Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Noen felt er felles for alle ASIM-skjemaer. Hvert skjema kan legge til retningslinjer for bruk av noen av fellesfeltene i konteksten til det bestemte skjemaet. Tillatte verdier for EventType-feltet kan for eksempel variere per skjema, i likhet med verdien i EventSchemaVersion-feltet .
Standard Log Analytics-felt
Log Analytics genererer følgende felt, i de fleste tilfeller, for hver post. De kan overstyres når du oppretter en egendefinert kobling.
| Felt | Type: | Diskusjon |
|---|---|---|
| TimeGenerated | Dato/klokkeslett | Tidspunktet da hendelsen ble generert av rapporteringsenheten. |
| Type | Streng | Den opprinnelige tabellen som posten ble hentet fra. Dette feltet er nyttig når den samme hendelsen kan mottas via flere kanaler til forskjellige tabeller, og har de samme EventVendor - og EventProduct-verdiene . En Sysmon-hendelse kan for eksempel samles inn enten i Event tabellen eller til tabellen WindowsEvent . |
Obs!
Log Analytics legger også til andre felt som er mindre relevante for brukstilfeller for sikkerhet. Hvis du vil ha mer informasjon, kan du se Standard kolonner i Azure overvåkingslogger.
Vanlige ASIM-felt
Følgende felt er definert av ASIM for alle skjemaer:
Hendelsesfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| EventMessage | Valgfri | Streng | En generell melding eller beskrivelse, enten inkludert i eller generert fra posten. |
| EventCount | Obligatorisk | Heltall | Antall hendelser som er beskrevet av posten. Denne verdien brukes når kilden støtter aggregasjon, og én enkelt post kan representere flere hendelser. For andre kilder, satt til 1. |
| EventStartTime | Obligatorisk | Dato/klokkeslett | Tidspunktet da hendelsen startet. Hvis kilden støtter aggregasjon og posten representerer flere hendelser, tidspunktet da den første hendelsen ble generert. Hvis ikke angitt av kildeposten, aliaserer dette feltet TimeGenerated-feltet . |
| EventEndTime | Obligatorisk | Dato/klokkeslett | Tidspunktet da hendelsen ble avsluttet. Hvis kilden støtter aggregasjon og posten representerer flere hendelser, tidspunktet da den siste hendelsen ble generert. Hvis ikke angitt av kildeposten, aliaserer dette feltet TimeGenerated-feltet . |
| Eventtype | Obligatorisk | Nummerert | Beskriver operasjonen som er rapportert av posten. Hvert skjema dokumenterer listen over verdier som er gyldige for dette feltet. Den opprinnelige kildespesifikke verdien lagres i EventOriginalType-feltet . |
| EventSubType | Valgfri | Nummerert | Beskriver en underinndeling av operasjonen som er rapportert i EventType-feltet . Hvert skjema dokumenterer listen over verdier som er gyldige for dette feltet. Den opprinnelige kildespesifikke verdien lagres i EventOriginalSubType-feltet . |
| EventResult | Obligatorisk | Nummerert | Én av følgende verdier: Success, Partial, Failure, NA (Not Applicable). Verdien kan angis i kildeposten ved hjelp av ulike termer, som skal normaliseres til disse verdiene. Kilden kan eventuelt bare angi EventResultDetails-feltet , som skal analyseres for å avlede EventResult-verdien. Eksempel: Success |
| EventResultDetails | Anbefalt | Nummerert | Årsak eller detaljer for resultatet rapportert i EventResult-feltet . Hvert skjema dokumenterer listen over verdier som er gyldige for dette feltet. Den opprinnelige kildespesifikke verdien lagres i EventOriginalResultDetails-feltet . Eksempel: NXDOMAIN |
| EventUid | Anbefalt | Streng | Den unike IDen for posten, tilordnet av Microsoft Sentinel. Dette feltet er vanligvis tilordnet til _ItemId Logganalyse-feltet. |
| EventOriginalUid | Valgfri | Streng | En unik ID for den opprinnelige posten, hvis den leveres av kilden. Eksempel: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Valgfri | Streng | Den opprinnelige hendelsestypen eller ID-en, hvis angitt av kilden. Dette feltet brukes for eksempel til å lagre den opprinnelige Windows-hendelses-ID-en. Denne verdien brukes til å avlede EventType, som bare skal ha én av verdiene som er dokumentert for hvert skjema. Eksempel: 4624 |
| EventOriginalSubType | Valgfri | Streng | Den opprinnelige hendelsesundertypen eller ID-en, hvis angitt av kilden. Dette feltet brukes for eksempel til å lagre den opprinnelige Windows-påloggingstypen. Denne verdien brukes til å avlede EventSubType, som bare skal ha én av verdiene som er dokumentert for hvert skjema. Eksempel: 2 |
| EventOriginalResultDetails | Valgfri | Streng | De opprinnelige resultatdetaljene fra kilden. Denne verdien brukes til å avlede EventResultDetails, som bare skal ha én av verdiene som er dokumentert for hvert skjema. |
| EventSeverity | Anbefalt | Nummerert | Alvorsgraden for hendelsen. Gyldige verdier er: Informational, Low, Mediumeller High. |
| EventOriginalSeverity | Valgfri | Streng | Den opprinnelige alvorsgraden som angitt av rapporteringsenheten. Denne verdien brukes til å avlede EventSeverity. |
| EventProduct | Obligatorisk | Streng | Produktet som genererer hendelsen. Verdien må være én av verdiene som er oppført i leverandører og produkter. Eksempel: Sysmon |
| EventProductVersion | Valgfri | Streng | Versjonen av produktet som genererer hendelsen. Eksempel: 12.1 |
| EventVendor | Obligatorisk | Streng | Leverandøren av produktet som genererer hendelsen. Verdien må være én av verdiene som er oppført i leverandører og produkter. Eksempel: Microsoft |
| EventSchema | Obligatorisk | Nummerert | Skjemaet hendelsen er normalisert til. Hvert skjema dokumenterer skjemanavnet. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versjonen av skjemaet. Hvert skjema dokumenterer gjeldende versjon. |
| EventReportUrl | Valgfri | URL-adresse (streng) | En nettadresse angitt i hendelsen for en ressurs som gir mer informasjon om hendelsen. |
| EventOwner | Valgfri | Streng | Eieren av hendelsen, som vanligvis er avdelingen eller datterselskapet den ble generert i. |
Enhetsfelt
Rollen til enhetsfeltene er forskjellig for ulike skjemaer og hendelsestyper. Eksempel:
- For nettverksøkthendelser gir enhetsfelt vanligvis informasjon om enheten som genererte hendelsen
- For prosesshendelser gir enhetsfeltene informasjon om enheten som prosessen utføres på.
Hvert skjemadokument angir rollen til enheten for skjemaet.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Dvc | Alias | Streng | En unik identifikator for enheten som hendelsen oppstod på, eller som rapporterte hendelsen, avhengig av skjemaet. Dette feltet kan alias for feltene DvcFQDN, DvcId, DvcHostname eller DvcIpAddr . For skykilder, som det ikke finnes noen tilsynelatende enhet for, bruker du samme verdi som feltet Hendelsesprodukt . |
| DvcIpAddr | Anbefalt | IP-adresse | IP-adressen til enheten som hendelsen oppstod på, eller som rapporterte hendelsen, avhengig av skjemaet. Eksempel: 45.21.42.12 |
| DvcHostname | Anbefalt | Vertsnavn | Vertsnavnet til enheten som hendelsen oppstod på, eller som rapporterte hendelsen, avhengig av skjemaet. Eksempel: ContosoDc |
| DvcDomain | Anbefalt | Domene (streng) | Domenet til enheten der hendelsen oppstod, eller som rapporterte hendelsen, avhengig av skjemaet. Eksempel: Contoso |
| DvcDomainType | Betinget | Nummerert | Typen DvcDomain. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DomainType. Obs! Dette feltet er obligatorisk hvis DvcDomain-feltet brukes. |
| DvcFQDN | Valgfri | FQDN (streng) | Vertsnavnet til enheten som hendelsen oppstod på, eller som rapporterte hendelsen, avhengig av skjemaet. Eksempel: Contoso\DESKTOP-1282V4DObs! Dette feltet støtter både tradisjonelt FQDN-format og Windows-domene\vertsnavnformat. DvcDomainType-feltet gjenspeiler formatet som brukes. |
| DvcDescription | Valgfri | Streng | En beskrivende tekst som er knyttet til enheten. Eksempel: Primary Domain Controller. |
| DvcId | Valgfri | Streng | Den unike IDen for enheten som hendelsen oppstod på, eller som rapporterte hendelsen, avhengig av skjemaet. Eksempel: 41502da5-21b7-48ec-81c9-baeea8d7d669Hvis flere IDer er tilgjengelige, bruker du den første fra listen og lagrer de andre ved hjelp av feltnavnene DvcAzureResourceId, DvcMDEid osv. |
| DvcIdType | Betinget | Nummerert | Typen DvcId. Listen over tillatte verdier er AzureResourceId, , MDEidMD4IoTid, VMConnectionId, AwsVpcId, VectraIdAppGateId, FQDNog Other. Hvis du bruker FQDN som enhets-ID, betyr det at vertsnavnet brukes på nytt. Bruk den bare som en siste utvei.Obs! Dette feltet er obligatorisk hvis DvcId-feltet brukes. |
| DvcMacAddr | Valgfri | MAC-adresse | MAC-adressen til enheten der hendelsen oppstod, eller som rapporterte hendelsen. Eksempel: 00:1B:44:11:3A:B7 |
| DvcZone | Valgfri | Streng | Nettverket der hendelsen oppstod eller som rapporterte hendelsen, avhengig av skjemaet. Sonen er definert av rapporteringsenheten. Eksempel: Dmz |
| DvcOer | Valgfri | Streng | Operativsystemet som kjører på enheten der hendelsen oppstod, eller som rapporterte hendelsen. Eksempel: Windows |
| DvcOsVersion | Valgfri | Streng | Versjonen av operativsystemet på enheten der hendelsen oppstod, eller som rapporterte hendelsen. Eksempel: 10 |
| DvcAction | Valgfri | Streng | For rapportering av sikkerhetssystemer, handlingen som utføres av systemet, hvis aktuelt. Eksempel: Blocked |
| DvcOriginalAction | Valgfri | Streng | Den opprinnelige DvcAction som leveres av rapporteringsenheten. |
| DvcInterface | Valgfri | Streng | Nettverksgrensesnittet som dataene ble registrert på. Dette feltet er vanligvis relevant for nettverksrelatert aktivitet, som registreres av en mellomliggende enhet eller trykker enhet. |
| DvcScopeId | Valgfri | Streng | Omfangs-ID-en for skyplattformen som enheten tilhører. DvcScopeId tilordnes til en abonnements-ID på Azure og til en konto-ID på AWS. |
| DvcScope | Valgfri | Streng | Omfanget for skyplattformen som enheten tilhører. DvcScope tilordner til en abonnements-ID på Azure og til en konto-ID på AWS. |
Andre felt
Skjemaoppdateringer
- Feltet
EventOwnerble lagt til fellesfeltene 1. desember 2022, og derfor i alle skjemaene. - Feltet
EventUidble lagt til fellesfeltene 26. desember 2022, og derfor i alle skjemaene.
Leverandører og produkter
For å opprettholde konsekvens er listen over tillatte leverandører og produkter angitt som en del av ASIM, og tilsvarer kanskje ikke direkte verdien som sendes av kilden, når den er tilgjengelig.
Listen over leverandører og produkter som brukes i feltene EventVendor og EventProduct , støttes for øyeblikket:
| Leverandør | Produkter |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Hvis du utvikler en analyse for en leverandør eller et produkt som ikke er oppført her, kan du kontakte Microsoft Sentinel-teamet for å tildele nye tillatte leverandør- og produktutpekere.
Neste trinn
Hvis du vil ha mer informasjon, kan du se: