高级安全信息模型 (ASIM) 通用架构字段参考(预览版)
所有 ASIM 架构有一些通用的字段。 每个架构可以添加有关在特定架构上下文中使用一些通用字段的准则。 例如,EventType 字段允许的值可能因每个架构而异,EventSchemaVersion 字段的值同样如此。
标准 Log Analytics 字段
在大多数情况下,Log Analytics 针对每条记录生成以下字段。 在创建自定义连接器时可以替代这些字段。
| 字段 | 类型 | 讨论 (Discussion) |
|---|---|---|
| TimeGenerated | datetime | 报告设备生成事件的时间。 |
| 类型 | 字符串 | 从中提取记录的原始表。 当同一事件可通过多个通道传入不同的表,并且具有相同的 EventVendor 和 EventProduct 值时,此字段很有用。 例如,Sysmon 事件可以传入 Event 表或 WindowsEvent 表。 |
注意
Log Analytics 还会添加与安全用例不太相关的其他字段。 有关详细信息,请参阅 Azure Monitor 日志中的标准列。
通用 ASIM 字段
ASIM 为所有架构定义了以下字段:
事件字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| EventMessage | 可选 | 字符串 | 一般消息或说明,包含在记录中或者根据记录生成。 |
| EventCount | 必需 | Integer | 记录描述的事件数。 当源支持聚合且单个记录可以表示多个事件时,将使用此值。 对于其他源,设置为 1。 |
| EventStartTime | 必需 | 日期/时间 | 事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventEndTime | 必需 | 日期/时间 | 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventType | 必需 | Enumerated | 描述记录报告的操作。 每个架构将记录此字段的有效值列表。 原始的、特定于源的值存储在 EventOriginalType 字段中。 |
| EventSubType | 可选 | Enumerated | 描述 EventType 字段中报告的操作的细分。 每个架构将记录此字段的有效值列表。 原始的、特定于源的值存储在 EventOriginalSubType 字段中。 |
| EventResult | 必需 | Enumerated | 以下值之一:Success、Partial、Failure、NA(不适用) 。 可以在源记录中使用不同字词提供该值,这些字词应规范化为上述值。 或者,源可以只提供 EventResultDetails 字段,应分析该字段以派生 EventResult 值。 示例: Success |
| EventResultDetails | 建议 | Enumerated | EventResult 字段中报告的结果的原因或详细信息。 每个架构将记录此字段的有效值列表。 原始的、特定于源的值存储在 EventOriginalResultDetails 字段中。 示例: NXDOMAIN |
| EventUid | 建议 | 字符串 | Microsoft Sentinel 为记录分配的唯一 ID。 此字段通常映射到 _ItemId Log Analytics 字段。 |
| EventOriginalUid | 可选 | 字符串 | 原始记录的唯一 ID(如果已由源提供)。 示例: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | 可选 | 字符串 | 原始事件类型或 ID(如果已由源提供)。 例如,此字段用于存储原始 Windows 事件 ID。 此值用于派生 EventType,其中应只包含针对每个架构记录的一个值。 示例: 4624 |
| EventOriginalSubType | 可选 | 字符串 | 原始事件子类型或 ID(如果已由源提供)。 例如,此字段用于存储原始 Windows 登录类型。 此值用于派生 EventSubType,其中应只包含针对每个架构记录的一个值。 示例: 2 |
| EventOriginalResultDetails | 可选 | 字符串 | 源提供的原始结果详细信息。 此值用于派生 EventResultDetails,其中应只包含针对每个架构记录的一个值。 |
| EventSeverity | 建议 | Enumerated | 事件的严重性。 有效值为 Informational、Low、Medium 或 High。 |
| EventOriginalSeverity | 可选 | 字符串 | 报告设备提供的原始严重性。 此值用于派生 EventSeverity。 |
| “EventProduct” | 必需 | 字符串 | 生成事件的产品。 该值应是供应商和产品中列出的值之一。 示例: Sysmon |
| EventProductVersion | 可选 | 字符串 | 生成事件的产品的版本。 示例: 12.1 |
| EventVendor | 必需 | 字符串 | 生成事件的产品的供应商。 该值应是供应商和产品中列出的值之一。 示例: Microsoft |
| EventSchema | 必需 | 字符串 | 事件要规范化成的架构。 每个架构会记录其架构名称。 |
| EventSchemaVersion | 必需 | 字符串 | 架构的版本。 每个架构将记录其当前版本。 |
| EventReportUrl | 可选 | 字符串 | 在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
| EventOwner | 可选 | String | 事件的所有者,通常是生成事件的部门或子公司。 |
设备字段
设备字段的角色因不同的架构和事件类型而异。 例如:
- 对于网络会话事件,设备字段通常提供生成了事件的设备的相关信息
- 对于进程事件,设备字段提供执行了进程的设备的相关信息。
每个架构文档指定架构的设备角色。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| Dvc | Alias | 字符串 | 发生了事件或报告了事件的设备的唯一标识符,具体取决于架构。 此字段的别名可能是 DvcFQDN、DvcId、DvcHostname 或 DvcIpAddr 字段。 对于没有明确的设备的云源,请使用与 EventProduct 字段相同的值。 |
| DvcIpAddr | 建议 | IP 地址 | 发生了事件或报告了事件的设备的 IP 地址,具体取决于架构。 示例: 45.21.42.12 |
| DvcHostname | 建议 | 主机名 | 发生了事件或报告了事件的设备的主机名,具体取决于架构。 示例: ContosoDc |
| DvcDomain | 建议 | 字符串 | 发生了事件或报告了事件的设备的域,具体取决于架构。 示例: Contoso |
| DvcDomainType | 条件逻辑 | Enumerated | DvcDomain 的类型。 有关允许值的列表和其他信息,请参阅 DomainType。 注意:如果使用了 DvcDomain 字段,则此字段是必填的。 |
| DvcFQDN | 可选 | 字符串 | 发生了事件或报告了事件的设备的主机名,具体取决于架构。 示例: Contoso\DESKTOP-1282V4D注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 DvcDomainType 字段反映使用的格式。 |
| DvcDescription | 可选 | 字符串 | 与设备关联的描述性文本。 例如:Primary Domain Controller。 |
| DvcId | 可选 | 字符串 | 发生了事件或报告了事件的设备的唯一 ID,具体取决于架构。 示例: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | 条件逻辑 | Enumerated | DvcId 的类型。 有关允许值的列表和其他信息,请参阅 DvcIdType。 - MDEid如果有多个可用 ID,请使用列表中的第一个 ID,并分别使用字段名称 DvcAzureResourceId 和 DvcMDEid 存储其他 ID。 注意:如果使用了 DvcId 字段,则此字段是必填的。 |
| DvcMacAddr | 可选 | MAC | 发生了事件或报告了事件的设备的 MAC 地址。 示例: 00:1B:44:11:3A:B7 |
| DvcZone | 可选 | 字符串 | 发生了事件或报告了事件的网络,具体取决于架构。 区域由报告设备定义。 示例: Dmz |
| DvcOs | 可选 | 字符串 | 发生了事件或报告了事件的设备上运行的操作系统。 示例: Windows |
| DvcOsVersion | 可选 | 字符串 | 发生了事件或报告了事件的设备上的操作系统版本。 示例: 10 |
| DvcAction | 建议 | 字符串 | 对于报告安全系统,为系统执行的操作(如果适用)。 示例: Blocked |
| DvcOriginalAction | 可选 | 字符串 | 报告设备提供的原始 DvcAction。 |
| DvcInterface | 可选 | String | 捕获数据的网络接口。 此字段通常与由中间或点击设备捕获的网络相关活动相关。 |
| DvcScopeId | 可选 | String | 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID。 |
| DvcScope | 可选 | String | 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID。 |
其他字段
架构更新
EventOwner字段已于 2022 年 12 月 1 日添加到了公共字段,因而添加到了所有架构。EventUid字段已于 2022 年 12 月 26 日添加到了公共字段,因而添加到了所有架构。
供应商和产品
为保持一致性,允许的供应商和产品列表设为 ASIM 的一部分,并且可能不直接对应于源发送的值(如果可用)。
EventVendor 和 EventProduct 字段中各自使用的且当前支持的供应商和产品的列表如下:
| Vendor | 产品 |
|---|---|
Cisco |
ASA |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Queue Storage- Azure Table Storage - DNS Server- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- Windows Firewall |
Linux |
- su- sudo |
Palo Alto |
- PanOS- CDL |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
如果你正在为此处未列出的供应商或产品开发分析程序,请联系 Microsoft Sentinel 团队,以分配新的允许的供应商和产品指示符。
后续步骤
有关详细信息,请参阅: