Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Einige Felder sind in allen ASIM-Schemas enthalten. Jedes Schema kann Richtlinien für die Verwendung einiger der allgemeinen Felder im Kontext des jeweiligen Schemas hinzufügen. Beispielsweise können die zulässigen Werte für das Feld EventType und für das Feld EventSchemaVersion je nach Schema unterschiedlich sein.
Log Analytics-Standardfelder
Die folgenden Felder werden von Log Analytics in den meisten Fällen für jeden Datensatz generiert. Sie können überschrieben werden, wenn Sie einen benutzerdefinierten Connector erstellen.
| Feld | type | Diskussion (Discussion) |
|---|---|---|
| ZeitGeneriert | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis vom meldenden Gerät generiert wurde. |
| Typ | Schnur | Die ursprüngliche Tabelle, aus der der Datensatz abgerufen wurde. Dieses Feld ist nützlich, wenn dasselbe Ereignis über mehrere Kanäle in unterschiedlichen Tabellen empfangen werden kann und die gleichen EventVendor- und EventProduct-Werte vorliegen. Ein Sysmon-Ereignis kann z. B. entweder in der Tabelle Event oder in der Tabelle WindowsEvent gesammelt werden. |
Hinweis
Log Analytics fügt auch andere Felder hinzu, die für Sicherheitsanwendungsfälle weniger relevant sind. Weitere Informationen finden Sie unter Standardspalten in Azure Monitor-Protokollen.
Allgemeine ASIM-Felder
Die folgenden Felder werden von ASIM für alle Schemas definiert:
Ereignisfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| EventMessage (Ereignisnachricht) | Wahlfrei | Schnur | Eine allgemeine Nachricht oder Beschreibung, entweder im Datensatz enthalten oder aus ihm generiert. |
| Ereignisanzahl | Obligatorisch. | Ganze Zahl | Die Anzahl der Ereignisse, die vom Datensatz beschrieben werden. Dieser Wert wird verwendet, wenn die Quelle Aggregation unterstützt. Ein einzelner Datensatz kann mehrere Ereignisse darstellen. Legen Sie den Wert für andere Quellen auf 1 fest. |
| EventStartZeit | Obligatorisch. | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| EventEndTime | Obligatorisch. | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| EventType (Ereignistyp) | Obligatorisch. | Aufgezählt | Beschreibt den vom Datensatz gemeldeten Vorgang. Jedes Schema definiert die Liste der für dieses Feld gültigen Werte. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalType gespeichert. |
| EventSubtype | Wahlfrei | Aufgezählt | Beschreibt eine Untereinheit des Vorgangs, der im Feld EventType gemeldet wird. Jedes Schema definiert die Liste der für dieses Feld gültigen Werte. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalSubType gespeichert. |
| EventResult | Obligatorisch. | Aufgezählt | Einer der folgenden Werte: Success, Partial, Failure, NA (Not Applicable/nicht zutreffend). Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Alternativ kann die Quelle auch nur das Feld EventResultDetails angeben, das analysiert werden muss, um den EventResult-Wert abzuleiten. Beispiel: Success |
| EventResultDetails | Empfohlen | Aufgezählt | Grund oder Details für das im Feld EventResult gemeldete Ergebnis. Jedes Schema definiert die Liste der für dieses Feld gültigen Werte. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalResultDetails gespeichert. Beispiel: NXDOMAIN |
| EventUid | Empfohlen | Schnur | Die eindeutige ID des Datensatzes, die von Microsoft Sentinel zugewiesen wurde. Dieses Feld ist in der Regel dem Log Analytics-Feld _ItemId zugeordnet. |
| EventOriginalUid | Wahlfrei | Schnur | Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt. Beispiel: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Wahlfrei | Schnur | Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. Dieses Feld wird beispielsweise verwendet, um die ursprüngliche Windows-Ereignis-ID zu speichern. Dieser Wert wird verwendet, um das Feld EventType abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte. Beispiel: 4624 |
| EventOriginalSubType | Wahlfrei | Schnur | Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. Dieses Feld wird beispielsweise verwendet, um den ursprünglichen Windows-Anmeldetyp zu speichern. Dieser Wert wird verwendet, um das Feld EventSubType abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte. Beispiel: 2 |
| EventOriginalResultDetails | Wahlfrei | Schnur | Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. Dieser Wert wird verwendet, um das Feld EventResultDetails abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte. |
| EreignisSchweregrad | Empfohlen | Aufgezählt | Der Schweregrad des Ereignisses. Gültige Werte sind Informational, Low, Medium oder High. |
| EventOriginalSeverity | Wahlfrei | Schnur | Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. Dieser Wert wird zum Ableiten von EventSeverity verwendet. |
| EventProdukt | Obligatorisch. | Schnur | Das Produkt, das das Ereignis erzeugt. Der Wert sollte einer der unter Anbieter und Produkte aufgeführten Werte sein. Beispiel: Sysmon |
| EventProductVersion (EreignisProduktversion) | Wahlfrei | Schnur | Die Version des Produkts, das das Ereignis erzeugt. Beispiel: 12.1 |
| EventVendor (Englisch) | Obligatorisch. | Schnur | Der Hersteller des Produkts, das das Ereignis erzeugt. Der Wert sollte einer der unter Anbieter und Produkte aufgeführten Werte sein. Beispiel: Microsoft |
| EventSchema (Ereignis) | Obligatorisch. | Aufgezählt | Das Schema, in das das Ereignis normalisiert wird. Jedes Schema dokumentiert seinen Schemanamen. |
| EventSchemaVersion | Obligatorisch. | SchemaVersion (String) | Die Version des Schemas. In jedem Schema ist die aktuelle Version dokumentiert. |
| EventReportUrl | Wahlfrei | URL (String) | Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält. |
| EventOwner | Wahlfrei | Schnur | Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde |
Gerätefelder
Die Rolle der Gerätefelder unterscheidet sich für unterschiedliche Schemas und Ereignistypen. Beispiel:
- Für die Netzwerksitzungsereignisse enthalten Gerätefelder in der Regel Informationen zu dem Gerät, das das Ereignis generiert hat.
- Für die Prozessereignisse enthalten die Gerätefelder Informationen zu dem Gerät, auf dem der Prozess ausgeführt wird.
Jedes Schemadokument gibt die Rolle des Geräts für das Schema an.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Dvc | Alias | Schnur | Je nach Schema ist dies ein eindeutiger Bezeichner des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Dieses Feld kann ein Alias für die Felder DvcFQDN, DvcId, DvcHostname oder DvcIpAddr sein. Verwenden Sie für Cloudquellen, für die es kein offensichtliches Gerät gibt, den gleichen Wert wie das Feld Ereignisprodukt. |
| DvcIpAddr | Empfohlen | IP-Adresse | Je nach Schema ist dies die IP-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 45.21.42.12 |
| DvcHostname | Empfohlen | Rechnername | Je nach Schema ist dies der Hostname des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: ContosoDc |
| DvcDomain | Empfohlen | Domain (String) | Je nach Schema ist dies die Domäne des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: Contoso |
| DvcDomainType | Bedingt | Aufgezählt | Der Typ von DvcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType. Hinweis: Dieses Feld ist erforderlich, wenn das Feld DvcDomain verwendet wird. |
| DvcFQDN | Wahlfrei | FQDN (Saite) | Je nach Schema ist dies der Hostname des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: Contoso\DESKTOP-1282V4DHinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld DvcDomainType spiegelt das verwendete Format wider. |
| DvcBeschreibung | Wahlfrei | Schnur | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller. |
| DvcId | Wahlfrei | Schnur | Je nach Schema ist dies die eindeutige ID des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdTyp | Bedingt | Aufgezählt | Der Typ von DvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType. - MDEidWenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der Liste, und speichern Sie die anderen anhand der Feldnamen DvcAzureResourceId bzw. DvcMDEid. Hinweis: Dieses Feld ist erforderlich, wenn das Feld DvcId verwendet wird. |
| DvcMacAddr | Wahlfrei | MAC-Adresse | Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 00:1B:44:11:3A:B7 |
| DvcZone | Wahlfrei | Schnur | Je nach Schema ist dies das Netzwerk, in dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Die Zone wird vom meldenden Gerät definiert. Beispiel: Dmz |
| DvcOs | Wahlfrei | Schnur | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: Windows |
| DvcOsVersion | Wahlfrei | Schnur | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 10 |
| DvcAktion | Wahlfrei | Schnur | Bei meldenden Sicherheitssystemen ist dies die vom System ausgeführte Aktion (falls zutreffend). Beispiel: Blocked |
| DvcOriginalAktion | Wahlfrei | Schnur | Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben. |
| DvcSchnittstelle | Wahlfrei | Schnur | Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder TAP-Gerät erfasst werden. |
| DvcScopeId | Wahlfrei | Schnur | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| Dvc-Bereich | Wahlfrei | Schnur | Der Cloudplattformbereich, zu dem das Gerät gehört. DvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
Weitere Felder
Schemaupdates
- Das Feld
EventOwnerwurde am 1. Dezember 2022 zu den allgemeinen Feldern und damit zu allen Schemas hinzugefügt. - Das Feld
EventUidwurde am 26. Dezember 2022 zu den allgemeinen Feldern und damit zu allen Schemas hinzugefügt.
Anbieter und Produkte
Um die Konsistenz zu gewährleisten, wird die Liste der zulässigen Anbieter und Produkte als Teil von ASIM festgelegt und entspricht möglicherweise nicht direkt dem von der Quelle gesendeten Wert, sofern verfügbar.
Die derzeit unterstützte Liste der Anbieter und Produkte, die in den Feldern EventVendor bzw. EventProduct verwendet werden, lautet wie folgt:
| Hersteller | Produkte |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
– Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Wenn Sie einen Parser für einen Anbieter oder ein Produkt entwickeln, das hier nicht aufgeführt ist, wenden Sie sich an das Microsoft Sentinel-Team , um neue zulässige Anbieter- und Produktbezeichner zuzuweisen.
Nächste Schritte
Weitere Informationen finden Sie unter
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)