätä arvoa käytetään EventSeverity-kohteen johtamiseen. |
| Tapahtuman tuote | Pakollinen | Merkkijono | Tapahtuman muodostava tuote. Arvon on oltava yksi toimittajissa ja tuotteissa luetelluista arvoista. Esimerkki Sysmon |
| EventProductVersion | Valinnainen | Merkkijono | Tapahtuman luovan tuotteen versio. Esimerkki 12.1 |
| EventVendor | Pakollinen | Merkkijono | Tapahtuman luovan tuotteen toimittaja. Arvon on oltava yksi toimittajissa ja tuotteissa luetelluista arvoista. Esimerkki Microsoft |
| EventSchema | Pakollinen | Lueteltu | Rakenne, jossa tapahtuma normalisoidaan. Jokainen rakenne dokumentoi rakenteensa nimen. |
| EventSchemaVersion | Pakollinen | SchemaVersion (merkkijono) | Rakenteen versio. Jokainen rakenne dokumentoi sen nykyisen version. |
| EventReportUrl | Valinnainen | URL -osoite (merkkijono) | -tapahtumassa annettu URL-osoite resurssille, joka antaa lisätietoja tapahtumasta. |
| Tapahtuman omistajan nimi | Valinnainen | Merkkijono | Tapahtuman omistaja, joka on yleensä osasto tai tytäryhtiö, jossa se luotiin. |
Laitekentät
Laitekenttien rooli on erilainen eri rakenteissa ja tapahtumatyypeissä. Esimerkki:
- Verkkoistunnon tapahtumissa laitekentät antavat yleensä tietoja laitteesta, joka loi tapahtuman
- Prosessitapahtumia varten laitteen kentät antavat tietoja laitteesta, jossa prosessi suoritetaan.
Jokainen rakenneasiakirja määrittää rakenteen laitteen roolin.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Dvc | Alias | Merkkijono | Sen laitteen yksilöllinen tunnus, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta rakenteen mukaan. Tämä kenttä voi olla alias DvcFQDN-, DvcId-, DvcHostname- tai DvcIpAddr-kentät . Jos kyseessä on pilvipalvelulähde, jolle ei ole näennäislaitetta, käytä samaa arvoa kuin Tapahtuman tuote - kenttä. |
| DvcIpAddr | Suositellut | IP-osoite | Sen laitteen IP-osoite, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta rakenteen mukaan. Esimerkki 45.21.42.12 |
| DvcHostname | Suositellut | Isäntänimi | Sen laitteen isäntänimi, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta rakenteen mukaan. Esimerkki ContosoDc |
| DvcDomain | Suositellut | Toimialue (merkkijono) | Sen laitteen toimialue, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta rakenteen mukaan. Esimerkki Contoso |
| DvcDomainType | Ehdollinen | Lueteltu |
DvcDomain-tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa Toimialuetyyppi. Huomautus: Tämä kenttä on pakollinen, jos DvcDomain-kenttää käytetään. |
| DvcFQDN | Valinnainen | FQDN (merkkijono) | Sen laitteen isäntänimi, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta rakenteen mukaan. Esimerkki Contoso\DESKTOP-1282V4DHuomautus: Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windowsin toimialue\isäntänimi-muotoa. DvcDomainType-kenttä kuvastaa käytettyä muotoa. |
| DvcDescription | Valinnainen | Merkkijono | Laitteeseen liittyvä kuvaava teksti. Esimerkki: Primary Domain Controller. |
| DvcId | Valinnainen | Merkkijono | Sen laitteen yksilöllinen tunnus, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta rakenteen mukaan. Esimerkki 41502da5-21b7-48ec-81c9-baeea8d7d669Jos saatavilla on useita tunnuksia, käytä luettelon ensimmäistä tunnusta ja tallenna muut käyttämällä kenttänimiä DvcAzureResourceId, DvcMDEid jne. |
| DvcIdType | Ehdollinen | Lueteltu |
DvcId-tyyppi. Sallittujen arvojen luettelo on AzureResourceId, MDEid, , MD4IoTid, VMConnectionId, AwsVpcId, VectraId, AppGateId, , ja .OtherFQDN Jos sitä käytetään FQDN laitetunnuksena, isäntänimeä on käytettävä uudelleen. Käytä sitä vain viimeisenä keinona.Huomautus: Tämä kenttä on pakollinen , jos DvcId-kenttää käytetään. |
| DvcMacAddr | Valinnainen | MAC-osoite | Sen laitteen MAC-osoite, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta. Esimerkki 00:1B:44:11:3A:B7 |
| DvcZone | Valinnainen | Merkkijono | Verkko, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta rakenteen mukaan. Raporttilaite määrittää vyöhykkeen. Esimerkki Dmz |
| DvcOs | Valinnainen | Merkkijono | Käyttöjärjestelmä, joka on käynnissä laitteessa, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta. Esimerkki Windows |
| DvcOsVersion | Valinnainen | Merkkijono | Sen laitteen käyttöjärjestelmän versio, jossa tapahtuma ilmeni tai jossa tapahtuma raportoitiin. Esimerkki 10 |
| DvcAction | Valinnainen | Merkkijono | Tietoturvajärjestelmien raportoinnissa järjestelmän suorittamat toimet, jos sovellettavissa. Esimerkki Blocked |
| DvcOriginalAction | Valinnainen | Merkkijono | Alkuperäinen DvcAction raportointilaitteen toimittamalla tavalla. |
| DvcInterface | Valinnainen | Merkkijono | Verkkoliittymä, johon tiedot siepattiin. Tämä kenttä liittyy yleensä verkkoon liittyvään toimintaan, jonka keskitason laite tai napautuslaite tallentaa. |
| DvcScopeId | Valinnainen | Merkkijono | Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. DvcScopeId-kartta tilaustunnukseen Azure ja tilitunnukseen AWS:ssä. |
| DvcScope | Valinnainen | Merkkijono | Pilviympäristön laajuus, jolle laite kuuluu. DvcScope yhdistää tilaustunnukseen Azure ja tilitunnukseen AWS:ssä. |
Muut kentät
Rakennepäivitykset
- Kenttä
EventOwnerlisättiin yleisiin kenttiin 1.12.2022 ja siten kaikkiin rakenteisiin. - Kenttä
EventUidlisättiin yleisiin kenttiin 26.12.2022 ja siten kaikkiin rakenteisiin.
Toimittajat ja tuotteet
Johdonmukaisuuden säilyttämiseksi sallittujen toimittajien ja tuotteiden luettelo määritetään osana ASIM:ää, eikä se välttämättä vastaa suoraan lähteen lähettämää arvoa, jos se on käytettävissä.
Tällä hetkellä tuettu luettelo toimittajista ja tuotteista, joita käytetään EventVendor - ja EventProduct-kentissä , on:
| Toimittajan | Tuotteet |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Jos kehität jäsennintä toimittajalle tai tuotteelle, jota ei ole lueteltu tässä, ota yhteyttä Microsoft Sentinel tiimiin ja varaa uudet sallitut toimittajat ja tuotteen valvojat.
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: