Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Alcuni campi sono comuni a tutti gli schemi ASIM. Ogni schema potrebbe aggiungere linee guida per l'uso di alcuni dei campi comuni nel contesto dello schema specifico. Ad esempio, i valori consentiti per il campo EventType possono variare in base allo schema, così come il valore del campo EventSchemaVersion .
Standard campi di Log Analytics
Log Analytics genera i campi seguenti, nella maggior parte dei casi, per ogni record. Possono essere sostituiti quando si crea un connettore personalizzato.
| Campo | Tipo | Discussione |
|---|---|---|
| TimeGenerated | Data/ora | Ora in cui l'evento è stato generato dal dispositivo di report. |
| Tipo | Stringa | Tabella originale da cui è stato recuperato il record. Questo campo è utile quando lo stesso evento può essere ricevuto tramite più canali in tabelle diverse e ha gli stessi valori EventVendor e EventProduct . Ad esempio, un evento Sysmon può essere raccolto nella Event tabella o nella WindowsEvent tabella. |
Nota
Log Analytics aggiunge anche altri campi meno rilevanti per i casi d'uso della sicurezza. Per altre informazioni, vedere Standard colonne nei log di monitoraggio Azure.
Campi ASIM comuni
I campi seguenti sono definiti da ASIM per tutti gli schemi:
Campi evento
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventMessage | Facoltativo | Stringa | Messaggio o descrizione generale, incluso o generato dal record. |
| EventCount | Obbligatorio | Numero intero | Numero di eventi descritti dal record. Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record potrebbe rappresentare più eventi. Per altre origini, impostare su 1. |
| EventStartTime | Obbligatorio | Data/ora | Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non viene specificato dal record di origine, questo campo esegue l'alias del campo TimeGenerated . |
| EventEndTime | Obbligatorio | Data/ora | Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non viene specificato dal record di origine, questo campo esegue l'alias del campo TimeGenerated . |
| Eventtype | Obbligatorio | Enumerato | Descrive l'operazione segnalata dal record. Ogni schema documenta l'elenco di valori validi per questo campo. Il valore originale, specifico dell'origine, viene archiviato nel campo EventOriginalType . |
| EventSubType | Facoltativo | Enumerato | Descrive una suddivisione dell'operazione segnalata nel campo EventType . Ogni schema documenta l'elenco di valori validi per questo campo. Il valore originale, specifico dell'origine, viene archiviato nel campo EventOriginalSubType . |
| EventResult | Obbligatorio | Enumerato | Uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicable). Il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. In alternativa, l'origine potrebbe fornire solo il campo EventResultDetails , che deve essere analizzato per derivare il valore EventResult. Esempio: Success |
| EventResultDetails | Consigliata | Enumerato | Motivo o dettagli del risultato segnalato nel campo EventResult . Ogni schema documenta l'elenco di valori validi per questo campo. Il valore originale, specifico dell'origine, viene archiviato nel campo EventOriginalResultDetails . Esempio: NXDOMAIN |
| EventUid | Consigliata | Stringa | ID univoco del record, assegnato da Microsoft Sentinel. Questo campo viene in genere mappato al _ItemId campo Log Analytics. |
| EventOriginalUid | Facoltativo | Stringa | ID univoco del record originale, se fornito dall'origine. Esempio: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Facoltativo | Stringa | Tipo di evento o ID originale, se fornito dall'origine. Ad esempio, questo campo viene usato per archiviare l'ID evento windows originale. Questo valore viene usato per derivare EventType, che deve avere solo uno dei valori documentati per ogni schema. Esempio: 4624 |
| EventOriginalSubType | Facoltativo | Stringa | Sottotipo o ID dell'evento originale, se fornito dall'origine. Ad esempio, questo campo viene usato per archiviare il tipo di accesso windows originale. Questo valore viene usato per derivare EventSubType, che deve avere solo uno dei valori documentati per ogni schema. Esempio: 2 |
| EventOriginalResultDetails | Facoltativo | Stringa | Dettagli del risultato originale forniti dall'origine. Questo valore viene usato per derivare EventResultDetails, che deve avere solo uno dei valori documentati per ogni schema. |
| EventSeverity | Consigliata | Enumerato | Gravità dell'evento. I valori validi sono: Informational, Low, Mediumo High. |
| EventOriginalSeverity | Facoltativo | Stringa | Gravità originale fornita dal dispositivo di segnalazione. Questo valore viene usato per derivare EventSeverity. |
| EventProduct | Obbligatorio | Stringa | Prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e Prodotti. Esempio: Sysmon |
| EventProductVersion | Facoltativo | Stringa | Versione del prodotto che genera l'evento. Esempio: 12.1 |
| EventVendor | Obbligatorio | Stringa | Fornitore del prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e Prodotti. Esempio: Microsoft |
| EventSchema | Obbligatorio | Enumerato | Schema in cui viene normalizzato l'evento. Ogni schema ne documenta il nome dello schema. |
| EventSchemaVersion | Obbligatorio | SchemaVersion (String) | Versione dello schema. Ogni schema ne documenta la versione corrente. |
| EventReportUrl | Facoltativo | URL (stringa) | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
| EventOwner | Facoltativo | Stringa | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
Campi dispositivo
Il ruolo dei campi del dispositivo è diverso per schemi e tipi di evento diversi. Ad esempio:
- Per gli eventi sessione di rete, i campi del dispositivo forniscono in genere informazioni sul dispositivo che ha generato l'evento
- Per gli eventi Processo, i campi del dispositivo forniscono informazioni sul dispositivo in cui viene eseguito il processo.
Ogni documento dello schema specifica il ruolo del dispositivo per lo schema.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Dvc | Alias | Stringa | Identificatore univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. Questo campo potrebbe aliasare i campi DvcFQDN, DvcId, DvcHostname o DvcIpAddr . Per le origini cloud, per le quali non è presente alcun dispositivo apparente, usare lo stesso valore del campo Prodotto evento . |
| DvcIpAddr | Consigliata | Indirizzo IP | Indirizzo IP del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. Esempio: 45.21.42.12 |
| DvcHostname | Consigliata | Nome host | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. Esempio: ContosoDc |
| DvcDomain | Consigliata | Dominio (stringa) | Dominio del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. Esempio: Contoso |
| DvcDomainType | Condizionale | Enumerato | Tipo di DvcDomain. Per un elenco dei valori consentiti e altre informazioni, vedere DomainType. Nota: questo campo è obbligatorio se viene usato il campo DvcDomain . |
| DvcFQDN | Facoltativo | FQDN (String) | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. Esempio: Contoso\DESKTOP-1282V4DNota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo DvcDomainType riflette il formato utilizzato. |
| DvcDescription | Facoltativo | Stringa | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| DvcId | Facoltativo | Stringa | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. Esempio: 41502da5-21b7-48ec-81c9-baeea8d7d669Se sono disponibili più ID, usare il primo dall'elenco e archiviarne gli altri usando i nomi di campo DvcAzureResourceId, DvcMDEid e così via. |
| DvcIdType | Condizionale | Enumerato | Tipo di DvcId. L'elenco dei valori consentiti è AzureResourceId, MDEid, MD4IoTid, VMConnectionId, AwsVpcId, AppGateIdVectraId, FQDN, e Other. L'uso FQDN di come ID dispositivo implica il riutilizzo del nome host. Usarlo solo come ultima risorsa.Nota: questo campo è obbligatorio se viene usato il campo DvcId . |
| DvcMacAddr | Facoltativo | MAC address | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: 00:1B:44:11:3A:B7 |
| DvcZone | Facoltativo | Stringa | Rete in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. La zona è definita dal dispositivo di report. Esempio: Dmz |
| DvcO | Facoltativo | Stringa | Sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: Windows |
| DvcOsVersion | Facoltativo | Stringa | Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: 10 |
| DvcAction | Facoltativo | Stringa | Per i sistemi di sicurezza di segnalazione, l'azione eseguita dal sistema, se applicabile. Esempio: Blocked |
| DvcOriginalAction | Facoltativo | Stringa | DvcAction originale fornito dal dispositivo di report. |
| DvcInterface | Facoltativo | Stringa | Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete, acquisita da un dispositivo intermedio o tocco. |
| DvcScopeId | Facoltativo | Stringa | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcScope | Facoltativo | Stringa | Ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
Altri campi
Aggiornamenti dello schema
- Il
EventOwnercampo è stato aggiunto ai campi comuni il 1° dicembre 2022 e quindi a tutti gli schemi. - Il
EventUidcampo è stato aggiunto ai campi comuni il 26 dicembre 2022 e quindi a tutti gli schemi.
Fornitori e prodotti
Per mantenere la coerenza, l'elenco di fornitori e prodotti consentiti viene impostato come parte di ASIM e potrebbe non corrispondere direttamente al valore inviato dall'origine, se disponibile.
L'elenco attualmente supportato di fornitori e prodotti usati rispettivamente nei campi EventVendor e EventProduct è:
| Fornitore | Prodotti |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Se si sviluppa un parser per un fornitore o un prodotto non elencato qui, contattare il team Microsoft Sentinel per allocare nuovi designatori di fornitori e prodotti consentiti.
Passaggi successivi
Per ulteriori informazioni, vedere: