你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
某些字段是所有 ASIM 架构通用的。 每个架构可能会添加指南,以便在特定架构的上下文中使用一些常见字段。 例如, EventType 字段的允许值可能因架构而异, EventSchemaVersion 字段的值也可能有所不同。
Standard Log Analytics 字段
在大多数情况下,Log Analytics 会为每个记录生成以下字段。 创建自定义 连接器时,可以重写它们。
| 字段 | 类型 | 讨论 |
|---|---|---|
| TimeGenerated | 日期/时间 | 报告设备生成事件的时间。 |
| Type | String | 从中提取记录的原始表。 当同一事件可以通过多个通道接收到不同表,并且具有相同 的 EventVendor 和 EventProduct 值时,此字段非常有用。 例如,可以将 Sysmon 事件收集到 Event 表或 WindowsEvent 表。 |
注意
Log Analytics 还会添加与安全用例不太相关的其他字段。 有关详细信息,请参阅 Azure Monitor 日志中的Standard列。
常见 ASIM 字段
ASIM 为所有架构定义以下字段:
事件字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| EventMessage | 可选 | String | 常规消息或说明,包含在记录中或从记录生成。 |
| EventCount | 强制 | 整数 | 记录描述的事件数。 如果源支持聚合,并且单个记录可能表示多个事件,则使用此值。 对于其他源,请将 设置为 1。 |
| EventStartTime | 强制 | 日期/时间 | 事件开始的时间。 如果源支持聚合,并且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供,则此字段将别名 TimeGenerated 字段。 |
| EventEndTime | 强制 | 日期/时间 | 事件结束的时间。 如果源支持聚合,并且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供,则此字段将别名 TimeGenerated 字段。 |
| EventType | 强制 | 枚举 | 描述记录报告的操作。 每个架构都记录了对此字段有效的值列表。 源特定的原始值存储在 EventOriginalType 字段中。 |
| EventSubType | 可选 | 枚举 | 描述 EventType 字段中报告的操作的细分。 每个架构都记录了对此字段有效的值列表。 源特定的原始值存储在 EventOriginalSubType 字段中。 |
| EventResult | 强制 | 枚举 | 以下值之一: Success、 Partial、 Failure、 NA (不适用) 。 可以通过使用不同的术语在源记录中提供该值,这些术语应规范化为这些值。 或者,源可能仅提供 EventResultDetails 字段,应对其进行分析以派生 EventResult 值。 例如: Success |
| EventResultDetails | 建议 | 枚举 |
在 EventResult 字段中报告的结果的原因或详细信息。 每个架构都记录了对此字段有效的值列表。 源特定的原始值存储在 EventOriginalResultDetails 字段中。 例如: NXDOMAIN |
| EventUid | 建议 | String | 记录的唯一 ID,由 Microsoft Sentinel 分配。 此字段通常映射到 _ItemId Log Analytics 字段。 |
| EventOriginalUid | 可选 | String | 原始记录的唯一 ID(如果由源提供)。 例如: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | 可选 | String | 原始事件类型或 ID(如果由源提供)。 例如,此字段用于存储原始 Windows 事件 ID。 此值用于派生 EventType,它应只具有为每个架构记录的值之一。 例如: 4624 |
| EventOriginalSubType | 可选 | String | 原始事件子类型或 ID(如果由源提供)。 例如,此字段用于存储原始 Windows 登录类型。 此值用于派生 EventSubType,它应只具有为每个架构记录的值之一。 例如: 2 |
| EventOriginalResultDetails | 可选 | String | 源提供的原始结果详细信息。 此值用于派生 EventResultDetails,它应只具有为每个架构记录的值之一。 |
| EventSeverity | 建议 | 枚举 | 事件的严重性。 有效值为: Informational、 Low、 Medium或 High。 |
| EventOriginalSeverity | 可选 | String | 报告设备提供的原始严重性。 此值用于派生 EventSeverity。 |
| EventProduct | 强制 | String | 生成事件的产品。 该值应为 供应商和产品中列出的值之一。 例如: Sysmon |
| EventProductVersion | 可选 | String | 生成事件的产品的版本。 例如: 12.1 |
| EventVendor | 强制 | String | 生成事件的产品的供应商。 该值应为 供应商和产品中列出的值之一。 例如: Microsoft |
| EventSchema | 强制 | 枚举 | 将事件规范化到的架构。 每个架构都记录其架构名称。 |
| EventSchemaVersion | 强制 | SchemaVersion (String) | 架构的版本。 每个架构都记录了其当前版本。 |
| EventReportUrl | 可选 | URL (字符串) | 事件中为资源提供的 URL,提供有关事件的详细信息。 |
| EventOwner | 可选 | String | 事件的所有者,通常是生成事件的部门或子公司。 |
设备字段
设备字段的角色对于不同的架构和事件类型是不同的。 例如:
- 对于网络会话事件,设备字段通常提供有关生成事件的设备的信息
- 对于“进程”事件,设备字段提供有关执行进程的设备的信息。
每个架构文档为架构指定设备的角色。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| Dvc | 别名 | String | 发生事件或报告事件的设备的唯一标识符,具体取决于架构。 此字段可能会对 DvcFQDN、 DvcId、 DvcHostname 或 DvcIpAddr 字段进行 别名。 对于没有明显设备的云源,请使用与 “事件产品 ”字段相同的值。 |
| DvcIpAddr | 建议 | IP 地址 | 发生事件或报告事件的设备的 IP 地址,具体取决于架构。 例如: 45.21.42.12 |
| DvcHostname | 建议 | 主机名称 | 发生事件或报告事件的设备的主机名,具体取决于架构。 例如: ContosoDc |
| DvcDomain | 建议 | 域 (字符串) | 发生事件或报告事件的设备的域,具体取决于架构。 例如: Contoso |
| DvcDomainType | 条件 | 枚举 |
DvcDomain 的类型。 有关允许值的列表和其他信息,请参阅 DomainType。 注意:如果使用 DvcDomain 字段,则此字段是必需的。 |
| DvcFQDN | 可选 | FQDN (字符串) | 发生事件或报告事件的设备的主机名,具体取决于架构。 例如: Contoso\DESKTOP-1282V4D注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 DvcDomainType 字段反映所使用的格式。 |
| DvcDescription | 可选 | String | 与设备关联的描述性文本。 例如:Primary Domain Controller。 |
| DvcId | 可选 | String | 发生事件或报告事件的设备的唯一 ID,具体取决于架构。 例如: 41502da5-21b7-48ec-81c9-baeea8d7d669如果有多个 ID 可用,请使用列表中的第一个 ID,并使用字段名称 DvcAzureResourceId、 DvcMDEid 等存储其他 ID。 |
| DvcIdType | 条件 | 枚举 |
DvcId 的类型。 允许的值列表为 、、、、AppGateIdVMConnectionIdMD4IoTidVectraIdAwsVpcId、、、 FQDN和 。OtherMDEidAzureResourceId 使用 FQDN 作为设备 ID 表示重用主机名。 仅将其用作最后手段。注意:如果使用 DvcId 字段,则需要此字段。 |
| DvcMacAddr | 可选 | MAC 地址 | 发生事件或报告事件的设备的 MAC 地址。 例如: 00:1B:44:11:3A:B7 |
| DvcZone | 可选 | String | 发生事件或报告事件的网络,具体取决于架构。 区域由报告设备定义。 例如: Dmz |
| DvcOs | 可选 | String | 在发生事件或报告事件的设备上运行的操作系统。 例如: Windows |
| DvcOsVersion | 可选 | String | 发生事件或报告事件的设备上的操作系统版本。 例如: 10 |
| DvcAction | 可选 | String | 对于报告安全系统,系统执行的操作(如果适用)。 例如: Blocked |
| DvcOriginalAction | 可选 | String | 报告设备提供的原始 DvcAction 。 |
| DvcInterface | 可选 | String | 在其中捕获数据的网络接口。 此字段通常与网络相关活动相关,该活动由中间设备或点击设备捕获。 |
| DvcScopeId | 可选 | String | 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcScope | 可选 | String | 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
其他字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| AdditionalFields | 可选 | Dynamic | 如果源提供了值得保留的其他信息,请将其保留为原始字段名称,或创建动态 AdditionalFields 字段,并将额外信息添加为键/值对。 |
架构更新
- 字段
EventOwner已于 2022 年 12 月 1 日添加到公共字段,因此已添加到所有架构。 - 字段
EventUid已于 2022 年 12 月 26 日添加到公共字段,因此已添加到所有架构。
供应商和产品
为了保持一致性,允许的供应商和产品列表设置为 ASIM 的一部分,并且可能不直接对应于源发送的值(如果可用)。
EventVendor 和 EventProduct 字段中当前支持的供应商和产品列表分别为:
| 供应商 | 产品 |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
如果要为此处未列出的供应商或产品开发分析程序,请联系Microsoft Sentinel团队以分配新的允许的供应商和产品指定符。
后续步骤
有关更多信息,请参阅: