高级安全信息模型 (ASIM) 通用架构字段参考(预览版)

所有 ASIM 架构有一些通用的字段。 每个架构可以添加有关在特定架构上下文中使用一些通用字段的准则。 例如,EventType 字段允许的值可能因每个架构而异,EventSchemaVersion 字段的值同样如此。

标准 Log Analytics 字段

在大多数情况下,Log Analytics 针对每条记录生成以下字段。 在创建自定义连接器时可以替代这些字段。

字段 类型 讨论 (Discussion)
TimeGenerated datetime 报告设备生成事件的时间。
类型 字符串 从中提取记录的原始表。 当同一事件可通过多个通道传入不同的表,并且具有相同的 EventVendorEventProduct 值时,此字段很有用。

例如,Sysmon 事件可以传入 Event 表或 WindowsEvent 表。

注意

Log Analytics 还会添加与安全用例不太相关的其他字段。 有关详细信息,请参阅 Azure Monitor 日志中的标准列

通用 ASIM 字段

ASIM 为所有架构定义了以下字段:

事件字段

字段 类型 说明
EventMessage 可选 字符串 一般消息或说明,包含在记录中或者根据记录生成。
EventCount 必需 Integer 记录描述的事件数。

当源支持聚合且单个记录可以表示多个事件时,将使用此值。

对于其他源,设置为 1
EventStartTime 必需 日期/时间 事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
EventEndTime 必需 日期/时间 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
EventType 必需 Enumerated 描述记录报告的操作。 每个架构将记录此字段的有效值列表。 原始的、特定于源的值存储在 EventOriginalType 字段中。
EventSubType 可选 Enumerated 描述 EventType 字段中报告的操作的细分。 每个架构将记录此字段的有效值列表。 原始的、特定于源的值存储在 EventOriginalSubType 字段中。
EventResult 必需 Enumerated 以下值之一:Success、Partial、Failure、NA(不适用) 。

可以在源记录中使用不同字词提供该值,这些字词应规范化为上述值。 或者,源可以只提供 EventResultDetails 字段,应分析该字段以派生 EventResult 值。

示例: Success
EventResultDetails 建议 Enumerated EventResult 字段中报告的结果的原因或详细信息。 每个架构将记录此字段的有效值列表。 原始的、特定于源的值存储在 EventOriginalResultDetails 字段中。

示例: NXDOMAIN
EventUid 建议 字符串 Microsoft Sentinel 为记录分配的唯一 ID。 此字段通常映射到 _ItemId Log Analytics 字段。
EventOriginalUid 可选 字符串 原始记录的唯一 ID(如果已由源提供)。

示例: 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType 可选 字符串 原始事件类型或 ID(如果已由源提供)。 例如,此字段用于存储原始 Windows 事件 ID。 此值用于派生 EventType,其中应只包含针对每个架构记录的一个值。

示例:4624
EventOriginalSubType 可选 字符串 原始事件子类型或 ID(如果已由源提供)。 例如,此字段用于存储原始 Windows 登录类型。 此值用于派生 EventSubType,其中应只包含针对每个架构记录的一个值。

示例: 2
EventOriginalResultDetails 可选 字符串 源提供的原始结果详细信息。 此值用于派生 EventResultDetails,其中应只包含针对每个架构记录的一个值。
EventSeverity 建议 Enumerated 事件的严重性。 有效值为 InformationalLowMediumHigh
EventOriginalSeverity 可选 字符串 报告设备提供的原始严重性。 此值用于派生 EventSeverity
“EventProduct” 必需 字符串 生成事件的产品。 该值应是供应商和产品中列出的值之一。

示例:Sysmon
EventProductVersion 可选 字符串 生成事件的产品的版本。

示例: 12.1
EventVendor 必需 字符串 生成事件的产品的供应商。 该值应是供应商和产品中列出的值之一。

示例:Microsoft

EventSchema 必需 字符串 事件要规范化成的架构。 每个架构会记录其架构名称。
EventSchemaVersion 必需 字符串 架构的版本。 每个架构将记录其当前版本。
EventReportUrl 可选 字符串 在资源的事件中提供的 URL,提供有关该事件的更多信息。
EventOwner 可选 String 事件的所有者,通常是生成事件的部门或子公司。

设备字段

设备字段的角色因不同的架构和事件类型而异。 例如:

  • 对于网络会话事件,设备字段通常提供生成了事件的设备的相关信息
  • 对于进程事件,设备字段提供执行了进程的设备的相关信息。

每个架构文档指定架构的设备角色。

字段 类型 说明
Dvc Alias 字符串 发生了事件或报告了事件的设备的唯一标识符,具体取决于架构。

此字段的别名可能是 DvcFQDNDvcIdDvcHostnameDvcIpAddr 字段。 对于没有明确的设备的云源,请使用与 EventProduct 字段相同的值。
DvcIpAddr 建议 IP 地址 发生了事件或报告了事件的设备的 IP 地址,具体取决于架构。

示例: 45.21.42.12
DvcHostname 建议 主机名 发生了事件或报告了事件的设备的主机名,具体取决于架构。

示例:ContosoDc
DvcDomain 建议 字符串 发生了事件或报告了事件的设备的域,具体取决于架构。

示例:Contoso
DvcDomainType 条件逻辑 Enumerated DvcDomain 的类型。 有关允许值的列表和其他信息,请参阅 DomainType

注意:如果使用了 DvcDomain 字段,则此字段是必填的。
DvcFQDN 可选 字符串 发生了事件或报告了事件的设备的主机名,具体取决于架构。

示例:Contoso\DESKTOP-1282V4D

注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 DvcDomainType 字段反映使用的格式。
DvcDescription 可选 字符串 与设备关联的描述性文本。 例如:Primary Domain Controller
DvcId 可选 字符串 发生了事件或报告了事件的设备的唯一 ID,具体取决于架构。

示例:41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType 条件逻辑 Enumerated DvcId 的类型。 有关允许值的列表和其他信息,请参阅 DvcIdType
- MDEid

如果有多个可用 ID,请使用列表中的第一个 ID,并分别使用字段名称 DvcAzureResourceId 和 DvcMDEid 存储其他 ID。

注意:如果使用了 DvcId 字段,则此字段是必填的。
DvcMacAddr 可选 MAC 发生了事件或报告了事件的设备的 MAC 地址。

示例: 00:1B:44:11:3A:B7
DvcZone 可选 字符串 发生了事件或报告了事件的网络,具体取决于架构。 区域由报告设备定义。

示例: Dmz
DvcOs 可选 字符串 发生了事件或报告了事件的设备上运行的操作系统。

示例: Windows
DvcOsVersion 可选 字符串 发生了事件或报告了事件的设备上的操作系统版本。

示例: 10
DvcAction 建议 字符串 对于报告安全系统,为系统执行的操作(如果适用)。

示例: Blocked
DvcOriginalAction 可选 字符串 报告设备提供的原始 DvcAction
DvcInterface 可选 String 捕获数据的网络接口。 此字段通常与由中间或点击设备捕获的网络相关活动相关。
DvcScopeId 可选 String 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID。
DvcScope 可选 String 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID。

其他字段

字段 类型 说明
AdditionalFields 可选 动态 如果源提供了值得保留的附加信息,请使用原始字段名称保留这些信息,或者创建动态 AdditionalFields 字段,并在其中以键/值对的形式添加这些附加信息。
ASimMatchingIpAddr 建议 字符串 分析程序使用 ipaddr_has_any_prefix 筛选参数时,此字段将设置为值 SrcIpAddrDstIpAddrBoth 之一以反映匹配的字段。
ASimMatchingHostname 建议 字符串 分析程序使用 hostname_has_any 筛选参数时,此字段将设置为值 SrcHostnameDstHostnameBoth 之一以反映匹配的字段。

架构更新

  • EventOwner 字段已于 2022 年 12 月 1 日添加到了公共字段,因而添加到了所有架构。
  • EventUid 字段已于 2022 年 12 月 26 日添加到了公共字段,因而添加到了所有架构。

供应商和产品

为保持一致性,允许的供应商和产品列表设为 ASIM 的一部分,并且可能不直接对应于源发送的值(如果可用)。

EventVendorEventProduct 字段中各自使用的且当前支持的供应商和产品的列表如下:

Vendor 产品
Cisco ASA
Microsoft - Microsoft Entra ID
- Azure
- Azure Firewall
- Azure Blob Storage
- Azure File Storage
- Azure Queue Storage
- Azure Table Storage
- DNS Server
- Security Events
- SharePoint
- OneDrive
- Sysmon
- Sysmon for Linux
- Windows Firewall
Linux - su
- sudo
Palo Alto - PanOS
- CDL
Zscaler - ZIA DNS
- ZIA Firewall
- ZIA Proxy

如果你正在为此处未列出的供应商或产品开发分析程序,请联系 Microsoft Sentinel 团队,以分配新的允许的供应商和产品指示符。

后续步骤

有关详细信息,请参阅: